Показано с 1 по 15 из 15.

Adware.180Solutions

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124

    Adware.180Solutions

    Не нашел на viruslist.com описания данного типа Adware, хотя в KAV его определяет... (файл выслал вам.)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124

    Re:Adware.180Solutions

    27 Июля 2004 "Черный список" вирусов от McAfee

    ...Компания приводит список самых опасных, по её мнению, на сегодняшний день вредоносных программ 2004 года: Exploit-MhtRedir.gen (Download.Ject или Scob) VBS/Psyme Adware-Gator Adware-180Solutions Adware-Cydoor Adware-BetterInet W32/Netsky.d@MM W32/Netsky.p@MM W32/Netsky.q@MM W32/Mydoom.a@MM... Компания McAfee фиксирует появление до 50 новых вирусов ежедневно. Каждый месяц компания фиксирует 400--500 новых вирусов, что приблизительно на 100 больше, чем в прошлом году.

    http://delastudio.ru/forum/tree.php?t=2277

  4. #3
    Geser
    Guest

    Re:Adware.180Solutions

    Ниче, в Америке вроде ужа начали за это судить.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124

    Re:Adware.180Solutions

    Цитата Сообщение от Geser
    Ниче, в Америке вроде ужа начали за это судить.
    помотрел лог этой программы - непрерывное, ежеминутное ведение протокола, видимо ассистент экплорера.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:Adware.180Solutions

    Цитата Сообщение от santy
    помотрел лог этой программы - непрерывное, ежеминутное ведение протокола, видимо ассистент экплорера.
    Если интересно, могу дать его описание ...

  7. #6
    Full Member Репутация
    Регистрация
    16.10.2004
    Сообщений
    96
    Вес репутации
    49

    Re:Adware.180Solutions

    [quote author=Зайцев Олег link=board=22;threadid=625;start=0#msg5896 date=1107176091]
    Если интересно, могу дать его описание ...
    [/quote]
    Я думаю, многим будет интересно.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:Adware.180Solutions

    [quote author=Участковый link=board=22;threadid=625;start=0#msg5917 date=1107189086]
    Я думаю, многим будет интересно.
    [/quote]
    ОК, ловлю Spy.180Solutions за хвост, утюг/паяльник в руки и начинаем дознание У меня в коллекции штук 50 его образцов, так что выбор есть ... кстати, я классифицировал его именно как "Spy", а не "Adware" - на то есть причины ...

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:Adware.180Solutions

    Вот обещанное описание:
    saap.exe - 282624 байта, ничем не сжат, написан на C.
    Процесс при запуске никак не проявляет своего присутствия. Автоматически прописывает себя в ключ автозапуска – параметр с именем saap в ключе Run.
    Ведет обмен напрямую с Интернет напрямую (игнорируя настройки прокси), связываясь с сайтами
    ads.180solutions.com (64.94.137.51) и ping.180solutions.com 64.94.137.57.
    Запрос имеет вид:
    Код:
    POST /TrackedEvent.aspx?eid=5&mt=0104F0BAE....996FF&curpartid=&curpid=&curdid=&newdid=998 HTTP/1.1
    Content-Type: application/x-www-form-urlencoded
    Host: bis.180solutions.com
    Content-Length: 6
    Cache-Control: no-cache
    На ping.180solutions.com идут запросы вида:
    Код:
    GET / HTTP/1.1
    Host: ping.180solutions.com
    причем, судя по всему, по таймеру

    Повисев некоторое время в памяти, процесс «наглеет» и фиксируется массированная закачка информации из Интернет. Закачка идет с 209.164.32.205, 216.74.27.26, 64.94.137.61 … причем загружаемые объемы весьма приличны (450 кб, 250 кб). С адреса 64.94.137.61 было закачано 2.5 мб.
    Анализ пакетов показал, что закачиваются исполняемые файлы. Исследование системы после завершения загрузки показывает появление в ключе Run еще одного прараметра с именем elqb, предназначенного для запуска elqb.exe, который появился в папке Windows. При запуске он также никак себя не проявляет.

