-
donuziu.dll - Trojan.Win32.Prondir.a
Обнаружен новый троян http://virusinfo.info/index.php?boar...y;threadid=479
Ответ от КАВ - будет детектиться как Trojan.Win32.Prondir.a
Анализ donuziu.dll - файл имеет размер 60928 байта, сжат UPX. Распакованный размер - 155648 байта, написан на Microsoft Visual C. По структуре это BHO для IE (но немного нестандартный, экспортирует несколько функций, неспецифичных для BHO).
В реестре он регистрирует класс {373E0369-863A-4345-BD57-F46DD9A0C4F2}', ссылку на него он помещает в ключ Browser Helper Objects, регистрируя себя как BHO в IE. Внутри себя содержит внушительный массив ссылок на порносайты. Одна из ссылок (хттп://www.adultit.net/h2/) выделена особо, возможно, это его источник. После дезассемблирования режет глаз кусок кода, отвечающий за случайный выбор ссылки и ее загрузку (или обмен с сайтом по этой ссылке - я не проверял).
Импортирует WININET.DLL и может посылать запросы с Интернет. В запросах к Инет сайтам передает нестандартные ключи
Может создавать ключи в Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce
Этот BHO загружается при старте IE, но никак визуально себя не проявляет (нет кнопок, меню или иных признаков его существования).
Для нечения необходимо:
1. Закрыть все окна IE
2. Выполнить regsvr32 /u donuziu.dll (из каталога, содержащего donuziu.dll)
3. Удалить donuziu.dll
Кроме того, неплохо поискать по диску по маске *.exe файлы, содержащие строку donuziu.dll - может, найдется его дроппер.
Анализ - Зайцев Олег
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
благодарю!
недавно сталкнулся я с этой фигнёй...
вычислил по логам UltraSniff'а.
в конце концов решил пробить эту байду по альтависте...
нарвался на ваш форум.
кстати, у меня на каждой странице (загружаемой через IE) с ресурса вылетает ошибка скрипта "XMLHttpRequest - определение отсутствует"...
:о)
-
-
Сообщение от
fidres
кстати, у меня на каждой странице (загружаемой через IE) с ресурса вылетает ошибка скрипта "XMLHttpRequest - определение отсутствует"...
речь о страницах с нашего ресурса? какой браузер используется?
-
-
на всех страницах, загружаемых в вашего форума...
пролетают так же ошибки скриптов... но на разных страничках по-разному...
в основном, из-за неверной объектной модели, в которую видими входят элементы, подгружаемые (только не у меня) через XML...
кстати, у меня несколько другая модификация, но видимо этого же трояна...
он у меня отсылал мыло на разные серваки, никак себе не обозначал и тоже пытался под что-то маскироваться...
:о/
З.Ы. обозреватель - ослик, правда несколько модифицированный... 
-
Ответить с цитированием
