Перейти к содержанию
Пит

Trojan-Spy.Win32.Goldun.lx и Касперский.

Recommended Posts

Пит

Интересный троян. Каспер 7 его видит, а удалить не может. Гы-гы

Скинул его в закрытую ветку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

да у нас тут вообще весело :)

1.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Ух, ты.

А тут у нас оказывается рекламs дофига.

Я срочно отключил антибаннер.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Каспер 7 его видит, а удалить не может. Гы-гы

Вы имеете ввиду не может удалить сам файл? Или активную малвару?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Вы имеете ввиду не может удалить сам файл? Или активную малвару?

И то и то. :)

Хотя тема уже не актуальна.

Вот за что уважаю касперовцев, так это за оперативность. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Вот за что уважаю касперовцев, так это за оперативность. :wink:

Хм. А можно поподробнее, плиз? В смысле, КАВ видел зверя, но не мог удалить, а теперь и видит и может удалить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
И то и то. Smile

Пит

Вы ошибаетесь.

Активного этого вируса Каспер 7 должен убивать.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Вы ошибаетесь.

Может быть.

Активного этого вируса Каспер 7 должен убивать.

Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Что касается невозможности удалить сам инсталлятор - тут забавная вещь происходит. Сам инсталлятор просто-напросто сигнатурно не детектировался. При проверке антивирусом происходила эмуляция выполнение программы, пока не дошло до файла, который дропается при запуске инсталлятора. Тот уже сигнатурно детектируется, но только вот антивирус не может удалить такой файл.

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Согласен. Но почему-то в system32 вчера оставался инсталлятор, и капер его обнаруживал, но нажатии на балуне удалить, не удалял.

Гы. а что у Вас инсталлятор в папке system32 мог делать? :)

Всё понятно. Спасибо за разъяснения. То есть получается, что можно засунуть в инсталлятор, любой детектируемый вирь, и всё каспер перед ним бессилен.

Как понимать "засунуть любой детектируемый вирь в инсталлятор"???

В данном случае троян был склеен джойнером MicroJoiner, плюс покриптован RCryptor.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

Пока он внутри инсталлятора - да. Но запуститься ему Касперский по идее дать не должен. Т.е. как только файл будет извлечён из инсталлятора, он будет убит. По крайней мере, так должно быть... vaber, я правильно понял?

Угу, именно. Если отключить в файловом антивирусе эмулятор, то этот файл бы не детектировался. Но если бы его вдруг решили бы запустить - то вирус бы был пойман сигнатурно в момент записи на диск - в данном случае в temp (в настройках джойнера можно задавать настройки, куда дропать склеенные файлы). То есть принцип работы тот же что и SFX-архива.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Гы. а что у Вас инсталлятор в папке system32 мог делать?

Честно говоря, и меня это удивило. Но пользователь точно туда его не мог засунуть, он только начал осваивать компьютер. Для меня это осталось загадкой.

Каспер показал себя на ура - благодаря эмулятору все эти ухищерения вирусмэйкера не помогли.

А тут что должны раздаться аплодисменты! :D

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

По идеи - не должны. В данном случае другое - Касперский обнаружил трояна, которого вирмэйкер пытался спрятать обработкай клеем и криптером.

Меня просто взял интерес, как в данной ситуации, поступят другие антивирусы, удалят инсталлятор или нет?

Вот результат с вирустотал, сразу после того как Вы выложили сампл:

File userinit.exe received on 08.24.2007 20:57:27 (CET)Antivirus      Version      Last Update      ResultAhnLab-V3    2007.8.25.0    2007.08.24    -AntiVir    7.4.1.63    2007.08.24    DR/MicroJoiner.GenAuthentium    4.93.8    2007.08.24    -Avast    4.7.1029.0    2007.08.24    -AVG    7.5.0.484    2007.08.24    Win32/PEPatchBitDefender    7.2    2007.08.24    Win32.Bagle.M@mmCAT-QuickHeal    9.00    2007.08.23    (Suspicious) - DNAScanClamAV    0.91    2007.08.24    -DrWeb    4.33    2007.08.24    -eSafe    7.0.15.0    2007.08.23    Suspicious Trojan/WormeTrust-Vet    31.1.5084    2007.08.24    Win32/MicroJoiner!genericEwido    4.0    2007.08.24    -FileAdvisor    1    2007.08.24    -Fortinet    2.91.0.0    2007.08.24    -F-Prot    4.3.2.48    2007.08.24    -F-Secure    6.70.13030.0    2007.08.24    -Ikarus    T3.1.1.12    2007.08.24    Trojan-Dropper.Win32.Microjoin.BKaspersky    4.0.2.24    2007.08.24    -McAfee    5105    2007.08.24    -Microsoft    1.2803    2007.08.24    TrojanDropper:Win32/Microjoin.BNOD32v2    2483    2007.08.24    a variant of Win32/Spy.Goldun.LXNorman    5.80.02    2007.08.24    -Panda    9.0.0.4    2007.08.24    -Prevx1    V2    2007.08.24    -Rising    19.37.42.00    2007.08.24    -Sophos    4.21.0    2007.08.24    Troj/Haxdor-GenSunbelt    2.2.907.0    2007.08.24    VIPRE.SuspiciousSymantec    10    2007.08.24    -TheHacker    6.1.8.172    2007.08.24    -VBA32    3.12.2.3    2007.08.24    Trojan-Spy.Win32.Goldun.lxVirusBuster    4.3.26:9    2007.08.24    -Webwasher-Gateway    6.0.1    2007.08.24    Trojan.MicroJoiner.GenAdditional informationFile size: 17985 bytesMD5: 17de2f63ad480630b57fea3ea59cdc6aSHA1: db7de166d8be8420f14ae3b40a5562e0bda9cf48

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

А тут что должны раздаться аплодисменты!

А другие антивирусы, что дадут при запуске, сигнатурно детектируемому трояну записаться на диск?

vaber уже ответил, я только подчеркну. В вашем случае дело не в том, что КАВ пытался удалить инсталлятор и не смог. Он и не пытался его удалить, так как не считал его плохим =) Зато он смог эмулятором обнаружить, что у него внутри спрятан зловред. И сообщил вам об этом, так что вы даже не стали запускать инсталлятор, даже не предоставив ему возможности записать зловреда на диск. Это и есть пример качественной работы эмулятора.

Но в качестве пожелания к доработке движка: вероятно, в таких случаях, когда не получается удалить приклеенный объект, следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Добавлено спустя 8 минут 33 секунды:

Можно заметить, что многие просто детектируют джойнер сигнатурно (равно сигнатурному детекту пакеров). У всех, у кого есть детект смогли бы удалить инсталлятор. Так же это мог сделать и сам пользователь :)

То, что Каспер не смог удалить инсталлятор вируса - думаю скоро это поправят.

НОД, похоже, тоже эмулятором выловил. И VBA, если только он так на дроппера не кричит....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
...следует предлагать удалить весь объект целиком. В данном случае, инсталлятор. Тогда бы не пришлось его добавлять в базы, и ждать бы не пришлось...

Именно. Так скоро и сделают.

Я так понял из постов Пита, что уже поправили. Видимо, добавили и сам инсталлятор в базы, как дроппер.

Угу - просто добавили сигнатуру на сам файл-инсталлятор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×