-
Trojan.Win32.Agent.il (KAV), Trojan.Griven (DrWeb) - троян за 25 гривен :)
Сегодня наблюдается уже несколько обращений пострадавших от данного трояна - данный троян интересен тем, что не лечится антивирусами - удаление самого "зверя" недостаточно для восстановления работы системы.
Сам "зверь" имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
и прописывает себя в автозапуск при помощи стандартного ключа реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
(причем в автозапуск приписывается оба файла)
Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т.е. они не висят в процессе работы в памяти, что затрудняет обнаружение).
Деструктивное действие состоит в
1. создании ряда ключей реестра, которые ограничивают действия пользователя (т.н. Policies), наприемер блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit
2. Добавляет параметры WinLogon, выводящие при загрузке сообщение "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail [email protected] код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления..." с заголовком окна "DANGER"
3. Меняет ряд настроек IE (заголовок окна, стартовую страницу)
4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках), что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины
5. Ставит атрибуты "скрытый", "системный" для Windows, Program Files (при этом делает это некорректно - папки ищутся на диске C:\), создает несколько посторонних папок, в частности "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
Лечение
Методика лечения:
1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ
2. Пролечить системный диск (с обновлением троян будет найден и убит) - должно убиться минимум 2 файла в папке Windows. Файлы можно удалить вручную - это файлы
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
3. Запустить (не выходя из AVZ) восстановление системы AVZ (Файл -> Восстановление системы). Там отметить птичками все позиции
восстановления и нажать кнопку "Выполнить отмеченные операции"
4. Перезагрузить компьютер. Сообщение в загрузке должно пропасть,
блокировки вызова настроек и прочее должно восстановиться
5. Зайти любым менеджером диска (типа FAR) на системный диск и
5.1 Изменить атрибуты папок Windows и Program Files на нормальные (у
них задан атрибут "скрытый")
5.2 Удалить пустые папки "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
6. Зайти в панель управления, там - в "Язык и региональные стандарты"
- и там на первой закладке переключитьс с русского скажем на
румынский и назад - это приведет к восстановлению региональных
настроек, в частности, форматной маски времени - после этого часы в трее и отображение времени в программах нормализуется.
----------
Известен второй вариант данного трояна - REG файл, выполняющий аналогичные по сути действия. В этом случае шаги лечения аналогичны, но на стадии 2 не будет указанных exe файлов.
----------
В текущей версии трояна он некорректно копирует свои exe в систему - он полагает, что система находится на c:\windows - при нахождении системы на другом диске троян только портит реестр, но файлы свои не копирует.
Последний раз редактировалось Зайцев Олег; 25.07.2006 в 12:51.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Full Member
- Вес репутации
- 71
По поводу KAV и Trojan.Win32.Agent.il
File: CodGen5.1.exe
Status:
INFECTED/MALWARE
MD5 d2c48dfa762aec8e2ebdc9c6913d8ed3
Packers detected: S0M# 2.60
Scanner results
AntiVir Found nothing
ArcaVir Found Trojan.Agent.Ht
Avast Found Win32:Trojano-2351
AVG Antivirus Found Agent.DD
BitDefender Found nothing
ClamAV Found nothing
Dr.Web
Found Trojan.Griven
F-Prot Antivirus Found Trojan.Griven
Fortinet Found W32/Agent.HT-tr
Kaspersky Anti-Virus Found nothing
NOD32 Found Win32/KillFiles.NAB
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing
Тоже самое и на virustotal и на windows XP с кав 5
Почему так, интересно?
-
Сообщение от
WaterFish
По поводу KAV и Trojan.Win32.Agent.il
File: CodGen5.1.exe
Status:
INFECTED/MALWARE
MD5 d2c48dfa762aec8e2ebdc9c6913d8ed3
Packers detected: S0M# 2.60
Scanner results
AntiVir Found nothing
ArcaVir Found Trojan.Agent.Ht
Avast Found Win32:Trojano-2351
AVG Antivirus Found Agent.DD
BitDefender Found nothing
ClamAV Found nothing
Dr.Web
Found Trojan.Griven
F-Prot Antivirus Found Trojan.Griven
Fortinet Found W32/Agent.HT-tr
Kaspersky Anti-Virus Found nothing
NOD32 Found Win32/KillFiles.NAB
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing
Тоже самое и на virustotal и на windows XP с кав 5
Почему так, интересно?
Похоже не знают они троянчик. Отправил им
-
-
Full Member
- Вес репутации
- 71
..."из лаб. Касперского ответили - они добавили зверя в базы как Trojan.Win32.Agent.il."...
http://virusinfo.info/showthread.php?p=56390
Зайцев Олег 13-07, 04/10/05
-
Сообщение от
WaterFish
Я проверил реакцию в конце рабочего дня - в базах он не появился. Странно, т.к. подтверждение в письме мне дали однозначное и имя зверя присвоили...
