Показано с 1 по 4 из 4.

donuziu.dll - Trojan.Win32.Prondir.a

  1. #1
    Geser
    Guest

    donuziu.dll - Trojan.Win32.Prondir.a

    Обнаружен новый троян http://virusinfo.info/index.php?boar...y;threadid=479
    Ответ от КАВ - будет детектиться как Trojan.Win32.Prondir.a
    Анализ donuziu.dll - файл имеет размер 60928 байта, сжат UPX. Распакованный размер - 155648 байта, написан на Microsoft Visual C. По структуре это BHO для IE (но немного нестандартный, экспортирует несколько функций, неспецифичных для BHO).
    В реестре он регистрирует класс {373E0369-863A-4345-BD57-F46DD9A0C4F2}', ссылку на него он помещает в ключ Browser Helper Objects, регистрируя себя как BHO в IE. Внутри себя содержит внушительный массив ссылок на порносайты. Одна из ссылок (хттп://www.adultit.net/h2/) выделена особо, возможно, это его источник. После дезассемблирования режет глаз кусок кода, отвечающий за случайный выбор ссылки и ее загрузку (или обмен с сайтом по этой ссылке - я не проверял).
    Импортирует WININET.DLL и может посылать запросы с Интернет. В запросах к Инет сайтам передает нестандартные ключи
    Может создавать ключи в Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce
    Этот BHO загружается при старте IE, но никак визуально себя не проявляет (нет кнопок, меню или иных признаков его существования).
    Для нечения необходимо:
    1. Закрыть все окна IE
    2. Выполнить regsvr32 /u donuziu.dll (из каталога, содержащего donuziu.dll)
    3. Удалить donuziu.dll
    Кроме того, неплохо поискать по диску по маске *.exe файлы, содержащие строку donuziu.dll - может, найдется его дроппер.
    Анализ - Зайцев Олег

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    fidres
    Guest

    Wink благодарю!

    недавно сталкнулся я с этой фигнёй...
    вычислил по логам UltraSniff'а.
    в конце концов решил пробить эту байду по альтависте...

    нарвался на ваш форум.
    кстати, у меня на каждой странице (загружаемой через IE) с ресурса вылетает ошибка скрипта "XMLHttpRequest - определение отсутствует"...
    :о)

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от fidres
    кстати, у меня на каждой странице (загружаемой через IE) с ресурса вылетает ошибка скрипта "XMLHttpRequest - определение отсутствует"...
    речь о страницах с нашего ресурса? какой браузер используется?

  5. #4
    fidres
    Guest
    на всех страницах, загружаемых в вашего форума...
    пролетают так же ошибки скриптов... но на разных страничках по-разному...
    в основном, из-за неверной объектной модели, в которую видими входят элементы, подгружаемые (только не у меня) через XML...

    кстати, у меня несколько другая модификация, но видимо этого же трояна...
    он у меня отсылал мыло на разные серваки, никак себе не обозначал и тоже пытался под что-то маскироваться...
    :о/

    З.Ы. обозреватель - ослик, правда несколько модифицированный...

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 10.06.2012, 13:59
  2. Ответов: 2
    Последнее сообщение: 17.12.2010, 16:44
  3. Ответов: 10
    Последнее сообщение: 06.10.2010, 22:31
  4. Ответов: 3
    Последнее сообщение: 18.07.2010, 00:09
  5. Ответов: 1
    Последнее сообщение: 30.06.2009, 07:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01471 seconds with 16 queries