Описание вирусов: Trojan-Proxy.Win32.Lager.ab

[Зайцев Олег]

"Зверь" интересен тем, что его файлы сжаты криптером/пакером (причем тип этого криптера мне не известен), и файл на WEB сервере постоянно переупаковывается, т.е. в случае повторной загрузки "зверя" его исполняемые файлы существенно различаются. В упакованном файле сам зверь находится в секции "crpt" этого файла.
В ходе запуска он создает sysvcs.exe в папке system32, обменивается с Инет, внутри у него прописан URL
хттп://69.50.184.90/cntr/bin/latest.exe прямо открытым текстом, и еще
есть адреса:
хттп://69.50.184.90/cntr/ab.php
хттп://69.50.161.106/d/ab.php
хттп://65.75.151.190/d/ab.php

sysvcs.exe импортирует RASAPI, Wininet, UrlMon. Проявляет бурную
сетевую активность, обмен ведет по порту 25. Назначение этого "зверя", очевидно, - рассылка спама.
sysvcs.exe не создает окон, маскировку процесса не применяет.
Прописывается на автозапуск стандартным способом - в ключ реестра RUN, параметр с именем aupd.
В расшифрованном теле содержатся строки "Windows update Service" и
"Provide Windows update", а так-же заготовка bat-файла вида:
@echo off
:start1
if not exist %s goto done1
del %s
goto start1
:done1
~update.exe
:start2
if not exist ~update.exe goto done2
del ~update.exe
goto start2
:done2
del update.bat ~update.exe update.bat log.txt

В теле "зверя" есть типовой код/константы для обмена по электронной
почте и отправки данных по методу POST.
Файл ~update.exe создается на диске в папке System32, имеет размер 4 кб, сжатия и шифровки нет, является типичным Trojan-Downloader.
Кроме всего прочего "зверь" создает в System32 файл zlbw.dll - это
библиотека компрессии.

[WaterFish]

Немного не в тему:
Отправил сегодня этого представителя компьютерной фауны по двум адресам часов в 17.00,честно говоря не сомневался в быстром ответе:

Первый на.......

"Здравствуйте.
В присланном Вами файле обнаружено вредоносное программное обеспечение.

Trojan-Proxy.Win32.Lager.u

Его детектирование было включено в следующее обновление антивирусных баз.
Благодарим за оказанную помощь.
--------------
С уважением, Леонид Хованский.
Вирусный аналитик
ЗАО "Лаборатория Касперского"
18 Ноя 2005 18:19:11

Второй и нееб....

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.Galapoper


Спасибо за сотрудничество.

--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

18 Ноя 2005 18:53:42

Ну так и возникла мысль о том, что все наши-ваши тесты будут неполными, если не провести тест на время реакции на отпраленного в вирусные лабы зверя.
Причём понятно, что нужно учесть эвристику.
На этого зверя среагировал явно NOD и CAT-QuickHeal, а да и ещё Fortinet/
МИФ задетектил:Trojan.Win32.Crypt.l Ну это понятно

З.Ы. Интересно, почему в письме Касперски пишет о Trojan-Proxy.Win32.Lager.u, а на Virustotale и jotty он опознаётся как Packed.Win32.Klone.b?

[UsAr]

"Зверь" интересен тем, что его файлы сжаты криптером/пакером (причем тип этого криптера мне не известен)

это y0da's Crypter

[Sanja]

неа - это Yoda Protector

[kvit]

latest.exe - NOD32 у меня обнаружил его сразу:

latest.exe - a variant of Win32/TrojanProxy.Lager.F

Судя по последним удачам, NOD32 заслуживает попадания в список рекомендуемые антивирусы...

