Страница 3 из 3 ПерваяПервая 123
Показано с 21 по 28 из 28

Тема: Тулбар Chubrus

  1. #21

    По умолчанию

    Цитата Сообщение от BigBear Посмотреть сообщение
    Есть классическое правило: любой говнософт, который хотелось бы посмотреть, но последствия работы которого непредсказуемы и заранее неизвестны, нужно исполнять в защищенной среде...
    ________________...__________________
    Используйте VMware/Microsoft VM и будет Вам счастье. Для "посмотреть, поплеваться и снести" - самое то.
    Если я правильно понял,речь идет о виртуальной машине?А то что она предполагает использование оригинального дистрибутива Windows,об этом Вы подумали?У меня нет лицензионной Винды (по секрету,и только на ушко).
    С уважением ко всем присутствующим / Бегемот/

  2. #22
    Регистрация
    12.11.2004
    Адрес
    Russia, Moscow
    Сообщений
    666
    Записей в дневнике
    1

    Exclamation

    chubrus.exe

    F-Prot 4.4.4.56 W32/OnlineGames.A.gen!Eldorado

    http://www.securelist.com/ru/viruses...virusid=135159

    Технические детали
    Вредоносная программа, относящаяся к семейству троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 52738 байт. Написана на Visual Basic.

    Инсталляция
    При запуске троянец копирует свой исполняемый файл под различными именами в корневой и системный каталоги Windows:
    %System%\rundll32.com
    %System%\finder.com
    %System%\command.pif
    %WinDir%\WINLOGON.EXE
    %Program Files%\Internet Explorer\iexplore.com
    %Program Files%\Common Files\iexplore.pif
    %WinDir%\explorer.com
    %WinDir%\1.com
    %WinDir%\ExERoute.exe
    %System%\MSCONFIG.COM
    %System%\dxdiag.com
    %System%\regedit.com
    %WinDir%\Debug\DebugProgram.exe
    Троянец изменяет значения ключей реестра на следующие:
    [HKCR\.bfc\ShellNew]
    "Command" = "%System%\rundll32.com
    %System%\syncui.dll,Briefcase_Create %2!d! %1"
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    "Check_Associations" = "No"
    [HKCR\cplfile\shell\cplopen\command]
    @ = "rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
    [HKCR\dunfile\shell\open\command]
    @ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
    [HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
    @ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
    [HKCR\Drive\shell\find\command]
    @ = "%WinDir%\explorer.com"
    [HKCR\ftp\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.com\" %1"
    [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
    @ = "%Program Files%\Internet Explorer\iexplore.com"
    [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.com -nohome"
    [HKCR\htmlfile\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.com -nohome"
    [HKCR\inffile\shell\Install\command]
    @ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
    [HKCR\HTTP\shell\open\command]
    @ = "%Program Files%\Common Files\iexplore.pif -nohome"
    [HKCR\Applications\iexplore.exe\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.com %1"
    [HKCR\InternetShortcut\shell\open\command]
    @ = "finder.com shdocvw.dll,OpenURL %l"
    [HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\ command]
    @ = "finder.com shdocvw.dll,OpenURL %l"
    [HKCR\htmlfile\shell\print\command]
    @ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"
    [HKCR\.lnk\ShellNew]
    "Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"
    [HKCR\Unknown\shell\openas\command]
    @ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
    [HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
    @ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
    [HKCR\htmlfile\shell\opennew\command]
    @ = "%Program Files%\Common Files\iexplore.pif %1"
    [HKCR\inffile\shell\Install\command]
    @ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
    [HKCR\HTTP\shell\open\command]
    @ = "%Program Files%\common~1\iexplore.pif -nohome"
    [HKCR\Applications\iexplore.exe\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.com %1"
    [HKCR\InternetShortcut\shell\open\command]
    @ = "finder.com shdocvw.dll,OpenURL %l"
    [HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\ command]
    @ = "finder.com shdocvw.dll,OpenURL %l"
    [HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
    @ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"
    [HKCR\.lnk\ShellNew]
    "Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"
    [HKCR\Unknown\shell\openas\command]
    @ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
    [HKCR\htmlfile\shell\opennew\command]
    @ = "%Program Files%\Common Files\iexplore.pif %1"
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Torjan Program" = "%WinDir%\WINLOGON.EXE"
    [HKCR\scrfile\shell\install\command]
    @ = "finder.com desk.cpl,InstallScreenSaver %l"
    [HKLM\SOFTWARE\Classes\scrfile\shell\install\comman d]
    @ = "finder.com desk.cpl,InstallScreenSaver %l"
    [HKCR\scriptletfile\Shell\Generate Typelib\command]
    @ = "%System%\finder.com %System%\scrobj.dll,GenerateTypeLib %1"
    [HKCR\telnet\shell\open\command]
    @ = "finder.com url.dll,TelnetProtocolHandler %l"
    Таким образом, троянская программа будет запускаться каждый раз при попытке открытия пользователем файлов некоторых типов, запуске различных приложений, открытии логических дисков при помощи «Проводника» Windows, вызове интернет-ярлыков или веб-ссылок.

