Spider agent for windows что это

Обновлено: 04.07.2024

В этой статье я хочу более подробно рассказать о проблемах протокола обновления в антивирусе Dr.Web, благодаря чему, в случае перехвата трафика, становится возможным подмена компонентов антивируса и выполнение произвольного кода. Информацию об уязвимости я впервые увидел в материалах конференции SyScan2014 в презентации Breaking Antivirus Software (Joxean Koret), и т.к. факт наличия уязвимости уже известен, то особого смысла в еще одной публикации не было. По крайне мере, до одного момента.

В обсуждении статьи «Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД» меня искренне удивила реакция некоторых читателей, и предположительно одного из сотрудников компании Dr.Web, который отказался признавать наличие проблем в ПО. Поэтому, было решено самому разобраться в деталях, а также проверить возможность эксплуатации. Надеюсь, эта публикация поспособствует скорейшему исправлению ситуации.

Исходные данные:

В качестве «подопытного» выбран Dr.Web версии 6.0, как обладающий множеством сертификатов: ФСТЭК, ФСБ, Минобороны РФ. Остальные версии не рассматривались, так что, возможно в них присутствуют аналогичные проблемы, а возможно и нет. В ходе эксперимента все настройки антивируса выставлены по-умолчанию, встроенная защита НЕ отключалась. В качестве операционной системы используется Windows 7.

Подробный список программных модулей антивируса и их версий на момент тестирования

Dr.Web ® Virus-Finding Engine drweb32.dll (7.00.9.04080)
Dr.Web ® Scanning Engine dwengine.exe (7.0.1.05020 (Build 9393))
Dr.Web ® Windows Action Center Integration dwsewsc.exe (7.0.1.05020 (Build 9393))
Dr.Web File System Monitor spiderg3.sys (6.0.10.12290)
Dr.Web Protection for Windows dwprot.sys (7.0.0.08090)
SpIDer Agent for Windows spideragent.exe (6.0.5.10310)
SpIDer Agent admin-mode module for Windows spideragent_adm.exe (6.0.5.10310)
SpIDer Agent settings module for Windows spideragent_set.exe (6.0.5.10310)
SpIDer Mail ® for Windows Workstation spiderml.exe (6.0.3.08040)
SpIDer Mail ® for Windows Workstation settings module spml_set.exe (6.0.3.08040)
Dr.Web Winsock Provider Hook drwebsp.dll (6.0.1.04140)
Dr.Web Winsock Provider Hook drwebsp64.dll (6.0.1.04140)
Dr.Web© Scanner for Windows drweb32w.exe (6.00.16.01270)
Dr.Web ® Console Scanner dwscancl.exe (7.0.1.05020 (Build 9393))
Dr.Web ® Shell Extension drwsxtn.dll (6.00.1.201103100)
Dr.Web ® Shell Extension drwsxtn64.dll (6.00.1.201103100)
Dr.Web Updater for Windows drwebupw.exe (6.00.15.201301210)
Dr.Web Helper drwreg.exe (6.00.12.201102110)
Dr.Web SysInfo dwsysinfo.exe (7.00.3.201204270)
DrWeb ® Quarantine Manager dwqrui.exe (7.0.1.05020 (Build 9393))
Dr.Web Adds-on unpacker drwadins.exe (6.00.0.02270)
Dr.Web ® for Microsoft Outlook Settings drwebsettingprocess.exe (6.00.0.201101130)
Dr.Web ® for Microsoft Outlook Messages drwmsg.dll (6.00.0.201101130)
Dr.Web ® for Microsoft Outlook drwebforoutlook.dll (6.00.0.201101130)

Для эксплуатации уязвимости необходимо, чтобы атакующий имел возможность перенаправления трафика пользователя (например, вследствие подмены DNS-сервера, отравления ARP кэша или как-то еще). Для простоты эксперимента, в тестовой среде компьютеры клиента и злоумышленника находятся в одной сети:

Описание уязвимости

.>UX.E… (другие данные опущены)

Запрашиваемый файл представляет собой архив, сжатый по алгоритму lzma (используется в 7-Zip). После распаковки сам файл выглядит примерно так:

Шестнадцатеричные значения рядом с именами файлов представляют собой контрольные суммы файлов, вычисленные по алгоритму crc32. В данном случае, контрольные суммы используются для поддержания «версионности» файлов.
Также можно увидеть, что механизм обновлений может использовать переменные среды, вроде %CommonProgramFiles%, %SYSDIR64% и т.д. – т.е. файлы можно заливать не только в папку Dr.Web, но и другие системные директории

\J. 6G. >u. y$_naykP. x. h… . J. QS. 7..(другие данные опущены)

В том случае, если контрольные суммы файлов из полученного списка обновления отличаются от используемых, то клиент запрашивает патч существующего:

Если патч получить не удается или файла ранее не было в системе, то идет запрос на новый файл целиком:

Обновляемые файлы также идут без каких-либо проверок, в открытом виде, либо просто запакованые lzma.

