Jedną z popularniejszych w ostatnich miesiącach infekcji, budzącą spore zainteresowanie internautów, jest trojan Amvo. Temat Amvo był już kilka dni temu sygnalizowany w blogu, teraz pora na garść szczegółowych informacji.
Trojan kryjący się w pliku amvo.exe prawdopodobnie po raz pierwszy został wykryty we Włoszech i w USA już w grudniu ubiegłego roku. Od tego czasu zanotowano liczne przypadki jego obecności w krajach Unii Europejskiej (grudzień 2007), w Meksyku (styczeń 2008), w Rosji (styczeń 2008). Plik trojana Amvo z reguły waży 123,422 bajty, ale zanotowano też przypadki plików o wadze m.in. 123,960 bajtów, 127,487 czy 105,325 bajtów. Nazwa pliku amvo.exe jest powiązana z rodziną malware Covert.Sys.Exec. Nazwa amvo.exe bywa wykorzystywana przez rodziny malware KAVKOP: Trojan-A oraz Obfuscat.ACPT.
Najważniejszym symptomem infekcji, nie zawsze odkrywanym w porę, jest brak możliwości pokazywania ukrytych plików i folderów (pomaga to trojanowi ukryć się w systemie, gdyż zwykle przybiera on formę pliku ukrytego).
We właściwościach pliku można znaleźć następujące spreparowane dane, sugerujące autentyczność pliku:
Charakterystyczny dla tej infekcji wpis w rejestrze Windows to:
Wykrywanie i usuwanie
Obecnie najpewniejszą metodą wykrycia plików Amvo jest zastosowanie darmowego skanera Prevx CSI, warunkiem przeprowadzenia skanowania jest aktywne połączenie z internetem. Skaner nie usuwa jednak plików Amvo. Dlatego po wykryciu trojana należy pobrać i uruchomić program ComboFix, który przeskanuje system. Po skanowaniu wyświetli się log w postaci pliku tekstowego. Zawartość loga należy umieścić na stronie WklejTo.pl, a następnie przekazać - w postaci linku do loga - do analizy na forum specjalizujące się w tym, na przykład na forum vortalu Dobreprogramy.pl. Następnie postępować wedle instrukcji osoby analizującej loga.
Aktualizacja: 30.06.2008
Trojan kryjący się w pliku amvo.exe prawdopodobnie po raz pierwszy został wykryty we Włoszech i w USA już w grudniu ubiegłego roku. Od tego czasu zanotowano liczne przypadki jego obecności w krajach Unii Europejskiej (grudzień 2007), w Meksyku (styczeń 2008), w Rosji (styczeń 2008). Plik trojana Amvo z reguły waży 123,422 bajty, ale zanotowano też przypadki plików o wadze m.in. 123,960 bajtów, 127,487 czy 105,325 bajtów. Nazwa pliku amvo.exe jest powiązana z rodziną malware Covert.Sys.Exec. Nazwa amvo.exe bywa wykorzystywana przez rodziny malware KAVKOP: Trojan-A oraz Obfuscat.ACPT.
Najważniejszym symptomem infekcji, nie zawsze odkrywanym w porę, jest brak możliwości pokazywania ukrytych plików i folderów (pomaga to trojanowi ukryć się w systemie, gdyż zwykle przybiera on formę pliku ukrytego).
We właściwościach pliku można znaleźć następujące spreparowane dane, sugerujące autentyczność pliku:
Microsoft Corporation; Utilidad de ayuda de la línea de comandos; 5.1.2600.0
- Microsoft Corporation; Command Line Help Utility; 5.1.2600.0
- dopisywanie się do działających procesów w pamięci,
- wyłączenie funkcji Pokaż ukryte pliki i foldery,
- modyfikacja rejestru, pozwalająca trojanowi uruchamiać się ze startem systemu,
- wyłączanie innych procesów w pamięci,
- usuwanie plików z dysku komputera.
