вирус во временном файле avz ver 4.01

[multya]

вот такая штуковина интересная получилась, излагаю... решил "пощупать" что за утилитка такая avz. качнул, распаковал, с настройками по умолчанию запустил сканить диск с.... и каково было мое удивление когда спайдер (drweb) начал "пищать" о том что временный файл созданный утилитой инфицирован. ну думаю мало ли, фальс алярм, но нет, никакой не фальс... вот что говорит на этот файл virustotal:

This is a report processed by VirusTotal on 11/24/2005 at 11:45:54 (CET) after scanning the file "avz_1456_1._mp" file.

Antivirus Version Update Result
AntiVir 6.32.0.6 11.24.2005 TR/Bagle.gen
Avast 4.6.695.0 11.24.2005 Win32:Beagle-FR
AVG 718 11.23.2005 I-Worm/Bagle
Avira 6.32.0.6 11.24.2005 TR/Bagle.gen
BitDefender 7.2 11.24.2005 Trojan.Bagle.BK
CAT-QuickHeal 8.00 11.24.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 11.24.2005 Worm.Bagle.CD-1
DrWeb 4.33 11.24.2005 Win32.HLLM.Beagle.9219
eTrust-Iris 7.1.194.0 11.23.2005 no virus found
eTrust-Vet 11.9.1.0 11.24.2005 Win32.Glieder.CJ
Fortinet 2.48.0.0 11.24.2005 W32/Mitglieder.GJ-dldr
F-Prot 3.16c 11.24.2005 security risk named W32/Backdoor.HDU
Ikarus 0.2.59.0 11.23.2005 no virus found
Kaspersky 4.0.2.24 11.24.2005 Trojan-Downloader.Win32.Bagle.h
McAfee 4635 11.23.2005 W32/Bagle.gen
NOD32v2 1.1303 11.24.2005 Win32/Bagle.DR
Norman 5.70.10 11.23.2005 no virus found
Panda 8.02.00 11.23.2005 Trj/Mitglieder.GB
Sophos 3.99.0 11.24.2005 Troj/BagleDl-AK
Symantec 8.0 11.24.2005 Trojan.Lodear.D
TheHacker 5.9.1.044 11.23.2005 W32/Bagle.GEN@MM
VBA32 3.10.5 11.23.2005 Trojan-Downloader.Win32.Bagle.f


это как понимать, так и должно быть?

[Зайцев Олег]

Интеренсое открытие, а что, в FAQ (хелп и on-line документация на http://z-oleg.com/secur/avz_doc/) ничего не сказано ? Там специально пункт 7.7 есть ... он называется "7.7 Во время сканирования диска мой антивирусный монитор сообщил, что файл avz*.tmp заражен вирусом или является вредоносной программой". И вот что там написано:

Подобные сообщения могут выдаваться антивирусными мониторами, при этом зараженный файл обнаруживается в папке TEMP и имеет имя вида avz_XXXX_Y.tmp. Это временные файлы, которые создаются AVZ в ходе проверки архивов, писем электронной почты, MHT файлов и т.п., причем XXXX - это PID процесса AVZ, а Y - уровень вложенности архива.
Часто бывает так, что сканер и монитор применямого антивируса почему-то не находит вирусы/трояны в каком-либо архиве (причин несколько - может быть, в настройках антивируса отключена проверка архивов, антивирус не умеет проверять данный тип архива, архив находится в папке, проверка которой запрещена для антивируса и его монитора и т.п.). В момент извлечения AVZ-ом файла из архива антивирусный монитор проверяет его и может обнаружить вредоносную программу. В этом случае срабатывание вполне объяснимо и дальнейшая реакция может быть любой - можно разрешить антивирусному монитору "вылечить" файл, можно дать ему команду игнорировать - в любом случае AVZ рассчитан на возможность неожиданного удаления временного файла и сбоя в его работе не последует.

[multya]

ну ступил маленько, бывает сказал же в начале что только решил "пощупать"... еще раз прошу прощения.

но возник второй вопрос. почему тогда ваша программа сама не обнаружила этот вирус после того как натравил ее на папку с инфицированным файлом? лог работы avz:
Протокол антивирусной утилиты AVZ версии 4.01
Сканирование запущено в 24.11.2005 14:09:40
Загружена база: 18035 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, база от 18.11.2005 10:37
Загружены микропрограммы эвристики: 357
Загружены цифровые подписи системных файлов: 45847
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=06DFA0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 8046DFA0
KiST = 804742B8 (24
Проверено функций: 248, перехвачено: 0, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 345
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 29 TCP портов и 7 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 377, извлечено из архивов: 1, найдено вредоносных программ 0
Сканирование завершено в 24.11.2005 14:09:58
Сканирование длилось 00:00:18

методика лечения - стоит установлено "только отчет"

any comments?