а вот добавление с virustotal:

AntiVir 6.32.0.6 11.21.2005 no virus found
Avast 4.6.695.0 11.20.2005 no virus found
AVG 718 11.21.2005 no virus found
Avira 6.32.0.6 11.21.2005 no virus found
BitDefender 7.2 11.22.2005 no virus found
CAT-QuickHeal 8.00 11.22.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 11.21.2005 no virus found
DrWeb 4.33 11.21.2005 Trojan.Galapoper
eTrust-Iris 7.1.194.0 11.21.2005 no virus found
eTrust-Vet 11.9.1.0 11.22.2005 Win32.Sinteri
Fortinet 2.48.0.0 11.21.2005 suspicious
F-Prot 3.16c 11.22.2005 could be infected with an unknown virus
Ikarus 0.2.59.0 11.22.2005 no virus found
Kaspersky 4.0.2.24 11.22.2005 Packed.Win32.Klone.b
McAfee 4633 11.21.2005 Galapoper
NOD32v2 1.1296 11.21.2005 a variant of Win32/TrojanProxy.Lager.F
Norman 5.70.10 11.21.2005 no virus found
Panda 8.02.00 11.22.2005 no virus found
Sophos 3.99.0 11.22.2005 no virus found
Symantec 8.0 11.21.2005 no virus found
TheHacker 5.9.1.038 11.22.2005 no virus found
VBA32 3.10.5 11.21.2005 Trojan.Win32.Crypt.l

[kvit]

В тему:

На этого зверя среагировал явно NOD и CAT-QuickHeal, а да и ещё Fortinet/

Вот кстати ответ на сканирование Yoda Protector:

AntiVir 6.32.0.6 11.21.2005 no virus found
Avast 4.6.695.0 11.20.2005 no virus found
AVG 718 11.21.2005 no virus found
Avira 6.32.0.6 11.21.2005 no virus found
BitDefender 7.2 11.22.2005 no virus found
CAT-QuickHeal 8.00 11.22.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 11.21.2005 no virus found
DrWeb 4.33 11.21.2005 no virus found
eTrust-Iris 7.1.194.0 11.21.2005 no virus found
eTrust-Vet 11.9.1.0 11.22.2005 no virus found
Fortinet 2.48.0.0 11.22.2005 suspicious
F-Prot 3.16c 11.22.2005 no virus found
Ikarus 0.2.59.0 11.22.2005 no virus found
Kaspersky 4.0.2.24 11.22.2005 no virus found
McAfee 4633 11.21.2005 no virus found
NOD32v2 1.1296 11.21.2005 no virus found
Norman 5.70.10 11.21.2005 no virus found
Panda 8.02.00 11.22.2005 no virus found
Sophos 3.99.0 11.22.2005 no virus found
Symantec 8.0 11.21.2005 no virus found
TheHacker 5.9.1.039 11.22.2005 no virus found
VBA32 3.10.5 11.21.2005 no virus found

[Firza]

... В ходе запуска он создает sysvcs.exe в папке system32
... Прописывается на автозапуск стандартным способом - в ключ реестра RUN
... Файл ~update.exe создается на диске в папке System32
... "зверь" создает в System32 файл zlbw.dll

Данные функции не работают в Windows 2k/XP. Даже непонятно как данная программа получила гордое название Virus – Trojan, если он несовместим с Windows XP, то есть - не работает без прав Administrator. Значит это вирус только для Windows 9x.
Разве большая проблема написать похожие на эту, вредоносные программы для Linux и который также будет работать только с правами привилегированного пользователя. Думаю, такие программы некто не стал бы называть вирусами для Linux, на них просто некто не обратит внимание.
Ах, да вспомнил, что на Windows есть многолетня, устоявшийся традиция все программы без разбора запускать с правами Administrator . Если это так то, тогда действительно это вирус.

[waddafq]

Данные функции не работают в Windows 2k/XP.

работают, и не только из под администратора

Думаю, такие программы некто не стал бы называть вирусами для Linux, на них просто некто не обратит внимание.

кто этот постоянно упоминающийся "некто" ?

[Firza]

работают, и не только из под администратора

Какая из мною перечисленных функций данного “вируса” работает без прав Administrator? Я, конечно, имел в виду Windows 2k/XP на NTFS. В описании “вируса” не было сказано, в каком именно месте находится: “автозапуск стандартным способом - в ключ реестра RUN”. Если это в HKLM, то там вирусам вход запрещен, если в HKCU, то там действительно вирус может писать и добавлять ключи в RUN (в данном случаи это неименит смыло).
Ах, да на Windows может быть пользователи группы “Power User” но по уровню прав это братья-близнецы c Administrators. И когда я писал про “не работает без прав Administrator” то не имел ввиду такую бессмысленную вещь как “Power User”.
Если кто-то советует не пользоваться все время правами Administrator это надо понимать, что надо пользоваться правами Limited User. А использовать “Power User” бессмысленно.