    Деструктивная активность
    В случае если на зараженном компьютере запущена онлайн-игра «World of Warcraft», троянец определяет, откуда был запущен процесс «wow.exe», и считывает содержимое следующих файлов в рабочей папке игрового клиента:
    realmlist.wtf
    update.ini
    Также троянец следит за клавиатурным вводом пользователя на следующих интернет-страницах:
    eu.logon.worldofwarcraft.com
    tw.logon.worldofwarcraft.com
    us.logon.worldofwarcraft.com
    Троянец ищет в системе процесс с именем «woool.exe», определяет, откуда тот был запущен и считывает содержимое следующих файлов в рабочей папке программы:
    \data\woool.dat
    \data\game.ini
    \data\*.update
    update.lib.scf
    \data\WOOOL88.DAT
    \data\WOOOLe88.DAT
    Собранную информацию троян отсылает на сайт злоумышленника.
    Также троянская программа завершает процессы, которые содержат в своих именах следующие строки:
    RAVMON
    TROJDIE
    KPOP
    CCENTER
    ASSISTSE
    KPFW
    AGENTSVR
    KV
    KREG
    IEFIND
    IPARMOR
    SVI.EXE
    UPHC
    RULEWIZE
    FYGT
    RFWSRV
    RFWMA
    TROJAN
    MMSK

    Рекомендации по удалению
    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
    При помощи «Диспетчера задач» завершить троянский процесс (возможное имя процесса — «WINLOGON.EXE»).
    Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    Установить необходимые значения следующих параметров ключей системного реестра (замены выделены жирным шрифтом):
    [HKCR\.bfc\ShellNew]
    "Command" = "%System%\rundll32.exe
    %System%\syncui.dll,Briefcase_Create %2!d! %1"
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    "Check_Associations" = "Yes"
    [HKCR\cplfile\shell\cplopen\command]
    @ = "rundll32.exe shell32.dll,Control_RunDLL \"%1\",%*"
    [HKCR\dunfile\shell\open\command]
    @ = "%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
    [HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
    @ = "%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
    [HKCR\Drive\shell\find\command]
    @ = "%WinDir%\explorer.exe"
    [HKCR\ftp\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe\" %1"
    [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe"
    [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe -nohome"
    [HKCR\htmlfile\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe -nohome"
    [HKCR\inffile\shell\Install\command]
    @ = "%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
    [HKCR\HTTP\shell\open\command]
    @ = "%Program Files%\Common Files\iexplore.exe -nohome"
    [HKCR\Applications\iexplore.exe\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe %1"
    [HKCR\InternetShortcut\shell\open\command]
    @ = "rundll32.exe shdocvw.dll,OpenURL %l"
    [HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\ command]
    @ = "rundll32.exe shdocvw.dll,OpenURL %l"
    [HKCR\htmlfile\shell\print\command]
    @ = "rundll32.exe %System%\mshtml.dll,PrintHTML %1"
    [HKCR\.lnk\ShellNew]
    "Command" = "rundll32.exe appwiz.cpl,NewLinkHere %1"
    [HKCR\Unknown\shell\openas\command]
    @ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
    [HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
    @ = "%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1"
    [HKCR\htmlfile\shell\opennew\command]
    @ = "%Program Files%\Common Files\iexplore.exe %1"
    [HKCR\inffile\shell\Install\command]
    @ = "%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
    [HKCR\HTTP\shell\open\command]
    @ = "%Program Files%\common~1\iexplore.exe -nohome"
    [HKCR\Applications\iexplore.exe\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe %1"
    [HKCR\InternetShortcut\shell\open\command]
    @ = "rundll32.exe shdocvw.dll,OpenURL %l"
    [HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\ command]
    @ = "rundll32.exe shdocvw.dll,OpenURL %l"
    [HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
    @ = "rundll32.exe %System%\mshtml.dll,PrintHTML %1"
    [HKCR\.lnk\ShellNew]
    "Command" = "rundll32.exe appwiz.cpl,NewLinkHere %1"
    [HKCR\Unknown\shell\openas\command]
    @ = "%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1"
    [HKCR\htmlfile\shell\opennew\command]
    @ = "%Program Files%\Common Files\iexplore.exe %1"
    [HKCR\scrfile\shell\install\command]
    @ = "rundll32.exe desk.cpl,InstallScreenSaver %l"
    [HKLM\SOFTWARE\Classes\scrfile\shell\install\comman d]
    @ = "rundll32.exe desk.cpl,InstallScreenSaver %l"
    [HKCR\scriptletfile\Shell\Generate Typelib\command]
    @ = "%System%\rundll32.exe %System%\scrobj.dll,GenerateTypeLib %1"
    [HKCR\telnet\shell\open\command]
    @ = "rundll32.exe url.dll,TelnetProtocolHandler %l"
    Удалить параметр из ключа системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Torjan Program" = "%WinDir%\WINLOGON.EXE"
    Удалить файлы:
    %System%\rundll32.com
    %System%\finder.com
    %System%\command.pif
    %WinDir%\WINLOGON.EXE
    %Program Files%\Internet Explorer\iexplore.com
    %Program Files%\Common Files\iexplore.pif
    %WinDir%\explorer.com
    %WinDir%\1.com
    %WinDir%\ExERoute.exe
    %System%\MSCONFIG.COM
    %System%\dxdiag.com
    %System%\regedit.com
    %WinDir%\Debug\DebugProgram.exe

