Adware.GloboSearch
Если бы к Adware можно было бы применить термин "эпидемия", то можно было бы констатировать эпидемию Adware.GloboSearch. Данный Adware (ее в принципе можно причислить к троянам) состоит из единственной dll. Rootkit: Нет
Если бы к Adware можно было бы применить термин "эпидемия", то можно было бы констатировать эпидемию Adware.GloboSearch.
Данный Adware (ее в принципе можно причислить к троянам) состоит из единственной dll. На настоящий момент типовое имя - param32.dll, но оно может измениться. Файл имеет небольшой размер, около 15 кб.
Проявления:
1. Подмена стартовой страницы, как правило на http://www.newgenlook.info
2. Появление в трее постороннего значка в виде кружка с крестом, для значка выводятся разные сообщения о якобы обнаруженных атаках и проблемах с безопасностью
3. Периодически выводятся окна с сообщениями о каких-то якобы открытых портах, предупреждениях безопасности ... - естественно поддельные
4. Идет посторонний обмен с http://www.newgenlook.info/ad/ad0237/dating/dating.html
Особенность этого Adware.GloboSearch состоит в том, что он не создает процессы и не внедряется в IE как BHO - его DLL загружается при помощи малоизвестного ключа реестра "SharedTaskScheduler".
Лечение
Для детектирования "зверя" в AVZ внесены все известные сигнатуры + микропрограмма эвристики для детектирования новых типов. Кроме того, в AVZ для этого "зверя" есть микропрограмма лечения, которая удалит его ключи реестра и удалит сам файл при помощи отложенного удаления.
=============================================================
Virus.VBS.Agent.c
Опасная вредоносная программа с деструктивными функциями - уничтожает документы, музыку, видеофайлы и рисунки на всех дисках пораженного ПК. Rootkit: Нет
Видимые проявления: Замена картинок, музыки и документов посторонними данными
Программа one.exe в автозапуске
***
Видимые проявления: Замена картинок, музыки и документов посторонними данными
Программа one.exe в автозапуске
Опасная троянская программа, уничтожает данные пользователя на диске. От данного зловреда пострадали многие пользователи, зафиксирован буквально шквал обращений (в том числе в конференциях http://virusinfo.info и http://forum.kaspersky.com
Видимые проявления - в автозапуске появляется посторонний файл one.exe (файл размещается в папке Windows), который является SFX архивом. В случае запуска он распаковывается в корень диска C:, при это создаются следующие файлы: dr.vbs, DR1.dr, DR2.dr и DR3.dr. Файл dr.vbs после этого запускается (для извлечения файлов и запуска в архиве имеется скрипт: Path=c: Setup=dr.vbs).
Скрипт dr.vbs зашифрован для защиты от изучения, шифровка примитивная. Расшифровка показывает, что скрипт ищет файлы на диске (при этом анализируются все диски системы с типом Fixed (т.е. HDD) и Network (сетевой диск)), и в зависимости от расширения копирует заготовки
DR1.dr - DR3.dr поверх некоторых файлов. Поражаются файлы следующих типов:
mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave - поверх них копируется файл DR1.dr
jpg,bmp,gif,png -> DR2.dr
txt,xlsЭ,doc,htm,xl -> DR3.dr
Файл DR1.dr является музыкальным файлом с ID3 тегом "Тут могла быть ваша РЕКЛАМА!!! По вопросам размещения во второй волне : xxx@yyyy", соответственно DR2.dr - это картинка формата JPEG (в ней призыв разместить рекламу написан на картинке, причем с лозунгом "Диструктивная реклама") и DR3.dr - текстовый файл, по содержимому идентичный ID3 тегу DR1.dr.
Как очевидно из описания, файлы перечисленных расширений будут уничтожены, резервных копий затираемых файлов зловред не делает.
Скрипт по некоторым стилистическим элементам похож на аналогичного деструктивного зловреда Email-Worm.VBS.Agent.j
Внедрение в систему и распространение
Зловред распространяется в виде файла с расширением SCR, размер файла - 424 кб, это SFX архив с файлами 01.vbs, 02.vbs, 03.vbs, 04.vbs и one.exe внутри. В случае запуска файлы извлекаются в папку Windows и идет запуск 01.vbs
1. WINDOWS1.vbs - проверяет наличие в корне диска dr.vbs. Если его нет, то запускается 02.vbs и самоуничтожается
2. WINDOWS2.vbs - просматривает папки в каталоге Mra, принадлежащем MailRu Agent. Сканированием этой папки строит список адресов - найденные адреса заносятся в файл "c:DR.dr", после чего запускается 03.vbs и самоуничтожается
3. WINDOWS3.vbs -регистрирует в реестре файл one.exe, блокирует запуск редактора реестра и диспетчера задач через политики, после чего рассылает на один из встроенных в тело скрипта адресов письмо, текстовка "complete..." + аттчач - файл c:DR.ey, после чего запускает 04.vbs и самоуничтожается. Файл DR.ey содержит данные ключа реестра SoftwareMail.RuAgent.
