Mam ciekawostkę, przynajmniej tak myślę a nazywa się Win32:Small-CVJ.
Poradziłem sobie w życiu z kilkoma Trojanami ale ten mnie zadziwia:
1. Nie mogę znaleźć w necie nic na jego temat konkretnie odmiany CVJ(chyba że po japońsku)
2. Zaatakował Operę ver.9.02 (a miała być taka amerykańska) i co ciekawe objawia się to zainfekowaniem Zakładek. Więc zrobiłem eksperyment zaeksporotwałem zakładki do html, później zaimportowałem ten plik na IE no i nie działo się nic żadnego Trojana, z IE eksport do Opery a tu Trojan. Moje zdziwienie nie ma końca.
3. Skan : avastem, Trojan Remover, SpyRemower, CWShreader, Win Defender, HijackThis ( poniżej log)
Logfile of HijackThis v1.99.1
Scan saved at 21:36:21, on 2006-11-24
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\VM303_STI.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\Skype\Phone\Skype.exe
C:\Program Files\Kalendarz XP\Kalendarz.exe
C:\WINDOWS\system32\wuauclt.exe
E:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Święci.htm
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TrojanScanner] e:\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [Skype] "E:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
Trojan wymyśla sobie co rusz to inne nazwy plików, umiejscawia się (tak podaje avast) w katalogu opery jako *.tmp, ale tam nie ma takich plików.
Może ktoś spotkał się z czymś takim, bo opisy rodziny „Small” jest pełno ale nie „CVJ”.
Chciałbym się dowiedzieć jak on się dostaje do kompa, dałoby to wskazówkę gdzie szukać no i gdzie siedzi w rejestrze bo przypuszczam, że wpis w rejestrze ma „zarażać” akurat zakładki opery.
Byłbym wdzięczny za wskazówki.
Pozdrawiam.
Czy moglbys dokladniej wyjasnic, jaki zwiazek ma ta "ciekawostka" z Opera? Bo ja go nie widze.
I jak mozna "zarazic" zwykly, niewykonywalny plik tekstowy (takim plikiem sa zakladki Opery). To tak, jakbys chcial zawirusowac plik License.txt znajdujacy sie w katalogu Opery. Rowne dobrze mozna powiedziec, ze ten post jest wirusem.
co ciekawe objawia się to zainfekowaniem Zakładek.
Co to za objawy? No i gdzie w IE jest opcja eksportu zakladek do Opery?
I najwazniejsze: gdzie jest i na czym polega ta dziura w Operze, ktora raczyles nas postraszyc w tytule tego watku?
Operę używan od trzech miesięcy więc wybaczcie za małą znajomość tegoż to programu.
1. Zarożony plik ma nazwę - opera6.adr (w Document and Settings-Dane aplikacji) - Objaw: kliknięcie na jakikolwiek link w zakładkach wywołuje trojana.
Po usunięciu tego pliku zakładki są wyczyszczone.
2. Z opery zakładki do .html i to do IE, w Operze import ulubionych z IE.
3. Dziura w Operze - dlaczego nie zainfekowało IE, którego też czasami używam.
Ale sobie teraz pomyślałem, ze może ten trojan zaraża tylko przeglądarke domyślną?
Więc gdzie on siedzi?
Originally posted by ostrokrzew:
Trojan wymyśla sobie co rusz to inne nazwy plików, umiejscawia się (tak podaje avast) w katalogu opery jako *.tmp, ale tam nie ma takich plików.
Stawiam na to, że jak wchodzisz na jakieś "zakazane" strony, to w pamięci podręcznej zapisują Ci się pliki ze złośliwym kodem, który otwierany w Operze nie może zaszkodzić Twojemu systemowi.
Opróżnij pamięć podręczną w Preferencje->Zaawansowane->Historia i przestań wchodzić na te zakazane strony ze złośliwym kodem.
w tym sęk że "zakazane strony" mnie nie biorą, więc tam nie zaglądam
Originally posted by ostrokrzew:
w tym sęk że "zakazane strony" mnie nie biorą, więc tam nie zaglądam
Pisząc "zakazane" (trochę za dwuznaczne pojęcie wymyśliłem, ale lepszego nie znalazłem
) miałem na myśli nie tylko strony dla dorosłych, ale również jakieś np. prywatne strony, które zostały umieszczone w internecie w celu zaszkodzenia przeglądającemu. Jak wejdziesz na taką stronę, to wtedy Avast powinien odezwać, dzięki czemu można będzie zidentyfikować tę szkodliwą stronę.
Chyba się go pozbyłem, tak myslę. Poczyściłem rejestr z wszystkich wpisów które wydały mi się podejrzane nawet znalazłem tam CTX[trj](jak avast go przepuścił?) być może to on bałaganił.
Raczej uważam na to gdzie wchodzę, ostatniego szkodnika zwalczyłem jakiś rok temu.
Bardziej mnie interesuje coś na temat konkretnej odmiany -CVJ (jak się dostaje i gdzie siedzi) i dlaczego akurat Opera a nie IE.
Originally posted by ostrokrzew:
dlaczego akurat Opera a nie IE.
W IE ten złośliwy kod mógłby być wykonany, w Operze zapisuje się tylko w plikach pamięci podręcznej.
jednak na problem warto zwrócić uwagę o ile ma związek z Operą, czy możliwe jest by takie zmiany zachodziły w Operze jak znikanie zakładek w związku z jakiś malware?. Czytałem kiedyś jak można zainfekować firefoxem system poprzez javę która uruchomi szkodliwy kod. Piszę tak ponieważ znalazem na innym forum podobny problem (nie wykluczam, że to ta sama osoba), http://www.pcformat.pl/forum/showthread.php?tid=13205
w/w post nie mój
Faktycznie problem był związany z tym samym plikiem, ale log tamtego gościa był "zasyfiony".
Z tym, że u mnie nie znikły zakładki a jedynie kliknięcie na jakikolwiek link powodował uruchomienie trojana. Po przesunięciu pliku do kwarantanny i kilku innych czyszczeniach było ok.
Zastanawia mnie tylko czy ten trojan atakuje opere czy tez jakąkolwiek przeglądarkę która jest ustawiona na domyślną. A jak napisał SZYK być może na IE wykonał by jakiś kod a na operze nia dał rady. I czy miał jakiś wpływ na to WIN:32CTX, którego też znalazłem.