[Зайцев Олег]

Если доктор WEB заблокирует файл, то AVZ его уже не увидит - следовательно реагировать будет доктор, AVZ будет молчать. Или второй вариант - зверь просто незнаком AVZ, поэтому AVZ его вытащил из какого-то архива, а доктор отреарировал. А если просто натравить AVZ на папку с файлом *.tmp, то он этот файл проверять скорее всего не будет - по дефолту сканируются файлы типа *.exe, *.com и т.п. - нужно или файл переименовать, или в настройке задать "сканировать все файлы"
В любом случае стоит прислать образец файлика со зверем на [email protected], судя по всему в базе Trojan-Downloader.Win32.Bagle.h отсутствует.

[multya]

- ставлю спайдер доктора на паузу - значит доктор ничего не блокирует (можете мне поверить)
- архив называется Nycholas.zip, внутри файл 12.exe - и судя по логу avz он таки был распакован
- и самое последнее - его таки нет в ваших базах, вышлю мылом

[Зайцев Олег]

- ставлю спайдер доктора на паузу - значит доктор ничего не блокирует (можете мне поверить)
- архив называется Nycholas.zip, внутри файл 12.exe - и судя по логу avz он таки был распакован
- и самое последнее - его таки нет в ваших базах, вышлю мылом

Да, файл пришел - этого зверя в базах не было, я его только что туда добавил.

[nickob]

здрасте!
Хотелось бы узнать про Trojan-Downloader.Win32.Bagle.h
Что за троян и что он может сделать на компе.
Получил по почте zip внутри 12.exe, КАВ обновлялся пару дней назад, на него не среагировал, после запуска:
- забеспокоился оутпост, выдавая сообщения про изменение памяти некоторыми приложениями.
-В автозагрузке (в реестре) появилось 2 пары записей: у юзера и локал машине.
-Исчез exe-шник оутпоста.
-после перезагрузки сломался антивирус.

Теперь последствия устраняю, хотелось бы выяснить что еще может натворил данный троян.

[HATTIFNATTOR]

Нужно сделать логи, по ним можно будет посмотреть
http://virusinfo.info/showthread.php?t=1235

[pig]

На viruslist.com нашёл описания нескольких последних Биглей:
http://www.viruslist.com/ru/viruses/...?virusid=94809
http://www.viruslist.com/ru/viruses/...?virusid=98405
http://www.viruslist.com/ru/viruses/...?virusid=96999
http://www.viruslist.com/ru/viruses/...?virusid=97000

Вообще их там только с описаниями десятка два, а общим счётом уже за две сотни. Правда, это класс Email-Worm. По Trojan-Downloader только пара ссылок и свежее предупреждение.

Если своими словами, то ничего хорошего от нового гада ждать не надо. Его задача - натащить на компьютер-жертву своих родственничков. В частности (как следует из предупреждения) - зомбирующий компонент, делающий из заражённой машины узел ботнета. То есть, будете либо спам рассылать, либо атаковать, на кого хозяин покажет.

[Зайцев Олег]

На viruslist.com нашёл описания нескольких последних Биглей:
http://www.viruslist.com/ru/viruses/...?virusid=94809
http://www.viruslist.com/ru/viruses/...?virusid=98405
http://www.viruslist.com/ru/viruses/...?virusid=96999
http://www.viruslist.com/ru/viruses/...?virusid=97000

Вообще их там только с описаниями десятка два, а общим счётом уже за две сотни. Правда, это класс Email-Worm. По Trojan-Downloader только пара ссылок и свежее предупреждение.

Если своими словами, то ничего хорошего от нового гада ждать не надо. Его задача - натащить на компьютер-жертву своих родственничков. В частности (как следует из предупреждения) - зомбирующий компонент, делающий из заражённой машины узел ботнета. То есть, будете либо спам рассылать, либо атаковать, на кого хозяин покажет.

Trojan-Downloader.Win32.Bagle.f - это небольшой файл, называется обычно 12.exe, размер 9742 байта. Снабжен иконкой, которая соответсвует файлу-картинке. После запуска открывает программу просмотра изображений Windows с какой-то картинкой - чтобы у пользователя не возникло сомнений в случае его запуска, что это не программа, а именно картинка.
Упаковщик/криптер не опознался, но тем не менее есть. Распакованный размер около 40 кб, в теле содержится база адресов (типа хттп://www.etwas-mode.de/z.php) - с одного из них производится загрузка самого Bagle и ссохранение под именем anti_troj.exe.

[Antivirus_KZ]

Мне встречался вместе с файлом anti_troj.exe еще один гад
с именем anti_av.exe.exe
а это что за зверь???

[pig]

Почти наверняка Бигль. Ещё попадались такие: antiav_exe.exe, antiav_dll.dll.

[Seeress]

Сегодня получила письмо:
От кого: Cppr <[email protected]>
Тема: Dorothy

Тело: foto-bank

Приложение: Ann.zip

При открытии приложения Avast нашел Win32:Beagle-FR [Wrm].