  3. #23

    По умолчанию

    Файл chubrus.xpi
    Результаты проверки на Вирустотал :
    С уважением ко всем присутствующим / Бегемот/

  4. По умолчанию

    1) Файл http://chubrus.ourtoolbar.com//ie

    Отчет virustotal.com для этого файла (2/40):
    http://www.virustotal.com/analisis/e...4d1-1247007461

    2) Файл http://mybestcommunity.ourtoolbar.com//ie, представляющий собой аналогичный тулбар, сооруженный мною лично по дефолту без какого-либо серьезного изменения опций на www.conduit.com

    Отчет virustotal.com для этого файла (2/40):
    http://www.virustotal.com/analisis/6...b4c-1247079153

    Внутреннее содержимое архива chubrus.exe (после переименования его в *.zip):
    Код:
    PKZIP(R)  Version 2.50  FAST!  Compression Utility for Windows 95/NT  4-15-1998
    Copyright 1989-1998 PKWARE Inc.  All Rights Reserved. Shareware Version
    PKZIP Reg. U.S. Pat. and Tm. Off.  Patent No. 5,051,745 
     
     Viewing .ZIP: chubrus.zip - Windows Self-Installing Executable
    
      Length  Method    Size  Ratio    Date    Time    CRC-32   Attr    Name
      ------  ------    ----- -----    ----    ----   --------  ----    ----
      165376 DeflatN    89107 46.2% 07.26.2002  5:02p bcd0905b --w----  WISE0001.DLL
       12800 DeflatN     6384 50.2% 07.26.2002  5:04p fbbfc06e --w----  WEBINS32.DLL
         479 DeflatN      292 39.1% 07.02.2009 10:37p 96df3180 --w----  FILE0003.DAT
       10752 DeflatN     5174 51.9% 07.26.2002  5:02p 77ebcc97 --w----  W32INST.DLL
       33564 DeflatN    26087 22.3% 07.02.2009 10:37p ebae57b7 --w----  FILE0001.DAT
      125046 DeflatN    27355 78.2% 07.02.2009 10:37p 6963b969 --w----  FILE0002.DAT
      153088 DeflatN    61622 59.8% 07.26.2002  5:02p 5be5019b --w----  UNWISE32.EXE
          19 DeflatN       21  0.0% 07.01.2009 12:16p f9955ea3 --w----  TOOLBAR.CFG
       38424 DeflatN    21715 43.5% 06.02.2009 10:12a 0fe2b9c6 --w----  TOOLBARHELPER.EXE
     2215960 DeflatN  1037609 53.2% 07.02.2009 10:18a d75d5a52 --w----  TBEDRS.DLL
      509976 DeflatN   253437 50.4% 06.22.2009  5:06p a9ee97ed --w----  ALERT.DLL
      ------           ------ -----                                     ----
     3265484          1528803 53.2%                                       11
    Внутреннее содержимое архива My_Best_Community.exe (после переименования его в *.zip):
    Код:
    PKZIP(R)  Version 2.50  FAST!  Compression Utility for Windows 95/NT  4-15-1998
    Copyright 1989-1998 PKWARE Inc.  All Rights Reserved. Shareware Version
    PKZIP Reg. U.S. Pat. and Tm. Off.  Patent No. 5,051,745 
     
