Cleaner gratuito per Win32/Agent.VP

[nV 25]

mi iscrivo per vedere gli sviluppi......

Tanto di cappello ai vostri sforzi.....

[pmonti]

Quote:

Originariamente inviato da amvinfe

ciao a tutti,
concordo con lucas84, credo impossibile creare un fix unico atto a rimuovere le tante varianti che il trojan installa.

Scusami, stai parlando di Agent.VP o di LinkOptimizer? Del primo, non risultano varianti particolari. Del secondo, si'.

Ad ogni modo, Agent.VP non puo' essere rimosso attraverso identificazione, se si trova su NTFS + EFS: in una situazione del genere, lo scanner non puo' decifrare il file. Gli scanner possono solo segnalare che non sono riusciti ad accedere a un determinato file. In questi casi, la rimozione puo' essere affidata solo a cleaner che non usino tecniche di scansione, come il mio fix o altri strumenti sul tipo di The Avenger; quest'ultimo, pero', nel nostro caso eliminerebbe soltanto la chiave nel Registry e il file infetto, dato che si tratta di un programma generico e non di qualcosa di dedicato come il mio cleaner, richiedendo inoltre un'analisi preventiva del sistema per identificare il percorso della chiave di Registro e lo skill tecnico necessario a gestire gli script di The Avenger, cosa piuttosto ardua per l'utente medio.
In questo caso specifico, una volta che il trojan è impiantato nel sistema, il meglio che si puo' fare consiste solo nel minimizzare lo sforzo necessario a rimuovere il trojan. La serie degli Agent purtroppo è constellata di veri e propri "mostri" molto, molto difficili da eliminare. I loro autori usano molte tecniche diverse per raggiungere il massimo della persistenza su disco.

Quote:

P. Monti svolge da diverso tempo, bisogna infatti ringraziare anche lui se esistono tools gratuiti atti alla rimozione dei più "importanti" malware in senso generale.
Marco.

Grazie, Marco. Non solo per le tue parole, ma soprattutto per l'attivita' che svolgi: ben nota ed apprezzata.

ciao,
Paolo.

[pmonti]

Quote:

Originariamente inviato da lucas84

Per piacere, vedi se sono arrivati, non vorrei aver sbagliato indirizzo

Tutto OK, grazie!

ciao,
Paolo.

[GmG]

Ho alcune varianti di TR.Agent.VP (i nomi sono quelli di AVIRA)

TR.Agent.VP.2
TR.Agent.VP.3
TR.Agent.VP.22
TR.Agent.VP.25
TR.Agent.VP.33
TR.Spy.Agent.VP

Possono interessarti per migliorare il tool?

[lucas84]

Alcune aziende, individuano i files del linkoptimizer come variante di trojan agent, quindi penso che non siano malware cosi distinti,forse uno è veicolo dell'altro,prego per i files

Scoperto qualcosa di nuovo?

Ciao

PS:Per esempio il file LinkOptimizer.dll viene identificato dalla nod come
prob. variante Win32/TrojanDownloader.Agent.BQ

[pmonti]

Quote:

Originariamente inviato da eraser

eh, se Dio vuole rilascio un pdf con analisi completa domani, ci sto lavorando da un paio di giorni.

Da quello che ho potuto leggere in anteprima, mi sembra un lavoro ottimo: hai pensato di sottoporlo al Virus Bulletin?

ciao,
Paolo.

[pmonti]

Quote:

Originariamente inviato da GmG

Ho alcune varianti di TR.Agent.VP (i nomi sono quelli di AVIRA)

TR.Agent.VP.2
TR.Agent.VP.3
TR.Agent.VP.22
TR.Agent.VP.25
TR.Agent.VP.33
TR.Spy.Agent.VP

Possono interessarti per migliorare il tool?

I nomi ci aiutano poco, purtroppo. Ho letto in giro delle analisi su Agent.VP che non c'entrano nulla con il "nostro" Agent.VP, proprio a causa dell'ingannevolezza del nome. Ad Eset, risulta un solo Agent.VP vero e proprio, che e' quello su cui sto lavorando e che presenta la nota sintomatologia. Hai provato a inviarli su VirusTotal per vedere come vengono identificati i file dai vari scanner?

ciao,
Paolo.

[eraser]

Quote:

Originariamente inviato da pmonti

Da quello che ho potuto leggere in anteprima, mi sembra un lavoro ottimo: hai pensato di sottoporlo al Virus Bulletin?

ciao,
Paolo.

mi sputano in un occhio e poi in quell'altro se non mi sono ancora scansato

[pmonti]

Quote:

Originariamente inviato da lucas84

Alcune aziende, individuano i files del linkoptimizer come variante di trojan agent, quindi penso che non siano malware cosi distinti,forse uno è veicolo dell'altro,prego per i files

Sono interconnessi: estono malware che installano Agent.VP come parte della loro "catena di infezione". Un po' come avviene per il rootkit FU di Fuzen Op (aka James Butler), installato da moltissime varianti di trojan.downloader e spyware.