Эксплуатация

Далее запускаем непосредственно процедуру отравления arp-кэша и подмены dns:

Таким образом, трафик после эксплуатации пойдет по следующей схеме:

Принимает входящее соединение
Формирует метку времени и отвечает на запрос timestamp
Формирует файл с дополнительной информацией drweb32.flg
Формирует файл со списком обновлений и запаковывает его в lzma архив drweb32.lst.lzma
Отдает фейковое обновление на запрос клиента

При запуске, скрипт начнет принимать соединения и в ответ на запрос обновления выдаст фейковое обновление для файла drwebupw.exe

Клиент успешно его примет и перезапишет оригинальный компонент:

Если все прошло нормально, то при очередной попытке обновиться, от клиента придет коннект:

заметил 2-4 недели назад, после очередного обновления компонентов, spideragent.exe в течение недели "отъедает" у меня конкретно сейчас - 85 мб памяти, компьютер перегружаю редко, раньше вроде такого не было.

заметил 2-4 недели назад, после очередного обновления компонентов, spideragent.exe в течение недели "отъедает" у меня конкретно сейчас - 85 мб памяти, компьютер перегружаю редко, раньше вроде такого не было.

Две недели назад он же (на пару с Брюсом Когсвеллом) выпустил новую тулзу VMMap.

VMMap is a process virtual and physical memory analysis utility.

Баг в трекере уже заведен (0026313) и принят к исполнению.

Забанен за флуд

И когда выйдет в свет ?

Если не сложно, объясни мне. Поставил 5-ку и после 4-ки смущает большое кол-во файлов, которые постоянно висят в памяти. Я про файлы Доктора
Раньше имхо был просто spidernt.exe

Сейчас же:
dwengine.exe
spidernt.exe
SpIDerAgent.exe
spiderui.exe

В сумме они сейчас после двух дней аптайма отъедают 21 метр, через неделю с прожорливостью SpIDerAgent.exe будет все 100.
В 4-ке же spidernt.exe занимал что-то около 2 мегабайт.

Если не сложно, объясни мне. Поставил 5-ку и после 4-ки смущает большое кол-во файлов, которые постоянно висят в памяти. Я про файлы Доктора
Раньше имхо был просто spidernt.exe

мы можем убрать показ кол-ва отъедаемой памяти и все будут видить например всегда 10 кб на наших процессах, устроит? а то что модулей прибавилось, так и возможностей стало больше в антивирусе.

the Spirit of the Enlightenment

Если не сложно, объясни мне. Поставил 5-ку и после 4-ки смущает большое кол-во файлов, которые постоянно висят в памяти. Я про файлы Доктора
Раньше имхо был просто spidernt.exe

предлагаю вообще спрятать все процессы. это даже проще.

предлагаю вообще спрятать все процессы. это даже проще.

А потом будут кричать об используемых руткит-технологиях

the Spirit of the Enlightenment

предлагаю вообще спрятать все процессы. это даже проще.

А потом будут кричать об используемых руткит-технологиях

всегда кто-нибудь о чем-нибудь будет кричать.

Если не сложно, объясни мне. Поставил 5-ку и после 4-ки смущает большое кол-во файлов, которые постоянно висят в памяти. Я про файлы Доктора
Раньше имхо был просто spidernt.exe

Мне уже как бы всё равно. Я купил лицензию на KIS на днях и доволен как слон.
А доктор, к сожалению, как мамонт. Отстал на много.

В нашей базе содержится 315 разных файлов с именем spideragent.exe . You can also check most distributed file variants with name spideragent.exe. Чаще всего эти файлы принадлежат продукту Dr.Web ®. Наиболее частый разработчик - компания Doctor Web, Ltd.. Самое частое описание этих файлов - SpIDer Agent for Windows. Совокупная оценка - 5( 5 ) (комментариев: 15 ). Это исполняемый файл. Вы можете найти его выполняющимся в диспетчере задач как процесс spideragent.exe.

Подробности о наиболее часто используемом файле с именем "spideragent.exe"

Продукт: Dr.Web ® Компания: Doctor Web, Ltd. Описание: SpIDer Agent for Windows Версия: 7.0.0.10140 MD5: d825e134a1d1fe17b224b6debad427ef SHA1: 5fdbe912c8c96ea94a8bdfef6603a095eb4ec3d9 SHA256: 5c0c285ae019c5ada613afdb7afc63e51a5a1af6040ca9c1b15b6dc62b281015 Размер: 6003000 Папка: %PROGRAMFILES%\DrWeb ОС: Windows XP Частота: Высокая Цифровая подпись: Doctor Web Ltd.

