Перейти к содержанию
Пит

Trojan-Spy.Win32.Goldun.lx и Касперский.

Recommended Posts

Пит

Интересный троян. Каспер 7 его видит, а удалить не может. Гы-гы

Скинул его в закрытую ветку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Каспер 7 его видит, а удалить не может. Гы-гы

Вы имеете ввиду не может удалить сам файл? Или активную малвару?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Вы имеете ввиду не может удалить сам файл? Или активную малвару?

И то и то. :)

Хотя тема уже не актуальна.

Вот за что уважаю касперовцев, так это за оперативность. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Вот за что уважаю касперовцев, так это за оперативность. :wink:

Хм. А можно поподробнее, плиз? В смысле, КАВ видел зверя, но не мог удалить, а теперь и видит и может удалить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
И то и то. Smile

Пит

Вы ошибаетесь.

Активного этого вируса Каспер 7 должен убивать.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Вы ошибаетесь.

Может быть.

Активного этого вируса Каспер 7 должен убивать.

Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Гы. а что у Вас инсталлятор в папке system32 мог делать? :)

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Как понимать "засунуть любой детектируемый вирь в инсталлятор"???

В данном случае троян был склеен джойнером MicroJoiner, плюс покриптован RCryptor.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Угу, именно. Если отключить в файловом антивирусе эмулятор, то этот файл бы не детектировался. Но если бы его вдруг решили бы запустить - то вирус бы был пойман сигнатурно в момент записи на диск - в данном случае в temp (в настройках джойнера можно задавать настройки, куда дропать склеенные файлы). То есть принцип работы тот же что и SFX-архива.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Гы. а что у Вас инсталлятор в папке system32 мог делать?

Честно говоря, и меня это удивило. Но пользователь точно туда его не мог засунуть, он только начал осваивать компьютер. Для меня это осталось загадкой.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

А тут что должны раздаться аплодисменты! :D

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

По идеи - не должны. В данном случае другое - Касперский обнаружил трояна, которого вирмэйкер пытался спрятать обработкай клеем и криптером.

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Вот результат с вирустотал, сразу после того как Вы выложили сампл:

File userinit.exe received on 08.24.2007 20:57:27 (CET)Antivirus      Version      Last Update      ResultAhnLab-V3    2007.8.25.0    2007.08.24    -AntiVir    7.4.1.63    2007.08.24    DR/MicroJoiner.GenAuthentium    4.93.8    2007.08.24    -Avast    4.7.1029.0    2007.08.24    -AVG    7.5.0.484    2007.08.24    Win32/PEPatchBitDefender    7.2    2007.08.24    Win32[email protected]    9.00    2007.08.23    (Suspicious) - DNAScanClamAV    0.91    2007.08.24    -DrWeb    4.33    2007.08.24    -eSafe    7.0.15.0    2007.08.23    Suspicious Trojan/WormeTrust-Vet    31.1.5084    2007.08.24    Win32/MicroJoiner!genericEwido    4.0    2007.08.24    -FileAdvisor    1    2007.08.24    -Fortinet    2.91.0.0    2007.08.24    -F-Prot    4.3.2.48    2007.08.24    -F-Secure    6.70.13030.0    2007.08.24    -Ikarus    T3.1.1.12    2007.08.24    Trojan-Dropper.Win32.Microjoin.BKaspersky    4.0.2.24    2007.08.24    -McAfee    5105    2007.08.24    -Microsoft    1.2803    2007.08.24    TrojanDropper:Win32/Microjoin.BNOD32v2    2483    2007.08.24    a variant of Win32/Spy.Goldun.LXNorman    5.80.02    2007.08.24    -Panda    9.0.0.4    2007.08.24    -Prevx1    V2    2007.08.24    -Rising    19.37.42.00    2007.08.24    -Sophos    4.21.0    2007.08.24    Troj/Haxdor-GenSunbelt    2.2.907.0    2007.08.24    VIPRE.SuspiciousSymantec    10    2007.08.24    -TheHacker    6.1.8.172    2007.08.24    -VBA32    3.12.2.3    2007.08.24    Trojan-Spy.Win32.Goldun.lxVirusBuster    4.3.26:9    2007.08.24    -Webwasher-Gateway    6.0.1    2007.08.24    Trojan.MicroJoiner.GenAdditional informationFile size: 17985 bytesMD5: 17de2f63ad480630b57fea3ea59cdc6aSHA1: db7de166d8be8420f14ae3b40a5562e0bda9cf48

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

А тут что должны раздаться аплодисменты!

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

vaber уже ответил, я только подчеркну. В вашем случае дело не в том, что КАВ пытался удалить инсталлятор и не смог. Он и не пытался его удалить, так как не считал его плохим =) Зато он смог эмулятором обнаружить, что у него внутри спрятан зловред. И сообщил вам об этом, так что вы даже не стали запускать инсталлятор, даже не предоставив ему возможности записать зловреда на диск. Это и есть пример качественной работы эмулятора.

Но в качестве пожелания к доработке движка: вероятно, в таких случаях, когда не получается удалить приклеенный объект, следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Добавлено спустя 8 минут 33 секунды:

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

НОД, похоже, тоже эмулятором выловил. И VBA, если только он так на дроппера не кричит....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
...следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Именно. Так скоро и сделают.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

Угу - просто добавили сигнатуру на сам файл-инсталлятор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Moraband
      Ой сейчас столько видов мошенничества. Сейчас очень активизировались взломы ВК. Часто из-за безалаберности самих пользователей. Взломщики просят деньги у друзей пользователей, а доверчивых людей много, думают, что помогают другу или близкому человеку, а на деле спонсируют мошенника. А вообще конечно надо уметь защищать свой аккаунт, чтобы никакие взломщики не могли  туда влезть и что либо украсть. Личные данные на то и личные данные. Потому советую всем прочесть статью по поводу того как защитить свой аккаунт и где во всех подробностях расписано какие бывают виды взломов, как они осуществляются и что сделать дабы их не возникало вообще. Надеюсь это кому то поможет не попасть в такую же ситуацию, как я сам когда то попадал. 
    • Moraband
      Да сейчас вот такие мошенники и взломщики очень продвинулись, с развитием технологий и различные мошеннические схемы развиваются. Обычные пользователи очень часто становятся жертвами взломов, обычно из-за того что слабо защищают аккаунт, думая, что их это никогда не коснется. Чтобы противостоять взлому необходимо знать определенные секреты защиты аккаунта, мне вот это пригодилось бы год назад, когда меня несколько раз взламывали и я не знал, что делать. Благо друг недавно скинул статью где детально расписано как обезопасить свой аккаунт  , только так смог уже поставить себе толковую защиту, теперь уже спокоен, что никто не взломает и не будет у моих друзей требовать деньги.
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
×