Quote:

Scoperto qualcosa di nuovo?

No, non ho avuto ancora tempo :-) La replicazione di Agent.VP richiede un po' di tempo e attenzione: non puo' essere fatta sotto VMWare, dove sono riuscito a "forzarla" solo modificando il flusso delle istruzioni con un debugger, cosa di cui non mi fido per ottenere risultati certi.

Tutti gli altri test li ho fatti su "Live Machine", cioe' computer reali: ma ora mi trovo a lavorare in una altra sezione dell'ufficio, lontano dal mio laboratorio.

ciao,
Paolo.

[pmonti]

Quote:

Originariamente inviato da eraser

mi sputano in un occhio e poi in quell'altro se non mi sono ancora scansato

Tranquilo, hombre: per quanto ne so nessuno li' fa di queste cammellate La prima parte è buona. Ora dipende tutto dalla seconda.

Ma, per fare una riflessione alla Kalisutra: se alla tua eta' non riesci a fare bene la seconda, mi sa che è la tua ragazza quella che ti sputa... per prima

ciao,
Paolo.

P.S. E' piaciuto anche a Luca. Ma l'inglese va un po' rivisto ))

[eraser]

Quote:

Originariamente inviato da pmonti

Ma, per fare una riflessione alla Kalisutra: se alla tua eta' non riesci a fare bene la seconda, mi sa che è la tua ragazza quella che ti sputa... per prima

ah non ci sono problemi per questo...non mi sputa piú nessuno

PS: per l'inglese ti racconteró poi per e-mail o telefono se ci sentiamo, ti faccio ridere Salutami calorosamente Luca, é una vita che non mi sento manco con lui

[GmG]

Ho fatto un controllo con jotti (virustotal 25-37 minuti di attessa erano troppi)

il risultato è il seguente
Avira NOD
Trojan/Agent.VP.2 -> Win32/Agent.NBR
Trojan/Agent.VP.2 -> Win32/Agent.NBR
Trojan/Agent.VP.3 -> Win32/Agent.VP
Trojan/Agent.VP.22 -> Win32/Small.JF
Trojan/Agent.VP.25 -> Win32/Small.NBV
Trojan/Agent.VP.33 ->
Trojan/Spy.Agent.VP -> Win32/Agent.NCW

Kaspersky tutti Trojan.Win32.Agent.vp

[Bettinz]

complimenti per l'ottimo lavoro che state svolgendo..
paolo, (posso darti del tu?) vorrei chiederti una cosa, posso in pvt?(se non disturbo)..
grazie..

[lucas84]

Quote:

Originariamente inviato da pmonti

Ad Eset, risulta un solo Agent.VP vero e proprio, che e' quello su cui sto lavorando e che presenta la nota sintomatologia. Hai provato a inviarli su VirusTotal per vedere come vengono identificati i file dai vari scanner?

ciao,
Paolo.

Questo?
http://www.suspectfile.com/forum/viewtopic.php?t=198

Ciao

[amvinfe]

Quote:

Originariamente inviato da pmonti

Scusami, stai parlando di Agent.VP o di LinkOptimizer? Del primo, non risultano varianti particolari. Del secondo, si'.

Credo che i due non differiscano di molto, stessa tecnica per infettare (WMF) simili aggiunte:
- nuovo servizio > HKLM\SYSTEM\CurrentControlSet\Services\ [in tutti e due i casi (Agent/LinkOptim.) il nome servizio è sempre composto da 6 lettere random e sempre la 1^ e la 4^ maiuscole es.] :
LogRks /*LogRks*/@
UpdLaz /*UpdLaz*/@
NetSlz /*NetSlz*/@
SrvTqx /*SrvTqx*/@
sempre la stessa directory sia per Agent che per LinkOptim.
C:\Programmi\File comuni\System\x (x = file .exe con lettere random il numero delle lettere varia da 3 a 6)
- uno o più nuovi Account utente aggiunti

Per LinkOptim.
- aggiunta in HKLM\..\Run del valore ****1.exe = C:\WINDOWS\Temp\****1.exe (* lettere random)
- aggiunta di uno o più file con nome riservato nella %WinDir%

-Per Agent
- aggiunta di BHO > HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
dove la .dll ha sempre la medesima caratteristica > *****1.dll (* = 5 lettere random)
- la .dll viene collocata nella %WinDir%
- generalmente si avranno almeno altre due librerie con il medesimo nome ma con estensione .del e una con nome riservato es. > .qju

In entrambi i casi vi è l'aggiunta di file.exe ( i famosi file color verde) con nome random nella directory
C:\Programmi\File comuni\System\

Spero d'essermi ricordato tutto, fra il cell che continuava a squillare e la testa che non è più quella di vent'anni fa avrò tralasciato sicuramente qualcosa.

