Spider agent for windows что это
Обновлено: 04.07.2024
В этой статье я хочу более подробно рассказать о проблемах протокола обновления в антивирусе Dr.Web, благодаря чему, в случае перехвата трафика, становится возможным подмена компонентов антивируса и выполнение произвольного кода. Информацию об уязвимости я впервые увидел в материалах конференции SyScan2014 в презентации Breaking Antivirus Software (Joxean Koret), и т.к. факт наличия уязвимости уже известен, то особого смысла в еще одной публикации не было. По крайне мере, до одного момента.
В обсуждении статьи «Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД» меня искренне удивила реакция некоторых читателей, и предположительно одного из сотрудников компании Dr.Web, который отказался признавать наличие проблем в ПО. Поэтому, было решено самому разобраться в деталях, а также проверить возможность эксплуатации. Надеюсь, эта публикация поспособствует скорейшему исправлению ситуации.
Исходные данные:
В качестве «подопытного» выбран Dr.Web версии 6.0, как обладающий множеством сертификатов: ФСТЭК, ФСБ, Минобороны РФ. Остальные версии не рассматривались, так что, возможно в них присутствуют аналогичные проблемы, а возможно и нет. В ходе эксперимента все настройки антивируса выставлены по-умолчанию, встроенная защита НЕ отключалась. В качестве операционной системы используется Windows 7.
Подробный список программных модулей антивируса и их версий на момент тестирования- Dr.Web ® Virus-Finding Engine drweb32.dll (7.00.9.04080)
- Dr.Web ® Scanning Engine dwengine.exe (7.0.1.05020 (Build 9393))
- Dr.Web ® Windows Action Center Integration dwsewsc.exe (7.0.1.05020 (Build 9393))
- Dr.Web File System Monitor spiderg3.sys (6.0.10.12290)
- Dr.Web Protection for Windows dwprot.sys (7.0.0.08090)
- SpIDer Agent for Windows spideragent.exe (6.0.5.10310)
- SpIDer Agent admin-mode module for Windows spideragent_adm.exe (6.0.5.10310)
- SpIDer Agent settings module for Windows spideragent_set.exe (6.0.5.10310)
- SpIDer Mail ® for Windows Workstation spiderml.exe (6.0.3.08040)
- SpIDer Mail ® for Windows Workstation settings module spml_set.exe (6.0.3.08040)
- Dr.Web Winsock Provider Hook drwebsp.dll (6.0.1.04140)
- Dr.Web Winsock Provider Hook drwebsp64.dll (6.0.1.04140)
- Dr.Web© Scanner for Windows drweb32w.exe (6.00.16.01270)
- Dr.Web ® Console Scanner dwscancl.exe (7.0.1.05020 (Build 9393))
- Dr.Web ® Shell Extension drwsxtn.dll (6.00.1.201103100)
- Dr.Web ® Shell Extension drwsxtn64.dll (6.00.1.201103100)
- Dr.Web Updater for Windows drwebupw.exe (6.00.15.201301210)
- Dr.Web Helper drwreg.exe (6.00.12.201102110)
- Dr.Web SysInfo dwsysinfo.exe (7.00.3.201204270)
- DrWeb ® Quarantine Manager dwqrui.exe (7.0.1.05020 (Build 9393))
- Dr.Web Adds-on unpacker drwadins.exe (6.00.0.02270)
- Dr.Web ® for Microsoft Outlook Settings drwebsettingprocess.exe (6.00.0.201101130)
- Dr.Web ® for Microsoft Outlook Messages drwmsg.dll (6.00.0.201101130)
- Dr.Web ® for Microsoft Outlook drwebforoutlook.dll (6.00.0.201101130)
Для эксплуатации уязвимости необходимо, чтобы атакующий имел возможность перенаправления трафика пользователя (например, вследствие подмены DNS-сервера, отравления ARP кэша или как-то еще). Для простоты эксперимента, в тестовой среде компьютеры клиента и злоумышленника находятся в одной сети:
Описание уязвимости
.>UX.E… (другие данные опущены)
Запрашиваемый файл представляет собой архив, сжатый по алгоритму lzma (используется в 7-Zip). После распаковки сам файл выглядит примерно так:
Шестнадцатеричные значения рядом с именами файлов представляют собой контрольные суммы файлов, вычисленные по алгоритму crc32. В данном случае, контрольные суммы используются для поддержания «версионности» файлов.
