-
Описание вирусов: Trojan-Proxy.Win32.Lager.ab
"Зверь" интересен тем, что его файлы сжаты криптером/пакером (причем тип этого криптера мне не известен), и файл на WEB сервере постоянно переупаковывается, т.е. в случае повторной загрузки "зверя" его исполняемые файлы существенно различаются. В упакованном файле сам зверь находится в секции "crpt" этого файла.
В ходе запуска он создает sysvcs.exe в папке system32, обменивается с Инет, внутри у него прописан URL
хттп://69.50.184.90/cntr/bin/latest.exe прямо открытым текстом, и еще
есть адреса:
хттп://69.50.184.90/cntr/ab.php
хттп://69.50.161.106/d/ab.php
хттп://65.75.151.190/d/ab.php
sysvcs.exe импортирует RASAPI, Wininet, UrlMon. Проявляет бурную
сетевую активность, обмен ведет по порту 25. Назначение этого "зверя", очевидно, - рассылка спама.
sysvcs.exe не создает окон, маскировку процесса не применяет.
Прописывается на автозапуск стандартным способом - в ключ реестра RUN, параметр с именем aupd.
В расшифрованном теле содержатся строки "Windows update Service" и
"Provide Windows update", а так-же заготовка bat-файла вида:
@echo off
:start1
if not exist %s goto done1
del %s
goto start1
:done1
~update.exe
:start2
if not exist ~update.exe goto done2
del ~update.exe
goto start2
:done2
del update.bat ~update.exe update.bat log.txt
В теле "зверя" есть типовой код/константы для обмена по электронной
почте и отправки данных по методу POST.
Файл ~update.exe создается на диске в папке System32, имеет размер 4 кб, сжатия и шифровки нет, является типичным Trojan-Downloader.
Кроме всего прочего "зверь" создает в System32 файл zlbw.dll - это
библиотека компрессии.
Последний раз редактировалось Alexey P.; 18.11.2005 в 22:27.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Full Member
- Вес репутации
- 69
-
Junior Member
- Вес репутации
- 68
"Зверь" интересен тем, что его файлы сжаты криптером/пакером (причем тип этого криптера мне не известен)
это y0da's Crypter
-
Visiting Helper
- Вес репутации
- 76
неа - это Yoda Protector
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
latest.exe - NOD32 у меня обнаружил его сразу:
latest.exe - a variant of Win32/TrojanProxy.Lager.F
Судя по последним удачам, NOD32 заслуживает попадания в список рекомендуемые антивирусы...
а вот добавление с virustotal:
AntiVir 6.32.0.6 11.21.2005 no virus found
Avast 4.6.695.0 11.20.2005 no virus found
AVG 718 11.21.2005 no virus found
Avira 6.32.0.6 11.21.2005 no virus found
BitDefender 7.2 11.22.2005 no virus found
CAT-QuickHeal 8.00 11.22.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 11.21.2005 no virus found
DrWeb 4.33 11.21.2005 Trojan.Galapoper
eTrust-Iris 7.1.194.0 11.21.2005 no virus found
eTrust-Vet 11.9.1.0 11.22.2005 Win32.Sinteri
Fortinet 2.48.0.0 11.21.2005 suspicious
F-Prot 3.16c 11.22.2005 could be infected with an unknown virus
Ikarus 0.2.59.0 11.22.2005 no virus found
Kaspersky 4.0.2.24 11.22.2005 Packed.Win32.Klone.b
McAfee 4633 11.21.2005 Galapoper
NOD32v2 1.1296 11.21.2005 a variant of Win32/TrojanProxy.Lager.F
Norman 5.70.10 11.21.2005 no virus found
Panda 8.02.00 11.22.2005 no virus found
Sophos 3.99.0 11.22.2005 no virus found
Symantec 8.0 11.21.2005 no virus found
TheHacker 5.9.1.038 11.22.2005 no virus found
VBA32 3.10.5 11.21.2005 Trojan.Win32.Crypt.l
-
В тему:
На этого зверя среагировал явно NOD и CAT-QuickHeal, а да и ещё Fortinet/
Вот кстати ответ на сканирование Yoda Protector:
AntiVir 6.32.0.6 11.21.2005 no virus found
Avast 4.6.695.0 11.20.2005 no virus found
AVG 718 11.21.2005 no virus found
Avira 6.32.0.6 11.21.2005 no virus found
BitDefender 7.2 11.22.2005 no virus found
CAT-QuickHeal 8.00 11.22.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 11.21.2005 no virus found
DrWeb 4.33 11.21.2005 no virus found
eTrust-Iris 7.1.194.0 11.21.2005 no virus found
eTrust-Vet 11.9.1.0 11.22.2005 no virus found
Fortinet 2.48.0.0 11.22.2005 suspicious
F-Prot 3.16c 11.22.2005 no virus found
Ikarus 0.2.59.0 11.22.2005 no virus found
Kaspersky 4.0.2.24 11.22.2005 no virus found
McAfee 4633 11.21.2005 no virus found
NOD32v2 1.1296 11.21.2005 no virus found
Norman 5.70.10 11.21.2005 no virus found
Panda 8.02.00 11.22.2005 no virus found
Sophos 3.99.0 11.22.2005 no virus found
Symantec 8.0 11.21.2005 no virus found
TheHacker 5.9.1.039 11.22.2005 no virus found
VBA32 3.10.5 11.21.2005 no virus found
-
Сообщение от
Зайцев Олег
... В ходе запуска он создает sysvcs.exe в папке system32
... Прописывается на автозапуск стандартным способом - в ключ реестра RUN
... Файл ~update.exe создается на диске в папке System32
... "зверь" создает в System32 файл zlbw.dll
Данные функции не работают в Windows 2k/XP. Даже непонятно как данная программа получила гордое название Virus – Trojan, если он несовместим с Windows XP, то есть - не работает без прав Administrator. Значит это вирус только для Windows 9x.
Разве большая проблема написать похожие на эту, вредоносные программы для Linux и который также будет работать только с правами привилегированного пользователя. Думаю, такие программы некто не стал бы называть вирусами для Linux, на них просто некто не обратит внимание.
Ах, да вспомнил, что на Windows есть многолетня, устоявшийся традиция все программы без разбора запускать с правами Administrator . Если это так то, тогда действительно это вирус.
-
Junior Member
- Вес репутации
- 68
Сообщение от
Firza
Данные функции не работают в Windows 2k/XP.
работают, и не только из под администратора
Сообщение от
Firza
Думаю, такие программы некто не стал бы называть вирусами для Linux, на них просто некто не обратит внимание.
кто этот постоянно упоминающийся "некто" ?
-
Сообщение от
waddafq
работают, и не только из под администратора
Какая из мною перечисленных функций данного “вируса” работает без прав Administrator? Я, конечно, имел в виду Windows 2k/XP на NTFS. В описании “вируса” не было сказано, в каком именно месте находится: “автозапуск стандартным способом - в ключ реестра RUN”. Если это в HKLM, то там вирусам вход запрещен, если в HKCU, то там действительно вирус может писать и добавлять ключи в RUN (в данном случаи это неименит смыло).
Ах, да на Windows может быть пользователи группы “Power User” но по уровню прав это братья-близнецы c Administrators. И когда я писал про “не работает без прав Administrator” то не имел ввиду такую бессмысленную вещь как “Power User”.
Если кто-то советует не пользоваться все время правами Administrator это надо понимать, что надо пользоваться правами Limited User. А использовать “Power User” бессмысленно.