Quote:

Grazie, Marco. Non solo per le tue parole, ma soprattutto per l'attivita' che svolgi: ben nota ed apprezzata.

ciao,
Paolo.

Negli ultimi mesi sto avendo grosse soddisfazioni personali grazie al nuovo progetto di SuspectFile che insieme a lucas84 > lucass (Gianluca) e holifay (Alessia) abbiamo creato.
Essere consapevoli d'aver potuto aiutare qualcuno, in modo del tutto disinteressato, è la cosa che più conta per tutti noi.

Un saluto
Marco

[pmonti]

Quote:

Originariamente inviato da lucas84

Alcune aziende, individuano i files del linkoptimizer come variante di trojan agent, quindi penso che non siano malware cosi distinti,forse uno è veicolo dell'altro,prego per i files

Scoperto qualcosa di nuovo?

Dunque, ho infettato qualche altra macchina e fatto ulteriori test, usando anche Gmer durante la fase di forensic analysis: buone notizie, posso confermare quanto avevo gia' scritto. Il trojan Agent.VP NON è responsabile della creazione degli ADS o dell'iniezione delle DLL. Il trojan, di per se', fa esattamente quanto avevo affermato Evidentemente, gli altri file vengono creati da altri tipi di malware, forse scaricati dallo stesso Agent.VP, che tra l'altro è un trojandownloader.

Riguardo a Gmer: non lo conoscevo, un bel programmino. Riesce a rimuovere la chiave di Registro creata dal trojan, ma non riesce in alcun modo a cancellare il file, restituendo sempre un codice d'errore NTSTATUS (evidentemente usa le funzioni kernel ZwDeleteFile e/o ZwSetInformationFile con FileDispositionInformation) uguale a 0xC0000121, che nel file ntstatus.h del DDK corrisponde all'errore STATUS_CANNOT_DELETE.

Il mio cleaner non ha questo problema e riesce a rimuovere il file

ciao,
Paolo.

[lucas84]

Senno come si spiega la presenza in tutti i casi del trojan agent da te citato?in ogni caso da me visto,quei files che il tuo tool rimuove sono sempre presenti(nessuna eccezione),quindi,come dici anche tu,ognuno è veicolo dell'altro,per me,non c'è altra spiegazione oppure nn ne arrivo ad altre ,per la cancellazione dei files,IceSword http://www.xfocus.net/tools/200605/IceSword1.18en.rar
dovrebbe riuscire,qui http://www.castlecops.com/t161249-Ro...val_tools.html
alcune "potenzialità" del software.

Ciao

PS:Per la ddl che ti ho mandato hai notizie?grazie

PPS: Già che ci sono,ti volevo chiedere se sai un modo per eliminare un ads che risulta bloccato,per adesso ho provato tutto ma niente,hai qualche consigli,arigrazie

[eraser]

Quote:

Originariamente inviato da pmonti

Dunque, ho infettato qualche altra macchina e fatto ulteriori test, usando anche Gmer durante la fase di forensic analysis: buone notizie, posso confermare quanto avevo gia' scritto. Il trojan Agent.VP NON è responsabile della creazione degli ADS o dell'iniezione delle DLL. Il trojan, di per se', fa esattamente quanto avevo affermato Evidentemente, gli altri file vengono creati da altri tipi di malware, forse scaricati dallo stesso Agent.VP, che tra l'altro è un trojandownloader.

Riguardo a Gmer: non lo conoscevo, un bel programmino. Riesce a rimuovere la chiave di Registro creata dal trojan, ma non riesce in alcun modo a cancellare il file, restituendo sempre un codice d'errore NTSTATUS (evidentemente usa le funzioni kernel ZwDeleteFile e/o ZwSetInformationFile con FileDispositionInformation) uguale a 0xC0000121, che nel file ntstatus.h del DDK corrisponde all'errore STATUS_CANNOT_DELETE.

Il mio cleaner non ha questo problema e riesce a rimuovere il file

ciao,
Paolo.

Paolo,

in anteprima della mia seconda parte (sarebbe quasi pronta ) ti anticipo che l'ultima versione del rootkit fa un checksum scanner per bloccare l'esecuzione di programmi quali The Avenger o Gmer

[Teliqalipukt]

Mi iscrivo al thread.

E ne approfitto per i complimenti al sig. Monti

[eraser]

Quote:

Originariamente inviato da Teliqalipukt

E ne approfitto per i complimenti al sig. Monti

Guardate che è un onore avere Paolo qui sul forum e, soprattutto, avere uno come lui in Italia È veramente un mito