Перейти к содержанию
Пит

Trojan-Spy.Win32.Goldun.lx и Касперский.

Recommended Posts

Пит

Интересный троян. Каспер 7 его видит, а удалить не может. Гы-гы

Скинул его в закрытую ветку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Каспер 7 его видит, а удалить не может. Гы-гы

Вы имеете ввиду не может удалить сам файл? Или активную малвару?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Вы имеете ввиду не может удалить сам файл? Или активную малвару?

И то и то. :)

Хотя тема уже не актуальна.

Вот за что уважаю касперовцев, так это за оперативность. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Вот за что уважаю касперовцев, так это за оперативность. :wink:

Хм. А можно поподробнее, плиз? В смысле, КАВ видел зверя, но не мог удалить, а теперь и видит и может удалить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
И то и то. Smile

Пит

Вы ошибаетесь.

Активного этого вируса Каспер 7 должен убивать.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Вы ошибаетесь.

Может быть.

Активного этого вируса Каспер 7 должен убивать.

Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Гы. а что у Вас инсталлятор в папке system32 мог делать? :)

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Как понимать "засунуть любой детектируемый вирь в инсталлятор"???

В данном случае троян был склеен джойнером MicroJoiner, плюс покриптован RCryptor.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Угу, именно. Если отключить в файловом антивирусе эмулятор, то этот файл бы не детектировался. Но если бы его вдруг решили бы запустить - то вирус бы был пойман сигнатурно в момент записи на диск - в данном случае в temp (в настройках джойнера можно задавать настройки, куда дропать склеенные файлы). То есть принцип работы тот же что и SFX-архива.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Гы. а что у Вас инсталлятор в папке system32 мог делать?

Честно говоря, и меня это удивило. Но пользователь точно туда его не мог засунуть, он только начал осваивать компьютер. Для меня это осталось загадкой.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

А тут что должны раздаться аплодисменты! :D

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

По идеи - не должны. В данном случае другое - Касперский обнаружил трояна, которого вирмэйкер пытался спрятать обработкай клеем и криптером.

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Вот результат с вирустотал, сразу после того как Вы выложили сампл:

File userinit.exe received on 08.24.2007 20:57:27 (CET)Antivirus      Version      Last Update      ResultAhnLab-V3    2007.8.25.0    2007.08.24    -AntiVir    7.4.1.63    2007.08.24    DR/MicroJoiner.GenAuthentium    4.93.8    2007.08.24    -Avast    4.7.1029.0    2007.08.24    -AVG    7.5.0.484    2007.08.24    Win32/PEPatchBitDefender    7.2    2007.08.24    [email protected]    9.00    2007.08.23    (Suspicious) - DNAScanClamAV    0.91    2007.08.24    -DrWeb    4.33    2007.08.24    -eSafe    7.0.15.0    2007.08.23    Suspicious Trojan/WormeTrust-Vet    31.1.5084    2007.08.24    Win32/MicroJoiner!genericEwido    4.0    2007.08.24    -FileAdvisor    1    2007.08.24    -Fortinet    2.91.0.0    2007.08.24    -F-Prot    4.3.2.48    2007.08.24    -F-Secure    6.70.13030.0    2007.08.24    -Ikarus    T3.1.1.12    2007.08.24    Trojan-Dropper.Win32.Microjoin.BKaspersky    4.0.2.24    2007.08.24    -McAfee    5105    2007.08.24    -Microsoft    1.2803    2007.08.24    TrojanDropper:Win32/Microjoin.BNOD32v2    2483    2007.08.24    a variant of Win32/Spy.Goldun.LXNorman    5.80.02    2007.08.24    -Panda    9.0.0.4    2007.08.24    -Prevx1    V2    2007.08.24    -Rising    19.37.42.00    2007.08.24    -Sophos    4.21.0    2007.08.24    Troj/Haxdor-GenSunbelt    2.2.907.0    2007.08.24    VIPRE.SuspiciousSymantec    10    2007.08.24    -TheHacker    6.1.8.172    2007.08.24    -VBA32    3.12.2.3    2007.08.24    Trojan-Spy.Win32.Goldun.lxVirusBuster    4.3.26:9    2007.08.24    -Webwasher-Gateway    6.0.1    2007.08.24    Trojan.MicroJoiner.GenAdditional informationFile size: 17985 bytesMD5: 17de2f63ad480630b57fea3ea59cdc6aSHA1: db7de166d8be8420f14ae3b40a5562e0bda9cf48

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

А тут что должны раздаться аплодисменты!

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

vaber уже ответил, я только подчеркну. В вашем случае дело не в том, что КАВ пытался удалить инсталлятор и не смог. Он и не пытался его удалить, так как не считал его плохим =) Зато он смог эмулятором обнаружить, что у него внутри спрятан зловред. И сообщил вам об этом, так что вы даже не стали запускать инсталлятор, даже не предоставив ему возможности записать зловреда на диск. Это и есть пример качественной работы эмулятора.

Но в качестве пожелания к доработке движка: вероятно, в таких случаях, когда не получается удалить приклеенный объект, следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Добавлено спустя 8 минут 33 секунды:

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

НОД, похоже, тоже эмулятором выловил. И VBA, если только он так на дроппера не кричит....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
...следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Именно. Так скоро и сделают.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

Угу - просто добавили сигнатуру на сам файл-инсталлятор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×