Описания вредоносных програм

[starik]

Решил создать серьёзную тему и посвятить её вирусам, точнее описаниям этих самих вирусов. Разрешено выкладывать описания вредоносных программ каторые не имеют описания на viruslist.com/ru, описания вредоносов которых нет в базе КАВ_КИС, (каторые естественно в скорем времени там ДОЛЖНЫ появиться).

-------------------------------------

И вот как бы вступительный взнос - продвинутый клавиатурный_форм-граберный шпион. Продвинутый по причине того что чательно был скрыт kernel-mode руткитом(о руте чуть попозже напишу)

-------------------------------------

 

**********************************

// Struct_Vir_Class_Name

Ratond@_Lab: Trojan-Spy.Win32_PE_DLL.HookLogBlock

/* Обнаружен 19.11.2007 */

 

// Техническая Информация

Вредоносное ПО является PE DLL файлом, инсталируется в систему с помощью Trojan-DRP.W32.HookInstal. За сохранение данных введёными пользователем

с клавиатуры отвечает PE EXE компанент которому будет передана соответсвующая информация, интересно то что файл который будут записыватся логи

нажатых клавиш создаёт EXE'шный дропер,а протекциию файла обеспечивает библиотекка. Шпион написан на Visual C++ 6, размер 36 килобайт

Точная дата создания 25.08.2004.

 

// Активность

Создаёт файл в каторый сохраняются введёные пользователем данные с:\docum~1\%user%\index.log.DAT, доступ к файлу получить пользователь не может,

при открытии файла будет выведено сообщение об ошибке "доступ к файлу запрещён", используется "Си'шная" протекция, котурую можно обойти

a)Вошли с другой ОС

б)Написали подобное "чудо"

а)Снесли либу - сделать будет не просто так как либа подгружается ко всем процессам

В библеотеки есть функции самозащиты, помимо того что работает с хуками, она получает координаты курсора смотрит что за окошко, и если это окошко

занесено в black лист, окно "тупо прячется". Допустим вы не сможете воспользоваться утилитой от Майкрософт выполнив в камандной строке msconfig

Список окон которые будут скрыты (см.ниже)

ThunderHScrollBar

ThunderVScrollBar

123WScrollBar

Lego.SCROLLBAR

SCROLLBAR

ScrollBa

MSPPage

paneClassDC

EXCEL7

_WwG

A44DwheelMouseSharedMemory

A4WheelMouseYWQ99

MsoCommandBar

OfficeDropdown

ScrollBar

JSScrollBar

Js-SCROLL

OpusRSB и т.д.

Точно нельзя сказать с каким типом хуков работает Spy, всё зависти от того что передаст устанавливающий тип хука EXE-файл,в этом примере

Spy работает как с WH_KEYBOARD так и с WH_GETMESSAGE

 

// back_cool_life

Всё зависит от отого каким способом программа попала в компьютер. Обновите антивирус и просканируейте систему.

Проверьте наличие файла c:\windows\system32\Amhook.exe если файл существует удалите его

****************************************

 

Вот только что с вирустотола, НЕ ОДИН AV не пикнул в сторону файла http://www.virustotal.com/ru/resultado.htm...f7dc9f1d5701a63

 

 

--------------------

AhnLab-V3 2007.11.20.1 2007.11.20 -

AntiVir 7.6.0.34 2007.11.20 -

Authentium 4.93.8 2007.11.20 -

Avast 4.7.1074.0 2007.11.20 -

AVG 7.5.0.503 2007.11.20 -

BitDefender 7.2 2007.11.20 -

CAT-QuickHeal 9.00 2007.11.20 -

ClamAV 0.91.2 2007.11.20 -

DrWeb 4.44.0.09170 2007.11.20 -

eSafe 7.0.15.0 2007.11.14 -

eTrust-Vet 31.3.5311 2007.11.20 -

Ewido 4.0 2007.11.20 -

FileAdvisor 1 2007.11.20 -

Fortinet 3.11.0.0 2007.11.20 -

F-Prot 4.4.2.54 2007.11.19 -

F-Secure 6.70.13030.0 2007.11.20 -

Ikarus T3.1.1.12 2007.11.20 -

Kaspersky 7.0.0.125 2007.11.20 -

McAfee 5166 2007.11.19 -

Microsoft 1.3007 2007.11.20 -

NOD32v2 2673 2007.11.20 -

Norman 5.80.02 2007.11.20 -

Panda 9.0.0.4 2007.11.20 -

Prevx1 V2 2007.11.20 -

Rising 20.19.10.00 2007.11.20 -

Sophos 4.23.0 2007.11.20 -

Sunbelt 2.2.907.0 2007.11.20 -

Symantec 10 2007.11.20 -

TheHacker 6.2.9.134 2007.11.19 -

VBA32 3.12.2.5 2007.11.20 -

VirusBuster 4.3.26:9 2007.11.20 -

Webwasher-Gateway 6.0.1 2007.11.20 -

------------------------------------------------------------------

[vidocq89]

нехило, видимо писалось с нуля.. гм

[starik]

Аналитик ЛК анализируют данный файл 3-и сутки... так и не получил ответа

Изменено 21 ноября, 2007 пользователем starik