Также можно увидеть, что механизм обновлений может использовать переменные среды, вроде %CommonProgramFiles%, %SYSDIR64% и т.д. – т.е. файлы можно заливать не только в папку Dr.Web, но и другие системные директории
\J. 6G. >u. y$_naykP. x. h… . J. QS. 7..(другие данные опущены)
В том случае, если контрольные суммы файлов из полученного списка обновления отличаются от используемых, то клиент запрашивает патч существующего:
Если патч получить не удается или файла ранее не было в системе, то идет запрос на новый файл целиком:
Обновляемые файлы также идут без каких-либо проверок, в открытом виде, либо просто запакованые lzma.
Эксплуатация
-
Создаем собственный бэкдор, который бы выполнился на компьютере-клиенте и передал управление злоумышленнику. Для этого можно использовать нагрузку Meterpreter из проекта Metasploit Framework, дополнительно прогнав через Veil-Evasion для обхода антивируса. На выходе получаем файл drwebupw.exe, который в дальнейшем заменит оригинальный компонент антивируса клиента при обновлении.
Далее запускаем непосредственно процедуру отравления arp-кэша и подмены dns:
Таким образом, трафик после эксплуатации пойдет по следующей схеме:
- Принимает входящее соединение
- Формирует метку времени и отвечает на запрос timestamp
- Формирует файл с дополнительной информацией drweb32.flg
- Формирует файл со списком обновлений и запаковывает его в lzma архив drweb32.lst.lzma
- Отдает фейковое обновление на запрос клиента
При запуске, скрипт начнет принимать соединения и в ответ на запрос обновления выдаст фейковое обновление для файла drwebupw.exe
Клиент успешно его примет и перезапишет оригинальный компонент:
Если все прошло нормально, то при очередной попытке обновиться, от клиента придет коннект:
заметил 2-4 недели назад, после очередного обновления компонентов, spideragent.exe в течение недели "отъедает" у меня конкретно сейчас - 85 мб памяти, компьютер перегружаю редко, раньше вроде такого не было.
заметил 2-4 недели назад, после очередного обновления компонентов, spideragent.exe в течение недели "отъедает" у меня конкретно сейчас - 85 мб памяти, компьютер перегружаю редко, раньше вроде такого не было.
Две недели назад он же (на пару с Брюсом Когсвеллом) выпустил новую тулзу VMMap.
Баг в трекере уже заведен (0026313) и принят к исполнению.VMMap is a process virtual and physical memory analysis utility.
Забанен за флуд
И когда выйдет в свет ?
Если не сложно, объясни мне. Поставил 5-ку и после 4-ки смущает большое кол-во файлов, которые постоянно висят в памяти. Я про файлы Доктора
Раньше имхо был просто spidernt.exe
Сейчас же:
dwengine.exe
spidernt.exe
SpIDerAgent.exe
spiderui.exe
В сумме они сейчас после двух дней аптайма отъедают 21 метр, через неделю с прожорливостью SpIDerAgent.exe будет все 100.
В 4-ке же spidernt.exe занимал что-то около 2 мегабайт.
Если не сложно, объясни мне. Поставил 5-ку и после 4-ки смущает большое кол-во файлов, которые постоянно висят в памяти. Я про файлы Доктора
Раньше имхо был просто spidernt.exe
В сумме они сейчас после двух дней аптайма отъедают 21 метр, через неделю с прожорливостью SpIDerAgent.exe будет все 100.
В 4-ке же spidernt.exe занимал что-то около 2 мегабайт.
the Spirit of the Enlightenment
Если не сложно, объясни мне. Поставил 5-ку и после 4-ки смущает большое кол-во файлов, которые постоянно висят в памяти. Я про файлы Доктора
Раньше имхо был просто spidernt.exe
В сумме они сейчас после двух дней аптайма отъедают 21 метр, через неделю с прожорливостью SpIDerAgent.exe будет все 100.
В 4-ке же spidernt.exe занимал что-то около 2 мегабайт.
предлагаю вообще спрятать все процессы. это даже проще.
А потом будут кричать об используемых руткит-технологияхпредлагаю вообще спрятать все процессы. это даже проще.
the Spirit of the Enlightenment
А потом будут кричать об используемых руткит-технологияхпредлагаю вообще спрятать все процессы. это даже проще.
всегда кто-нибудь о чем-нибудь будет кричать.
Если не сложно, объясни мне. Поставил 5-ку и после 4-ки смущает большое кол-во файлов, которые постоянно висят в памяти. Я про файлы Доктора
Раньше имхо был просто spidernt.exe
В сумме они сейчас после двух дней аптайма отъедают 21 метр, через неделю с прожорливостью SpIDerAgent.exe будет все 100.