-
-
Full Member
- Вес репутации
- 71
Да похоже всей конторой заплатку шьют для cab'a
Последнее daily-обновление на сайте от вчера 19:53 москвы
-
Подяка
Здраствуйте (Зайцев Олег), СПАСИБО за инструкцию о том как правильно удалить эту дрянь с компика.Всё получилось - СПАСИБО . Но у меня есть вопрос, какой ещё вред кроме того что побил реестр он приносит? Есть возможность того что через некоторое время он опять навредит? как удастоверится что его на машине нет? ВОстольном всё впорядке только у других прользователей не открывается меню пуск, кроме админа, может есть совет по исправлению проблемы - это случилось после заражения и обезвреживания, заранее благодарен Андрей. ответ по возможности пришлите на [email protected]
-
-
я удалил этот троян с помощью утилиты Neo Utilities: убрал галочку с запрета восстановления и сделал откат до заражения системы .
-
-
Один маленький вопрос..
Со слов пользователя у него на рабочем столе нет ни одной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
Окно "Выполнить.." заблокировано..
Последний раз редактировалось AlexLSL; 13.12.2005 в 17:35.
-
-
Сообщение от
AlexLSL
Один маленький вопрос..
Со слов пользователя у него на рабочем столе нет ни обной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
Окно "Выполнить.." заблокировано..
Отобразить "Выполнить" WINDOWS+R - работает?
Если нет, можно попробовать WINDOWS+F - поиск файла- avz, и из окна поиска запустить
-
-
Или Ctrl+Ald+Del --> "Диспетчер задач" --> "Новая задача..." --> найти и запустить икзешник АВЗ.
-
-
Сообщение от
AlexLSL
Один маленький вопрос..
Со слов пользователя у него на рабочем столе нет ни одной иконки и меню пуск тоже ограничено.. каким макаром ему запустить программу AVZ?
Окно "Выполнить.." заблокировано..
Win^E
-
-
Интрересно - после почти годичного перевыва видимо пошла очередная волна. Файл немного изменился (не сильно - ошибок в коде трояна по прежнему куча), проявления и лечения аналогичные описанном выше. Кстати, запустить AVZ можно еще одим путем - этот зверь не блокирует программы/стандартные/командная строка в меню по кнопке "пуск"
-
-
Похоже что данный вирус в “нормальны обстоятельствах” на Windows 2000/XP неработоспособен, даже если его запустить. Большинство действий которые совершает данный вирус ему просто недоступны в этих самых “нормальны обстоятельствах”. Странный все-таки этот среднестатистический пользователь Windows, в Windows ведь давно строена хорошая защита от вредоносных программ (примерна 95% вирусов отсекается автоматически), а он все равно продолжает обходить ее стороной и устанавливает всякие там антивирусы, которые все равно не могут защитить компьютер от вирусов.
-
Сообщение от
Firza
Похоже что данный вирус в “нормальны обстоятельствах” на Windows 2000/XP неработоспособен, даже если его запустить. Большинство действий которые совершает данный вирус ему просто недоступны в этих самых “нормальны обстоятельствах”. Странный все-таки этот среднестатистический пользователь Windows, в Windows ведь давно строена хорошая защита от вредоносных программ (примерна 95% вирусов отсекается автоматически), а он все равно продолжает обходить ее стороной и устанавливает всякие там антивирусы, которые все равно не могут защитить компьютер от вирусов.
Не стоит утверждать что-то без анализа зловреда. Большинство повреждений реестра этот "зверь" делает именно в HKCU, и права на запись туда у пользователя есть.
-
-
спасибо за помощь
Сделал все по инструкции . Все восстановилось. Спасибо.
( а совет Мерфи весьма полезен - " Если что-то не получается - прочитай инструкцию")
-
-
Спасибо!
Огромное спасибо! Сделал, как было написано в инструкции - система восстановилась!
Хотя самого тела зверя обнаружить не удалось, как и 2-х указанных файлов (думаю, у меня попалась какая-то модификация описанного вируса - адрес по которому предлагает отправить кодпополнения счёта Киевстар: [email protected]). Просто по окончании проверки запустил восстановление системы. Остался , правда один небольшой глюк - картинка при установке её в качестве фоновой на рабочем столе съезжает вправо и вниз. Думаю, что в реестре всё-же не всё восстановилось. А в общем - класс! СПАСИБО!
-
-
Сообщение от
khryak
Огромное спасибо! Сделал, как было написано в инструкции - система восстановилась!
Хотя самого тела зверя обнаружить не удалось, как и 2-х указанных файлов (думаю, у меня попалась какая-то модификация описанного вируса - адрес по которому предлагает отправить кодпополнения счёта Киевстар:
[email protected]). Просто по окончании проверки запустил восстановление системы. Остался , правда один небольшой глюк - картинка при установке её в качестве фоновой на рабочем столе съезжает вправо и вниз. Думаю, что в реестре всё-же не всё восстановилось. А в общем - класс! СПАСИБО!
У меня было такое. Надо в настройках монитора ( панель управления)
в закладке Web восстановить картинку.
-
-
Спасибо! Установка и снятие галочки "Отображать мою текущую страницу" восстановило положение картинки рабочего стола.
-
-
Доброе утро!
Извините, а где Прицепленный к теме апдейт ????
1. Прицепленный к теме апдейт распаковать и положить в папку Base утилиты AVZ
-