Показано с 1 по 13 из 13.

Червь. Trojan-Downloader.Win32.Agent.aqfw

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    17
    Вес репутации
    64

    Червь. Trojan-Downloader.Win32.Agent.aqfw

    Вот эта гадина рапозлась по сети. Не стояла заплатка
    Прописывается как служба со случайным именем и кладёт в system32 dll-ку со случайным именем, AVZ упорно твердит что служба это системная и ооооочень важная и удалять не дает.
    KAV не может удалить dll потому как не может получить к ней доступ, AVZ отложенным удалением удаляет, а каспер радостно грохает её из карантина как 'Trojan-Downloader.Win32.Agent.aqfw', скотина.
    Служба удаляется из реестра руками.

    В реестре вот такие параметры службы:
    ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
    И раздел Parameters
    ServiceDll C:\WINDOWS\system32\cyrsropv.dll
    Пример выгрузки реестра
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pvpeerkrf]
    "DisplayName"=""
    "Type"=dword:00000020
    "Start"=dword:00000002
    "ErrorControl"=dword:00000000
    "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
      74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
      00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
      6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
    "ObjectName"="LocalSystem"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pvpeerkrf\Parameters]
    "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,4e,00,54,00,5c,00,73,\
      00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74,00,6b,00,6d,00,68,00,\
      67,00,6f,00,6c,00,2e,00,64,00,6c,00,6c,00,00,00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pvpeerkrf\Enum]
    "0"="Root\\LEGACY_PVPEERKRF\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001
    Вот сама DLL 081203_024839_virus_493647e7d191a.zip
    Последний раз редактировалось givi; 03.12.2008 в 11:49. Причина: Добавление файла

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Чем в AVZ удаляли (скриптом, скриптом с ВС, руками)? От этого и рез-т зависит.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    17
    Вес репутации
    64
    Файл - Отложенное удаление файла.
    Так работает. Но факт в том что AVZ его просто не видит. Службу помечает как "зеленую"

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Лог "Исследования системы" приложите сюда с "живым" зверем.
    Да, и вообще, лучше по полной программе раздела "Помогите!" логи сделать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    17
    Вес репутации
    64
    Не могу. Убил везде где нашел. Он так флудит в сеть и выбивает службы на непропатченых компах, что нафиг его надо держать в сети.
    Больше нигде ссылок на него в системе я не нашел.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Жалко, конечно. Наверняка, в логах его было видно. Служба то "зеленая", а вот то что к ней прицепилось было бы "желтым".

    Рад, что победили зверя.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    17
    Вес репутации
    64
    Но скока крови выпил гад...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Ответ вирлаба:
    Присланный Вами файл уже детектируется. Net-Worm.Win32.Kido.t

  10. #9
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    22
    Вес репутации
    60
    Цитата Сообщение от givi Посмотреть сообщение
    Не могу. Убил везде где нашел. Он так флудит в сеть и выбивает службы на непропатченых компах, что нафиг его надо держать в сети.
    Счастливый вы наш! А у меня всё ещё впереди - вся сеть легла на предприятии

    Что удалось выяснить при близком общении:
    Вирус практически не препятствует своему обнаружению и удалению - на ура его видит и удаляет что бесплатный сканер CureIt, что признающий его подозрительным автоРан-менеджер OSAM. Единственная неприятность - установленный антивирус (по крайней мере KAV WS 6.0.3.837) практически не препятствует проникновению вируса в систему, через дырку в системе безопастности Windows.

    В процессе лечения и латания дыр стоит отключать сеть, иначе и глазом не успеете моргнуть как к вам пролезет очередной экземпляр с другой заражённой машины.

    Кстати, если SP3 по определённым соображениям вам не показан, воспользуйтесь этой заплаткой.

    Ну и конечно картина будет не полной, если не упомянуть о кратчайщем пути избавления от заразы - тулзы от F-Secure: DownadupRemovalTool

    Ссылки по теме.

    Цитата Сообщение от givi Посмотреть сообщение
    Больше нигде ссылок на него в системе я не нашел.
    Кстати вирус имеет свойство оставлять своё экзе в папочках Temporary Internet Files под видом JPG файлов, так что не лишним будет проверить и весь Documents and Settings

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Приходите к нам в Помогите! надеюсь, поможем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    10.12.2008
    Сообщений
    1
    Вес репутации
    56

    Trojan-Downloader.Bat.Ftp.ad

    Возникла такая проблема в сети, машины начали произвольно перезагружаться. На вчерашний вечер 8 машин, но только на одной из них вылезли такие симптомы: заблокирован редактор реестра и деспетчер задачь и слетели админские шары (в общих ресурсах), и на ней был найден такой вирус Trojan-Downloader.Bat.Ftp.ad в файле C:\Winnt\system32\i,

    Добавлено через 14 минут

    Возникли проблемы в сети, несколько машин, точней 8 вчера начали произвольно перезагружаться пишет что ошибка службы Lsass, полная проверка каспером ничего не дает. Только на одной машине был найден вирус Trojan-Downloader.Bat.Ftp.ad в файле C:\WINNT\SYSTEM32\i, при этом были симптомы: блокировка редактора реестра и диспетчера задачь, а также слетели системные шары. После удаления данного вируса и исправленяи АВЗшкой последствий, перезагрузка и опять все с начала, только уже полная проверка каспером ничего не дает. Подскажите принципиально ли отличие Trojan-Downloader.Bat.Ftp.ad и Trojan-Downloader.Win32.Agent.aqfw о котором говорилось выше и что еще можно посмотреть. Кстати описанная выше заплатка KB921883 на машинах стоит.
    Последний раз редактировалось Mervellous; 17.12.2008 в 09:14. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    04.01.2008
    Сообщений
    22
    Вес репутации
    60
    С заплаткой ошибочка вышла, против Downloader.Win32.Agent.aqfw вот эта нужна: http://www.microsoft.com/technet/sec.../MS08-067.mspx (958644)

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Mervellous
    Подскажите принципиально ли отличие Trojan-Downloader.Bat.Ftp.ad и Trojan-Downloader.Win32.Agent.aqfw
    Отличаются как небо и земля. Downloader.Bat.Ftp.ad текстовый файл, скорее всего, используется червем для загрузки своего тела после использования уязвимости.
    Trojan-Downloader.Win32.Agent.aqfw это dll-файл.
    То что не найдено тело, говорит что это новый червь. Вам надо пройти проверку поПравилам.

Похожие темы

  1. Ответов: 8
    Последнее сообщение: 25.01.2011, 17:10
  2. Ответов: 10
    Последнее сообщение: 06.10.2010, 23:31
  3. Backdoor.Win32.Agent.fvy и Trojan-Downloader.Win32.Agent.lvm
    От alexm в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 29.09.2010, 00:01
  4. Trojan downloader.win32.agent
    От Максим22 в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 22.02.2009, 05:09
  5. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
    От clyde в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 22.02.2009, 02:43

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01473 seconds with 16 queries