    После перезагрузки зараженного ПК он выясняет адрес config.180solutions.com и начинает обмен с ним (опять же напрямую, настройки прокси в IE он игнорирует). Обмен уже интереснее:
    Код:
    POST /config.aspx?did=998&ver=5.15&duid=131ejgmoipetfylhtucuhntwdixbse&
    partner_id=345205242&product_id=&browser_ok=y&rnd=27&basename=saap&tzbias=-3&MT=0153B2D6EEA..... 22CF8&DMT=0153B2D6EE ... AAFA6D2CF8&
    WID=01C368C2D00D9100&GMA=1&GVI=1&GPI=1&HMP=DECA2A59 ... 0B1E88F7&SID=VIVGZWLC&OS=4.10.67766446.1&
    SLID=1049&ULID=1049&TLOC=1049&ACP=1251&OCP=866&DB=iexplore.exe&
    IEV=5.50.4522.1&TPM=88608768&APM=49283072&TVM=2143289344&
    AVM=2095316992&FDS=1752203264&LAD=1601:1:1:0:0:0&WE=5&TCA=0&SCA=0&
    MRDS=0&LCAT=1601/01/01%2000:00:00 HTTP/1.1
    Content-Type: application/x-www-form-urlencoded
    Host: config.180solutions.com
    Content-Length: 1784
    Cache-Control: no-cache
    ....
    /partner_id=345205242
    /duid=131ejgmoipetfylhtucuhntwdixbse
    /product_id=998
    /did=998
    /ad_url=http://tv.180solutions.com/showme.aspx
    /con_int=186400
    /int_int=36000
    /key_word_int=241
    /new_ver=5.15
    /new_ver_url=http://installs.180solutions.com/downloads/5.15/msbb.exe
    /new_ver_sz=309760
    /new_ver_sig={0x53, ...
    /dll_loc=http://installs.180solutions.com/Downloads/DLL/3.0/ncmyb.dll
    /dll_sz=57344
    /dll_sig={0xae, ...
    ...
    /boom_url=http://installs.180solutions.com/downloads/boom/2.0/RBoomerang.1
    /boom_sz=94208
    ...
    /dom_excl=180solutions.com+205.180.85.40+ .... - длинный список "своих" доменов 
    ...
    интересен получаемый от сервера параметр, конфигурирующий перехватчик:
    Код:
    /hooked=IEFrame+MozillaWindowClass+AOL~Frame25+MSN6~Window+CabinetWClass+Internet~Explorer_Frame+ExploreWClass
    (В протоколах многоточием заменены большие куски неинтересных для рассмотрения данных).

    Процесс saap.exe в реальном масштабе времени шпионит за браузером, регистрируя, в частности, все вводимые url (со всеми параметрами).
    Другим интересным наблюдением является появление на диске библиотеки saaphook.dll.
    saaphook.dll имеет размер 57344 байта, написана на C.
    Эта библиотека внедряется в экземпляры процесса iexplore.exe (причем что интересно – в реестре данная DLL не прописана как BHO - применяется механизм Hook). Анализ данной DLL показал, что это шпион – он устанавливает перехватчик (Hook) типа 0Ch (WH_CALLWNDPROCRET - перехватчик, который просматривает сообщения, только что обработанные оконной процедурой приложения) для процессов iexplore.exe в памяти.
    Исходя из анализа обмена этого spyware с сайтом (параметр /hooked), нетрудно заключить, что внедрение возможно не только в IE.

    Программа msbb.exe (которая числится в списке адресов) «наглее» других – после запуска она скрытно остается в памяти и немедленно начинает активный обмен с сервером 64.94.137.61. В результате загружается около 1.5 мб информации, появляется DLL с именем msbbhook.dll – это все тот же перехватчик, копия saaphook. Аналогично в автозапуске появляется еще один процесс -
    fwrop.exe, который полностью аналогичен elqb.exe.

    Так что вердикт - несмотря на то, что эти программы могут себя деинсталлировать (правда - как пользователь узнает, что конкретно деинсталлировать, процессы-то скрытные), я считаю его SpyWare. На то как минимум 5 причин:
    1. Скрытная работа (нет иконок в трее, видимых окон и т.п. для управления программой или определения факта ее наличия);
    2. Скрытная установка;
    3. Скрытная закачка и последующая установка/запуск своих компонент из Интернета;
    4. Слежение за заданными в получаемой с сайта настройке программами при помощи Hook;
    5. Скрытный обмен с сайтом создателя - передача собранной информации.

    Это, конечно, не троян, т.к. пароли и прочие жизненно важные данные не ворует ... но для AdWare (так его классифицирует KAV) он слишком уж безобразничает.

  10. #9
    Geser
    Guest

    Re:Adware.180Solutions

    Офигеть :o

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124

    Re:Adware.180Solutions

    Угу. А (существует) есть ли список "таких" программ, про которые можно однозначно сказать, что они нежелательно "активно общаются" с серверами в инет? Их можно будет обнаружить в списке монитора трафика, типа Internet Access Monitor... и выявить список компов на которых они установлены.

  12. #11
    Ворчун
    Guest

    Re:Adware.180Solutions

    [quote author=Зайцев Олег link=board=22;threadid=625;start=0#msg5977 date=1107267308]
    Вот обещанное описание...