     Viewing .ZIP: My_Best_Community.zip - Windows Self-Installing Executable
    
      Length  Method    Size  Ratio    Date    Time    CRC-32   Attr    Name
      ------  ------    ----- -----    ----    ----   --------  ----    ----
      165376 DeflatN    89107 46.2% 07.26.2002  5:02p bcd0905b --w----  WISE0001.DLL
       12800 DeflatN     6384 50.2% 07.26.2002  5:04p fbbfc06e --w----  WEBINS32.DLL
         479 DeflatN      292 39.1% 07.04.2009 11:16p 96df3180 --w----  FILE0003.DAT
       10752 DeflatN     5174 51.9% 07.26.2002  5:02p 77ebcc97 --w----  W32INST.DLL
       33564 DeflatN    26087 22.3% 07.04.2009 11:16p ebae57b7 --w----  FILE0001.DAT
      124172 DeflatN    28592 77.0% 07.04.2009 11:16p 364d2aa2 --w----  FILE0002.DAT
      153088 DeflatN    61622 59.8% 07.26.2002  5:02p 5be5019b --w----  UNWISE32.EXE
          29 DeflatN       31  0.0% 07.04.2009 10:23p b060c3f6 --w----  TOOLBAR.CFG
       38424 DeflatN    21715 43.5% 06.02.2009 10:12a 0fe2b9c6 --w----  TOOLBARHELPER.EXE
     2215960 DeflatN  1037609 53.2% 07.02.2009 10:18a d75d5a52 --w----  TBEDRS.DLL
      509976 DeflatN   253437 50.4% 06.22.2009  5:06p a9ee97ed --w----  ALERT.DLL
      ------           ------ -----                                     ----
     3264620          1530050 53.2%                                       11
    Имеет размер 52738 байт. Написана на Visual Basic.
    Домашнее задание для пытливого ума: найти в архивах исполняемый файл размером 52738 байт. В случае успеха, попытаться определить, сколько из найденных файлов написано на VB.

    Морали:

    1) администратор chubrus.ru не добавлял своего исполняемого вредоносного кода в тулбар, в первую очередь по причине абсолютной невозможности такого добавления

    2) тулбар от conduit.com, безусловно, делает странные вещи и ставить его не следует

    3) F-prot и, вероятно, стыривший с него базы Authentium два тупых куска унылого говна.

  5. По умолчанию

    Цитата Сообщение от Бегемот Посмотреть сообщение
    Если я правильно понял,речь идет о виртуальной машине?А то что она предполагает использование оригинального дистрибутива Windows,об этом Вы подумали?У меня нет лицензионной Винды (по секрету,и только на ушко).
    Я абсолютно ничего не знаю про Microsoft VM, но под VMware Вы можете поставить любой, пусть даже и экстранеоригинальный дистрибутив Windows, пусть даже и не слишком лицензионный, лишь бы рабочий.

    По вопросам законодательно-лицензионного характера это не ко мне. Тут и без меня масса специалистов, цитирующих по памяти УК РФ.

  6. #26
    Регистрация
    12.11.2004
    Адрес
    Russia, Moscow
    Сообщений
    666
    Записей в дневнике
    1

    По умолчанию

    Лично по мне пофиг на вирусы. Но всякие тулбары просто «засирают» систему.

    И в стиле ... «Ааа, лошара, угробил свой IE» =)

  7. По умолчанию

    Тулбары, как и прочие "свистелки-перделки", в топку!
    Я как вижу подобные выкрутасы на сайтах или в программах - СРАЗУ выключаю и никогда уже не возвращаюсь. Надеюсь, разработчики программ и владельцы сайтов поймут когда-нибудь, что существует много людей, которых это только отпугивает.

  8. #28

    По умолчанию

    А мне нравится тулбар от Гугл!И даже понимание того,что я под бдительным оком второго,не заставит меня отказаться от первого.
    С уважением ко всем присутствующим / Бегемот/

Страница 3 из 3 ПерваяПервая 123

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Похожие темы

  1. Новый chubrus.net
    от BOBear в разделе Медвежий РуНет
    Ответов: 22
    Последнее сообщение: 17.04.2012, 00:54

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  








Яндекс.Метрика
18+