4. WINDOWS4.vbs Рассылает письма c заголовком "Вам пришла открытка от: xxxx" и телом "Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: xxxx@ Открытка ждёт Вас по адресу: <полный адрес файла SCR, инсталлирующего зловреда>. Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней."
Для поражения ПК пользователю нужно перейти по указанной в подобном письме ссылке, загрузить и запустить файл (подтвердив запрос системы на запуск). Таким образом следует вспомнить основную заповедь безопасности в Интернет - не следует переходить по подозрительным ссылкам и запускать непонятные программы, загруженные по этим ссылкам ... Зловред заменяет все текстовые файлы, звуки и картинки, в том числе и системные и принадлежащие различным программам - поэтому если он отработал, то стоит или восстановить систему из резервной копии, или произвести ее переустановку
Заблокированный запуск редактора реестра и менеджер задач можно разблокировать скриптом номер 6 восстановления системы AVZ (AVZ, меню "Файл/восстановление системы").
==============================================================
Trojan-Clicker.Win32.Costrat.n
Rootkit: Да
Видимые проявления: AVZ обнаруживает перехват SYSENTER
подозрение на RootKit pe386 C:WINDOWSsystem32:lzx32.sys
Синонимы: Backdoor.Rustock.B (Symantec)
Установка данной троянской программы производится дроппером размером 71 кб. В случае его запуска скрытно выполняются следующие операции:
1. Создается файл C:WINDOWSsystem32:lzx32.sys. Обратите внимание – этот файл хранится в NTFS потоке каталога System32, что сделано для затруднения поиска и удаления драйвера
2. Драйвер регистрируется в реестре, имя ключа - pe386
3. В системном процессе explorer.exe создается блок памяти размером 2 кб, в который копируется троянский код. Этот код запускается на выполнение при помощи механизма удаленных потоков (CreateRemoteThread). Троянский код может обмениваться с сайтом 208.66.194.55/index.php?page=main и осуществлять загрузку драйвера
Драйвер lzx32.sys является фильтром файловой системы и предназначен для защиты и маскировки файлов на диске. Кроме того, он маскирует свой ключ в реестре, перехватывая системные функции при помощи перехвата SysEnter
Обнаружение вручную
AVZ детектирует данную вредоносную программу модулем антируткита, проткоол имеет вид:
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:WINDOWSsystem32ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:WINDOWSsystem32:lzx32.sys
Нейтрализация и удаление вручную
1. Закрыть все приложения. Запустить AVZ. Произвести сканирование системного диска с включенным антируткитом
2. Активировать AVZ Guard
3. Произвести отложенное удаление файла system32:lzx32.sys (это проще всего сделать, нажав кнопку просмотра заподозренных объектов справа от протокола, этот файл будет в списке объектов – его нужно отметить и нажать кнопку «Удалить» )
4. Произвести поиск в реестре через службу «Поиск данных в реестре». Образец поиска – «system32:lzx32.sys». Результат будет иметь примерно следующий вид:
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicespe386ImagePath = ??C:WINDOWSsystem32:lzx32.sys
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicespe386ImagePath = ??C:WINDOWSsystem32:lzx32.sys
Эти ключи следует удалить (для этого нужно отметить их на закладке «Найденные ключи» и нажать кнопку «Удалить отмеченные ключи»
5. Перезагрузиться, не отключая AVZ Guard
6. Повторить сканирование системного диска. В случае успешного удаления данной вредоносной программы перехват SYSENTER в протоколе перестанет детектироваться. Если драйвер о каким-либо причинам не удалится на шаге 3, то в протоколе будет сообщение файлового сканера о исполняемом файле в потоке каталога System32. В этом случае следует повторить шаг 3
***
информация с сайта AVZ ниже ниже с сылка
http://z-oleg.com/index.php
***
AVZ - справка по работе с программой
http://z-oleg.com/secur/avz_doc/
|
