Компьютерный форум NoWa.cc - Показать сообщение отдельно

Dark Rainfal · 18.12.2007, 10:03

(c) virusinfo.info

Ссылка на описание и лечение вируса.
virusinfo.info/showthread.php?p=161534

Trojan.Win32.BHO.abo

Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда.
Будучи запущенным installer.exe скрытно выполняет следующие операции:
1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции
2. Изучает список запущенных процессов
3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll
4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX)
5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО
6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска.
7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_")
На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК

Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей *.DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита.

Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google.

18.12.2007, 10:03	#155
Dark Rainfal Пользователь Пол: Регистрация: 17.12.2007 Сообщений: 40 Репутация: 8	Ответ: Вирусные эпидемии! Будь бдителен! (c) virusinfo.info Ссылка на описание и лечение вируса. virusinfo.info/showthread.php?p=161534 Trojan.Win32.BHO.abo Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда. Будучи запущенным installer.exe скрытно выполняет следующие операции: 1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции 2. Изучает список запущенных процессов 3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll 4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX) 5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО 6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска. 7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_") На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей .DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита. Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google. Последний раз редактировалось Dark Rainfal; 18.12.2007 в 10:06..*