Проверьте свой ПК с помощью нашей бесплатной программы

Процесс "spideragent.exe" безопасный или опасный?

Последний новый вариант файла "spideragent.exe" был обнаружен 3147 дн. назад. В нашей базе содержится 24 шт. вариантов файла "spideragent.exe" с окончательной оценкой Безопасный и ноль вариантов с окончательной оценкой Опасный . Окончательные оценки основаны на комментариях, дате обнаружения, частоте инцидентов и результатах антивирусных проверок.

Комментарии пользователей для "spideragent.exe"

Текущим параметрам фильтрации удовлетворяют несколько файлов. Будут показаны комментарии ко всем файлам.

Комментарии ко всем файлам с именем "spideragent.exe"

БЕЗОПАСНЫЙ оценка пользователя CTpaHHoe для файла %PROGFILES64%\DrWeb\spideragent.exe

БЕЗОПАСНЫЙ оценка пользователя Interruption для файла %PROGFILES64%\vkill\DrWeb\spideragent.exe

БЕЗОПАСНЫЙ оценка пользователя _by для файла %PROGRAMFILES%\DrWeb\spideragent.exe

БЕЗОПАСНЫЙ оценка пользователя Олег Разин для файла %PROGRAMFILES%\DrWeb\spideragent.exe

БЕЗОПАСНЫЙ оценка пользователя Krizz для файла %PROGFILES64%\DrWeb\spideragent.exe

БЕЗОПАСНЫЙ оценка пользователя MikeOne для файла %SystemDiskRoot%\Antivir\DrWeb\spideragent.exe

БЕЗОПАСНЫЙ оценка пользователя hazet для файла %PROGRAMFILES%\DrWeb\spideragent.exe

БЕЗОПАСНЫЙ оценка пользователя a для файла %PROGRAMFILES%\DrWeb\spideragent.exe (Variant: 16806211)

БЕЗОПАСНЫЙ оценка пользователя ni2909 для файла %PROGRAMFILES%\DrWeb\SpIDerAgent.exe

БЕЗОПАСНЫЙ оценка пользователя DEZah для файла %PROGRAMFILES%\DrWeb\SpIDerAgent.exe

Добавить комментарий для "spideragent.exe"

Для добавления комментария требуется дополнительная информация об этом файле. Если вам известны размер, контрольные суммы md5/sha1/sha256 или другие атрибуты файла, который вы хотите прокомментировать, то вы можете воспользоваться расширенным поиском на главной странице .

Если подробности о файле вам неизвестны, вы можете быстро проверить этот файл с помощью нашей бесплатной утилиты. Загрузить System Explorer.

Проверьте свой ПК с помощью нашей бесплатной программы

System Explorer это наша бесплатная, удостоенная наград программа для быстрой проверки всех работающих процессов с помощью нашей базы данных. Эта программа поможет вам держать систему под контролем. Программа действительно бесплатная, без рекламы и дополнительных включений, она доступна в виде установщика и как переносное приложение. Её рекомендуют много пользователей.

Файл spideragent.exe из Doctor Web, Ltd является частью SpIDerAgent. spideragent.exe, расположенный в Unknown file path с размером файла unknown байт, версия файла Unknown version, подпись not found.

Запустите приложение Asmwsoft Pc Optimizer.
Потом из главного окна выберите пункт "Clean Junk Files".
Когда появится новое окно, нажмите на кнопку "start" и дождитесь окончания поиска.
потом нажмите на кнопку "Select All".
нажмите на кнопку "start cleaning".

Запустите приложение Asmwsoft Pc Optimizer.
Потом из главного окна выберите пункт "Fix Registry problems".
Нажмите на кнопку "select all" для проверки всех разделов реестра на наличие ошибок.
4. Нажмите на кнопку "Start" и подождите несколько минут в зависимости от размера файла реестра.
После завершения поиска нажмите на кнопку "select all".
Нажмите на кнопку "Fix selected".
P.S. Вам может потребоваться повторно выполнить эти шаги.

3- Настройка Windows для исправления критических ошибок spideragent.exe:

Нажмите правой кнопкой мыши на «Мой компьютер» на рабочем столе и выберите пункт «Свойства».
В меню слева выберите " Advanced system settings".
В разделе «Быстродействие» нажмите на кнопку «Параметры».
Нажмите на вкладку "data Execution prevention".
Выберите опцию " Turn on DEP for all programs and services . " .
Нажмите на кнопку "add" и выберите файл spideragent.exe, а затем нажмите на кнопку "open".
Нажмите на кнопку "ok" и перезагрузите свой компьютер.

Как другие пользователи поступают с этим файлом?

Всего голосов ( 181 ), 115 говорят, что не будут удалять, а 66 говорят, что удалят его с компьютера.

Читайте также: