Показано с 1 по 4 из 4.

Spy.WildTagent

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1125

    Spy.WildTagent

    Протокол антивирусной утилиты AVZ версии 3.16
    Сканирование запущено в 06.04.05 10:14:06
    Загружена база: 10878 сигнатур, 1 нейропрофиль, 23 микропрограммы лечения
    Загружены микропрограммы эвристики: 180
    Загружены цифровые подписи системных файлов: 28825
    Режим эвристического анализатора: Средний уровень эвристики
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:CreateProcessA (19 перехвачена, метод ProcAddressHijack.GetProcAddress ->C009511E<>BFF77745
    Функция kernel32.dlloadLibraryExA (554) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0095135<>BFF912ED
    Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0095116<>BFFA0960
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    2. Проверка памяти
    Количество найденных процессов: 14
    Количество загруженных модулей: 126
    Проверка памяти завершена
    3. Сканирование дисков
    c:\WINDOWS\wt\updater\wcmdmgr.exe>>>>> Вирус !! Spy.WildTangent
    c:\WINDOWS\wt\updater\wcmdmgrl.exe>>>>> Вирус !! Spy.WildTangent
    c:\WINDOWS\wt\wtupdates\wtcda\files\4.0.0.370\wtcd att.exe>>>>> Вирус !! Spy.WildTangent
    c:\WINDOWS\wt\wtcda\wtcdatt.exe>>>>> Вирус !! Spy.WildTangent
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск клавиатурных шпионов (Keylogger)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 320 описаний портов
    На данном ПК открыто 6 TCP портов и 3 UDP портов
    Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    >>> C:\PROGRAM FILES\WILDTANGENT\APPS\CDA\CDALOGGER.DLL ЭПС: подозрение на вирус Spy.WindTangent
    Проверка завершена
    Просканировано файлов: 10786, найдено вирусов 4
    Сканирование завершено в 06.04.05 10:21:52
    Сканирование длилось 00:07:46

    А что это за "зверь", не определяется ни одним антивиром, кроме AVZ?
    (кстати, почему в протоколе разные наименования Spy.Wild*, SpyWind*?)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387

    Re:Spy.WildTagent

    Про WildTangent можно почитать тут:
    http://www.spyany.com/program/articl...ldTangent.html
    http://www.scanspyware.net/info/WildTangent.htm
    но самый заслуживающий доверия источник - это лаборатория PertPatrol (ныне CA):
    http://www3.ca.com/securityadvisor/pest/emerging.aspx - согласно этим данным, WildTangent был обнаружен на 22386 компьютерах за последний месяц !
    Выдержка из описания:
    Код:
    Will share your first and last name, address, email address, phone number, and other information. Collects system configuration information such as your computer&#039;s CPU speed, video card configuration, and DirectX version. Collects product usage information such as the number of product launches and time spent using a product ...
    т.е. в переводе это понимается как - "передает вашу фамилию, адрес, адрес электронной почты и другую информацию. Собирает системную конфигурацию и информацию о использовании программынх продуктов ..." -
    Из моих исследований - в категорию "Spy" он попал из за передачи персональных данных пользователя, скрытного обмена с сайтом разработчиков, скрытного сбора системной информации, скрытной закачки и установки своих обновлений (замечу, что ядро его "живет" в папке WT внутри Windows, свое наличие он никак визуально не проявляет). У меня в сети от WT было вычищено около 15 ПК, причем о его наличие никто из пользователей не подозревал и никто естественно его не инсталлировал ....
    Обмен имеет вид:
    Код:
    GET http://DNA.WILDTANGENT.COM:80/CDAServer/GameChannelDeliveries.aspx?DP={9761B406-3D07-4D65-940E-89C026F5C606} HTTP/1.1
    Accept: */ *
    Range: bytes=0-27999
    Accept-Encoding: gzip, deflate
    User-Agent: Mozilla/4.0
    Host: DNA.WILDTANGENT.COM
    В адресе есть CLSID - это уникальный код, присвоенный ПК пользователя.
    В папке Windows\WT можно найти подпапки с именами типа "2.0.6.007" - это обновления WT, которые он скрытно таскает из Инет - со временем таких папок становится все больше. Причем замечу, что категория у него именно Spy (а не AdWare), он под нее идеально подходит.
    WindTangent почти никто не детектирует, кроме AVP, в лаборатории Касперского этого зверя окрестили как Adware.WildTangent (причем я не делаю различия в разновидностях WT, а они делают - они различают AdWare.WildTangent.a, AdWare.WildTangent.b и AdWare.WildTangent.DownloadWare). Однако из моей коллекции WT (у меня штук 50-70 его образцов) AVP детектирует 17 штук - новые разновидности. Причем что интересно - в инсталляции WT он находит знаменитого WinAd. AVP в основном детектирует файлы wtvh.dll, npwthost.dll, wtbgmtt.exe

    PS: Сообщение эвристика содержит опечатку в названии зверя ...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1125

    Re:Spy.WildTagent

    на Viruscan почему-то ни один из антивирусов не обнаружил данный wildTAgent... (Олег, можно здесь еще предложение по AVZ? Хорошо бы в режиме удаления обнаруженных зараженных файлов выдавать результат удаления: сколько, какие объекты были удалены микропрограммами лечения, а удаление каких отложено. (такое есть в pestpatrol, там формируется флаг "deleted" против каждого объекта)).

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387

    Re:Spy.WildTagent

    Цитата Сообщение от santy
    на Viruscan почему-то ни один из антивирусов не обнаружил данный wildTAgent... (Олег, можно здесь еще предложение по AVZ? Хорошо бы в режиме удаления обнаруженных зараженных файлов выдавать результат удаления: сколько, какие объекты были удалены микропрограммами лечения, а удаление каких отложено. (такое есть в pestpatrol, там формируется флаг "deleted" против каждого объекта)).
    Диагностика wildTAgent штука спорная - у них просто хитрое лицензионное соглашение. У того-же PestPatrol есть описание, но начинается оно фразой "PestPatrol does not detect WildTangent. This page is provided for information only...."
    Информация об удалении в AVZ будет (типа "удален успешно", "удаление отложено" и т.п.)

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01427 seconds with 15 queries