6x8be16.cmd, amvo0.dll, fsmgmt.dll, gjn2pjlw.exe, xlu8a8sy.exe, jfvkcsy.bat oraz xo8wr9.exe.Charakterystyczny dla tej infekcji wpis w rejestrze Windows to:
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2].Wykrywanie i usuwanie
Obecnie najpewniejszą metodą wykrycia plików Amvo jest zastosowanie darmowego skanera Prevx CSI, warunkiem przeprowadzenia skanowania jest aktywne połączenie z internetem. Skaner nie usuwa jednak plików Amvo. Dlatego po wykryciu trojana należy pobrać i uruchomić program ComboFix, który przeskanuje system. Po skanowaniu wyświetli się log w postaci pliku tekstowego. Zawartość loga należy umieścić na stronie WklejTo.pl, a następnie przekazać - w postaci linku do loga - do analizy na forum specjalizujące się w tym, na przykład na forum vortalu Dobreprogramy.pl. Następnie postępować wedle instrukcji osoby analizującej loga.
Aktualizacja: 30.06.2008
9 komentarze:
Opis z prostą metodą usunięcia(wymaga instalacji oprogramowania McAffe)
http://pl.mcafee.com/virusInfo/default.asp?id=description&virus_k=144151
Dziękuję za ten link, ale rzeczywiście jest on przydatny tylko dla użytkowników oprogramowania McAfee.
Kaspersky zidentyfikował mi tego Prevx CSI jako trojana?!
Witam,
To się może zdarzyć, ale bez obaw - to nie trojan, tylko w pełni bezpieczny, świetny skaner. Niektóre programy antywirusowe, w tym Kaspersky, identyfikują pewne programy zabezpieczające jako szkodniki (choćby program ComboFix). Pliki trojanów są nawet wykrywane w aplikacjach Panda Software, choć tu ze względu na niezaszyfrowane sygnatury wirusów. Proszę się absolutnie tym nie niepokoić i zignorować komunikat - im bardziej zaawansowane są narzędzia wykrywające szkodniki, tym większe prawdopodobieństwo, że same zostaną potraktowane jak szkodniki. Prevx CSI jest w pełni bezpieczny :) Dla pewności jednak zawsze trzeba go pobierać z pewnych źródeł, choćby stąd (link u mnie prowadzi na oryginalny serwer firmy).
No dobrze, wydaje się ze z trojanem sobie poradziłem. Pozostaje kwestia możliwości przeglądania plików ukrytych. Wydaje się ze trzeba dokonać jakiejś zmiany w rejestrze, bo z poziomu "opcji folderów" nie da się tego ustawić. Nie można również zmienić sposobu otwierania folderów przez windows. Każdy folder otwiera się w nowym oknie.
Hm, przekazał Pan logi do analizy? Nie polecono, by usunąć coś jeszcze z logów?
Jeśli nie, proszę pobrać program CCleaner, np. ze strony Dobreprogramy.pl i przeczyścić nim rejestr. Niewykluczone, że amvo zostawił jakieś ślady w rejestrze i to teraz blokuje te opcje.
skąd najczęściej można się zarazić tym wirusem. Konkretnie z jakiego źródła ?
to jak choroby weneryczne ;) wtykasz pena do nie swojej dziurki, a on kopiuje sie automatycznie. Tak na poważnie to kopiuje sie na wszelkie pamieci-wszelkie dyski przenosne, pendrivy, karty flash (te od aparatow tez ;)) itd. Warto po usunieciu wirusa wylaczyc autostarty wszelkie, i w przyszlosci kiedy podlaczysz cos z niepewnego zrodla to przeskanowac antywirusem-nawet avast go lyka kiedy amvo nie jest w systemie.
Dokładnie tak jak napisano. Lepiej bym tego nie ujął. Jeśli chodzi o usuwanie - tak jak napisał przedmówca, w tej chwili większość antywirusów go wykrywa, choć najpewniejszym sposobem jest skorzystanie z ComboFixa. Potem oczywiście ktoś musi rozkminić loga na jakimś dobrym forum lub tutaj.
Prześlij komentarz