Пит

Trojan-Spy.Win32.Goldun.lx и Касперский.

В этой теме 14 сообщений

Интересный троян. Каспер 7 его видит, а удалить не может. Гы-гы

Скинул его в закрытую ветку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Каспер 7 его видит, а удалить не может. Гы-гы

Вы имеете ввиду не может удалить сам файл? Или активную малвару?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы имеете ввиду не может удалить сам файл? Или активную малвару?

И то и то. :)

Хотя тема уже не актуальна.

Вот за что уважаю касперовцев, так это за оперативность. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот за что уважаю касперовцев, так это за оперативность. :wink:

Хм. А можно поподробнее, плиз? В смысле, КАВ видел зверя, но не мог удалить, а теперь и видит и может удалить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И то и то. Smile

Пит

Вы ошибаетесь.

Активного этого вируса Каспер 7 должен убивать.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы ошибаетесь.

Может быть.

Активного этого вируса Каспер 7 должен убивать.

Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Гы. а что у Вас инсталлятор в папке system32 мог делать? :)

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Как понимать "засунуть любой детектируемый вирь в инсталлятор"???

В данном случае троян был склеен джойнером MicroJoiner, плюс покриптован RCryptor.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Угу, именно. Если отключить в файловом антивирусе эмулятор, то этот файл бы не детектировался. Но если бы его вдруг решили бы запустить - то вирус бы был пойман сигнатурно в момент записи на диск - в данном случае в temp (в настройках джойнера можно задавать настройки, куда дропать склеенные файлы). То есть принцип работы тот же что и SFX-архива.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гы. а что у Вас инсталлятор в папке system32 мог делать?

Честно говоря, и меня это удивило. Но пользователь точно туда его не мог засунуть, он только начал осваивать компьютер. Для меня это осталось загадкой.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

А тут что должны раздаться аплодисменты! :D

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

По идеи - не должны. В данном случае другое - Касперский обнаружил трояна, которого вирмэйкер пытался спрятать обработкай клеем и криптером.

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Вот результат с вирустотал, сразу после того как Вы выложили сампл:

File userinit.exe received on 08.24.2007 20:57:27 (CET)Antivirus      Version      Last Update      ResultAhnLab-V3    2007.8.25.0    2007.08.24    -AntiVir    7.4.1.63    2007.08.24    DR/MicroJoiner.GenAuthentium    4.93.8    2007.08.24    -Avast    4.7.1029.0    2007.08.24    -AVG    7.5.0.484    2007.08.24    Win32/PEPatchBitDefender    7.2    2007.08.24    [email protected]    9.00    2007.08.23    (Suspicious) - DNAScanClamAV    0.91    2007.08.24    -DrWeb    4.33    2007.08.24    -eSafe    7.0.15.0    2007.08.23    Suspicious Trojan/WormeTrust-Vet    31.1.5084    2007.08.24    Win32/MicroJoiner!genericEwido    4.0    2007.08.24    -FileAdvisor    1    2007.08.24    -Fortinet    2.91.0.0    2007.08.24    -F-Prot    4.3.2.48    2007.08.24    -F-Secure    6.70.13030.0    2007.08.24    -Ikarus    T3.1.1.12    2007.08.24    Trojan-Dropper.Win32.Microjoin.BKaspersky    4.0.2.24    2007.08.24    -McAfee    5105    2007.08.24    -Microsoft    1.2803    2007.08.24    TrojanDropper:Win32/Microjoin.BNOD32v2    2483    2007.08.24    a variant of Win32/Spy.Goldun.LXNorman    5.80.02    2007.08.24    -Panda    9.0.0.4    2007.08.24    -Prevx1    V2    2007.08.24    -Rising    19.37.42.00    2007.08.24    -Sophos    4.21.0    2007.08.24    Troj/Haxdor-GenSunbelt    2.2.907.0    2007.08.24    VIPRE.SuspiciousSymantec    10    2007.08.24    -TheHacker    6.1.8.172    2007.08.24    -VBA32    3.12.2.3    2007.08.24    Trojan-Spy.Win32.Goldun.lxVirusBuster    4.3.26:9    2007.08.24    -Webwasher-Gateway    6.0.1    2007.08.24    Trojan.MicroJoiner.GenAdditional informationFile size: 17985 bytesMD5: 17de2f63ad480630b57fea3ea59cdc6aSHA1: db7de166d8be8420f14ae3b40a5562e0bda9cf48

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

А тут что должны раздаться аплодисменты!

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

vaber уже ответил, я только подчеркну. В вашем случае дело не в том, что КАВ пытался удалить инсталлятор и не смог. Он и не пытался его удалить, так как не считал его плохим =) Зато он смог эмулятором обнаружить, что у него внутри спрятан зловред. И сообщил вам об этом, так что вы даже не стали запускать инсталлятор, даже не предоставив ему возможности записать зловреда на диск. Это и есть пример качественной работы эмулятора.

Но в качестве пожелания к доработке движка: вероятно, в таких случаях, когда не получается удалить приклеенный объект, следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Добавлено спустя 8 минут 33 секунды:

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

НОД, похоже, тоже эмулятором выловил. И VBA, если только он так на дроппера не кричит....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Именно. Так скоро и сделают.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

Угу - просто добавили сигнатуру на сам файл-инсталлятор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.
    • Ольга_diplombest
      Я да не плохие деньги. Я то пользовалась https://diplombest.ru/. роде не плохо
    • santy
      demkd, за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер? https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection в этой теме https://forum.drweb.com/index.php?showtopic=329197 антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?
    • Dastin
      В качестве бесплатного антивируса для слабых ПК посоветую Avast Free  – программа включает оптимальные настройки по умолчанию, содержит функцию хранения паролей и при этом относительно лояльна к ресурсам системы, особенно при активации специального игрового режима.
    • rodocop
      Когда вы наконец-то осилите русский интерфейс во Free-версии - это будет бомба! ;-)