Вирус HideAgent.dll

[Irbis73]

AVZ подозревает в вирусе файл c:\windows\system32\HideAgent.dll.

 

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D7B->7C884FB0

Функция kernel32.dll:LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D53->7C884FC4

Функция kernel32.dll:LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF5->7C884FEC

Функция kernel32.dll:LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AEEB->7C884FD8

Детектирована модификация IAT: LoadLibraryA - 7C884FB0<>7C801D7B

 

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS\system32\HideAgent.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS\system32\HideAgent.dll>>> Поведенческий анализ

1. Реагирует на события: клавиатура, мышь

C:\WINDOWS\system32\HideAgent.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

 

логи приложены

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Илья Константинович]

Ну, вопервых, здравствуйте (и ваш камп пусть тоже здравствует!). Скажите, а другими сканерами проверяли (есть в подписи). Попробуйте етот файл отправить на http://virustotal.com/ и напишите ответ. И еще, сделайте плиз, логи GetSystemInfo хелперам может нужно будет!

 

Строгое предупреждение от модератора ТроПа

И еще, сделайте плиз, логи GetSystemInfo хелперам может нужно будет!

Я думаю, что когда понадобится то консультант и сам запросит этот лог.

Впредь прошу воздержаться от подобных высказываний. Просите пользователя сделать что-то, если совершенно уверенны, что это необходимо

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\scfsp.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\scnet.sys','');
QuarantineFile('C:\WINDOWS\system32\csrss_tc.exe','');
QuarantineFile('C:\WINDOWS\system32\HideAgent.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

[Irbis73]

Ну, вопервых, здравствуйте (и ваш камп пусть тоже здравствует!). Скажите, а другими сканерами проверяли (есть в подписи). Попробуйте етот файл отправить на http://virustotal.com/ и напишите ответ. И еще, сделайте плиз, логи GetSystemInfo хелперам может нужно будет!

Да конечно. Добрый день!

 

Вот ответ с virustotal.com

 

a-squared 4.5.0.24 2009.09.24 -

AhnLab-V3 5.0.0.2 2009.09.24 -

AntiVir 7.9.1.25 2009.09.24 HEUR/Malware

Antiy-AVL 2.0.3.7 2009.09.24 -

Authentium 5.1.2.4 2009.09.24 -

Avast 4.8.1351.0 2009.09.24 -

AVG 8.5.0.412 2009.09.24 -

BitDefender 7.2 2009.09.25 -

CAT-QuickHeal 10.00 2009.09.24 -

ClamAV 0.94.1 2009.09.24 -

Comodo 2426 2009.09.24 -

DrWeb 5.0.0.12182 2009.09.24 -

eSafe 7.0.17.0 2009.09.24 -

eTrust-Vet 31.6.6759 2009.09.24 Win32/ProcHide.A

F-Prot 4.5.1.85 2009.09.24 -

F-Secure 8.0.14470.0 2009.09.24 -

Fortinet 3.120.0.0 2009.09.24 -

GData 19 2009.09.25 -

Ikarus T3.1.1.72.0 2009.09.24 -

Jiangmin 11.0.800 2009.09.24 -

K7AntiVirus 7.10.853 2009.09.24 -

Kaspersky 7.0.0.125 2009.09.25 -

McAfee 5751 2009.09.24 -

McAfee+Artemis 5751 2009.09.24 Artemis!A4B4B98D4ED5

McAfee-GW-Edition 6.8.5 2009.09.24 Heuristic.BehavesLike.Win32.Backdoor.H

Microsoft 1.5005 2009.09.23 -

NOD32 4455 2009.09.24 -

Norman 6.01.09 2009.09.24 -

nProtect 2009.1.8.0 2009.09.24 -

Panda 10.0.2.2 2009.09.24 -

PCTools 4.4.2.0 2009.09.24 -

Prevx 3.0 2009.09.25 -

Rising 21.48.34.00 2009.09.24 -

Sophos 4.45.0 2009.09.25 -

Sunbelt 3.2.1858.2 2009.09.24 -

Symantec 1.4.4.12 2009.09.25 -

TheHacker 6.5.0.2.017 2009.09.24 -

TrendMicro 8.950.0.1094 2009.09.24 -

VBA32 3.12.10.11 2009.09.24 -

ViRobot 2009.9.24.1952 2009.09.24 -

VirusBuster 4.6.5.0 2009.09.24 -

Дополнительная информация

File size: 48128 bytes

MD5 : a4b4b98d4ed5d7cf8b184aadc51e4ff2

SHA1 : 9477f29ebf6cd021b0298e0402a7d0fe097706c6

SHA256: da9e5aeb0bf908b6de27949651e0482b09798032547597967ec989e99801e6d0

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x1B4A

timedatestamp.....: 0x49952E2E (Fri Feb 13 09:24:14 2009)

machinetype.......: 0x14C (Intel I386)

 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x6B88 0x6C00 6.55 52c1c6e1665aecc38564b82a4e88e809

.rdata 0x8000 0x26DC 0x2800 5.37 b378f05e4440ba584bf2e47a1bc7fed1

.data 0xB000 0x18E4 0xE00 2.45 ac830d6479aaf55a255d3299998cf6de

.rsrc 0xD000 0x1B4 0x200 5.11 a09ee0743bee58fbe63a9a50c1d3f79b

.reloc 0xE000 0x12A6 0x1400 3.75 e6838e099abe1f3894d7c65f8b090923

 

( 3 imports )

 

> dbghelp.dll: ImageDirectoryEntryToData

> kernel32.dll: GetStartupInfoA, WriteProcessMemory, VirtualProtectEx, GetCurrentProcess, lstrcmpiA, CloseHandle, Module32NextW, Module32FirstW, CreateToolhelp32Snapshot, GetCurrentProcessId, GetProcAddress, GetModuleHandleW, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, lstrlenW, lstrcpyW, lstrcmpW, GetModuleFileNameW, OpenFileMappingW, RtlUnwind, GetCurrentThreadId, GetCommandLineA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetLastError, InterlockedDecrement, HeapFree, Sleep, ExitProcess, SetHandleCount, GetStdHandle, GetFileType, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, HeapCreate, HeapDestroy, VirtualFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, HeapAlloc, RaiseException, LeaveCriticalSection, EnterCriticalSection, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, VirtualAlloc, HeapReAlloc, WriteFile, LoadLibraryA, InitializeCriticalSectionAndSpinCount, HeapSize, GetLocaleInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, LCMapStringA, LCMapStringW

> user32.dll: SetWindowsHookExW, CallNextHookEx

 

( 1 exports )

 

> HideProcess

TrID : File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

ssdeep: 768:S3Y/UeOL5pCSUNH76y0W/YGxigv1cDs4MRo/3Ct:AY/UeO6X/Y8cyRo/3Ct

Prevx Info: http://info.prevx.com/aboutprogramtext.asp...50B2500E278C25C

PEiD : -

RDS : NSRL Reference Data Set

 

Лог GetSystemInfo приложен.

 

И еще на зараженном компьютере не включаеться режим отображения скрытив файлов в exlorer'е.

Файл hideagent.dll имеет статус скрытый.

GetSystemInfo_O_KORNEEVA_o.korneeva_2010_02_11_15_58_18.zip

Изменено 11 февраля, 2010 пользователем Irbis73

[Irbis73]

Ответ от newvirus был следующим

"Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику."

От вирусного аналитика ответа не дождался.

Отформатировал венчестер и поставил новую ОС.

Если будет какой ответ сообщу в этой теме.