    ...Это, конечно, не троян, т.к. пароли и прочие жизненно важные данные не ворует ... но для AdWare (так его классифицирует KAV) он слишком уж безобразничает.
    [/quote]

    Зайцев Олег
    А не может такого быть, что процесс используя данные, вводимые пользователем в формы, делает заказы на соответствующих сайтах или переводит деньги с кредитных карт пользователя на соответствующие левые счета? Просто в папочке "программы" был обнаружен еще и лог с многочисленными ссылками на order-формы разнообразных торгующих сайтов.
    И еще: у меня вместо fwrop.exe или elqb.exe в автозапуск был помещен некий dyvoj.exe
    Быть может имя создаваемого файла формируется случайным образом?

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    59

    Re:Adware.180Solutions

    [quote author=Ворчун link=board=22;threadid=625;start=0#msg8460 date=1110708848]
    Зайцев Олег
    А не может такого быть, что процесс используя данные, вводимые пользователем в формы, делает заказы на соответствующих сайтах или переводит деньги с кредитных карт пользователя на соответствующие левые счета? Просто в папочке "программы" был обнаружен еще и лог с многочисленными ссылками на order-формы разнообразных торгующих сайтов.
    И еще: у меня вместо fwrop.exe или elqb.exe в автозапуск был помещен некий dyvoj.exe
    Быть может имя создаваемого файла формируется случайным образом?
    [/quote]
    Может случайно генерирует, а может другую версию закачала программа. Вообще ситуация с кражей персональных данных возможно, но тогда такие программы уже называются троянами и за их распространение сажают, иногда. Данный, конкретный экземпляр собирает только информацию о ваших действиях в Сети.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:Adware.180Solutions

    [quote author=Ворчун link=board=22;threadid=625;start=0#msg8460 date=1110708848]
    Зайцев Олег
    А не может такого быть, что процесс используя данные, вводимые пользователем в формы, делает заказы на соответствующих сайтах или переводит деньги с кредитных карт пользователя на соответствующие левые счета? Просто в папочке "программы" был обнаружен еще и лог с многочисленными ссылками на order-формы разнообразных торгующих сайтов.
    И еще: у меня вместо fwrop.exe или elqb.exe в автозапуск был помещен некий dyvoj.exe
    Быть может имя создаваемого файла формируется случайным образом?
    [/quote]
    Другое имя файла - это в порядке вещей, очень часто одна и та-же SpyWare программа встречается под сотней имен, а иногда имя вообще генерируется в динамике.
    Насчет перевода денег - по моим данным программа этого не делает (как правильно заметил Minos, такие программы классифицируются как Trojan). А наличие форм (или их шаблонов) как правило преследует две цели:
    1. Анализ заполняемой формы по шаблону - с целью тематического "шпионажа". Это бывает редко - чаще всего весь запрос пользователя дублируется на сайт создателей SpyWare для анализа
    2. Для отображения во всплывающих окнах. Магазины могут проплачивать рекламу, она закачивается на пораженный ПК и "ждет" удобного момента.

  15. #14
    Ворчун
    Guest

    Re:Adware.180Solutions

    Можно еще немного пофантазировать?

    Не может ли такого быть, что данная программа используется для DDoS-атак, делая запросы на соответствующие сервера (посредством форм расположенных по тем самым _многочисленным_ адресам, что в логе прописаны)?

    Или может ее поведение уже до конца изучено и нечего мне тут предположения разные строить?

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:Adware.180Solutions

    [quote author=Ворчун link=board=22;threadid=625;start=0#msg8666 date=1110909870]
    Можно еще немного пофантазировать?

    Не может ли такого быть, что данная программа используется для DDoS-атак, делая запросы на соответствующие сервера (посредством форм расположенных по тем самым _многочисленным_ адресам, что в логе прописаны)?

    Или может ее поведение уже до конца изучено и нечего мне тут предположения разные строить?
    [/quote]
    Исследованная мной версия таким не грешит (в сущности крутилке рекламы это не выгодно ...). Хотя я очень осторожен в оценках - и стараюсь говорить "вроде бы" - дело в том, что у 180 Solutions очень хитрая и хорошо продуманная система обновления версий. Т.е. я изучал конкретно взятую версию, а они выходят с завидной регулярностью и обновляются в фоновом режиме согласно загружаемой с сайта схеме инсталляции и обновления ... Но пока никаких троянских функций в 180 Solutions я не нашел.

Похожие темы

  1. Обнаружены Adware.Somoto.1 и Adware.Somoto.4
    От Leo27 в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 27.11.2011, 15:12
  2. подозрение на adware
    От тася в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.02.2009, 09:37
  3. Some adware
    От Kipp в разделе Malware Removal Service
    Ответов: 12
    Последнее сообщение: 23.10.2008, 17:06
  4. AdWare.ZangoSearch
    От ghostil в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 11.10.2007, 02:07

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00020 seconds with 16 queries