На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-Downloader

Trojan-Downloader.Win32.Agent.ns

20.06.2005

Trojan-Downloader.Win32.Agent.ns

 Trojan-Downloader.Win32.Agent.ns  детектируется антируткитом и антикейлоггером AVZ: 
....
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод CodeHijack 
(метод не определен)
...
C:\WINDOWS\system32\OLEADM.dll --> Подозрение на Keylogger или троянскую DLL

Изучение показало, что зловред выполнен в виде dll, которая внедряется в запущенные процессы (что и привело к ее обнаружению). Размер файла - 6657 байта, он ничем не сжат. У файла весьма убедительные поддельные копирайты - "Microsoft Corporation", "Microsoft OLE Extensions for Windows" версия "4.71.2900.0000". OLEADM.dll экспортирует единственную функцию, причем без имени. Установку файла выполняет дроппер, который как правило называется toolbar.exe, размер 8192 байта, сжат UPX. Дроппер прописывает ключи отложенного переименования в реестре, задавая ключ PendingFileRenameOperations. В результате программируется операция переименования: 

\??\C:\WINDOWS\system32\oleadm32.dll
\??\C:\WINDOWS\system32\wininet.dll

oleadm32.dll хранится внутри toolbar.exe и создается им при запуске.
В результате после перезагрузки пораженного компьютера появляется перехват функции wininet.dll:HttpSendRequestA, что позволяет данному "зверю" отлавливать HTTP запросы. Перехват производится модификацией самого wininet.dll на диске, причем размер и дата файла wininet.dll на диске не изменяется (я обнаружил изменения сравнением эталонного и реально wininet.dll). В результате такого хитроумного метода внедрения в систему в реестре нет ни одной ссылки на oleadm32.dll ...
Модификации кода wininet.dll достаточно оригинальны - меняется точка входа в функцию инициализации DLL, причем новая точка входа указывает на зону между DOS заголовком и заголовком PE файла (троянский код начинается по смещению 40h от начала файла - эта зона между заголовками не используется и ее применение позволяет поместить троянский код без увеличения размера файла - похожий метод применялся в Чернобыльском вирусе и аналогах). Обнаружить факт заражения можно просмотром начала файла - в зараженном файле по смещению 4A (это самое начала файла) видна текстовая строка "OLEADM".

Лечение
Для лечения Trojan-Downloader.Win32.Agent.ns необходимо удалить библиотеку oleadm32.dll и восстановить файл wininet.dll из резервной копии. После удаления oleadm32.dll измененная wininet.dll продолжает нормально работать - не найдя oleadm32.dll троянский код отдает управление штатной функции инициализации wininet.dll, поэтому дальнейшая ее инициализация проходит нормально, но перехват функции AVZ по прежнему регистрирует.
Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.