В 4-ке же spidernt.exe занимал что-то около 2 мегабайт.
Мне уже как бы всё равно. Я купил лицензию на KIS на днях и доволен как слон.
А доктор, к сожалению, как мамонт. Отстал на много.
В нашей базе содержится 315 разных файлов с именем spideragent.exe . You can also check most distributed file variants with name spideragent.exe. Чаще всего эти файлы принадлежат продукту Dr.Web ®. Наиболее частый разработчик - компания Doctor Web, Ltd.. Самое частое описание этих файлов - SpIDer Agent for Windows. Совокупная оценка - 5( 5 ) (комментариев: 15 ). Это исполняемый файл. Вы можете найти его выполняющимся в диспетчере задач как процесс spideragent.exe.
Подробности о наиболее часто используемом файле с именем "spideragent.exe"
Продукт: Dr.Web ® Компания: Doctor Web, Ltd. Описание: SpIDer Agent for Windows Версия: 7.0.0.10140 MD5: d825e134a1d1fe17b224b6debad427ef SHA1: 5fdbe912c8c96ea94a8bdfef6603a095eb4ec3d9 SHA256: 5c0c285ae019c5ada613afdb7afc63e51a5a1af6040ca9c1b15b6dc62b281015 Размер: 6003000 Папка: %PROGRAMFILES%\DrWeb ОС: Windows XP Частота: Высокая Цифровая подпись: Doctor Web Ltd.Проверьте свой ПК с помощью нашей бесплатной программы
Процесс "spideragent.exe" безопасный или опасный?
Последний новый вариант файла "spideragent.exe" был обнаружен 3147 дн. назад. В нашей базе содержится 24 шт. вариантов файла "spideragent.exe" с окончательной оценкой Безопасный и ноль вариантов с окончательной оценкой Опасный . Окончательные оценки основаны на комментариях, дате обнаружения, частоте инцидентов и результатах антивирусных проверок.
Комментарии пользователей для "spideragent.exe"
Текущим параметрам фильтрации удовлетворяют несколько файлов. Будут показаны комментарии ко всем файлам.
Комментарии ко всем файлам с именем "spideragent.exe"
БЕЗОПАСНЫЙ оценка пользователя CTpaHHoe для файла %PROGFILES64%\DrWeb\spideragent.exe![flag en]()
БЕЗОПАСНЫЙ оценка пользователя Interruption для файла %PROGFILES64%\vkill\DrWeb\spideragent.exe![flag en]()
БЕЗОПАСНЫЙ оценка пользователя _by для файла %PROGRAMFILES%\DrWeb\spideragent.exe
БЕЗОПАСНЫЙ оценка пользователя Олег Разин для файла %PROGRAMFILES%\DrWeb\spideragent.exe
БЕЗОПАСНЫЙ оценка пользователя Krizz для файла %PROGFILES64%\DrWeb\spideragent.exe
БЕЗОПАСНЫЙ оценка пользователя MikeOne для файла %SystemDiskRoot%\Antivir\DrWeb\spideragent.exe![flag en]()
БЕЗОПАСНЫЙ оценка пользователя hazet для файла %PROGRAMFILES%\DrWeb\spideragent.exe
БЕЗОПАСНЫЙ оценка пользователя a для файла %PROGRAMFILES%\DrWeb\spideragent.exe (Variant: 16806211)
БЕЗОПАСНЫЙ оценка пользователя ni2909 для файла %PROGRAMFILES%\DrWeb\SpIDerAgent.exe![flag en]()
БЕЗОПАСНЫЙ оценка пользователя DEZah для файла %PROGRAMFILES%\DrWeb\SpIDerAgent.exe![flag en]()
Добавить комментарий для "spideragent.exe"
Для добавления комментария требуется дополнительная информация об этом файле. Если вам известны размер, контрольные суммы md5/sha1/sha256 или другие атрибуты файла, который вы хотите прокомментировать, то вы можете воспользоваться расширенным поиском на главной странице .
Если подробности о файле вам неизвестны, вы можете быстро проверить этот файл с помощью нашей бесплатной утилиты. Загрузить System Explorer.
Проверьте свой ПК с помощью нашей бесплатной программы
System Explorer это наша бесплатная, удостоенная наград программа для быстрой проверки всех работающих процессов с помощью нашей базы данных. Эта программа поможет вам держать систему под контролем. Программа действительно бесплатная, без рекламы и дополнительных включений, она доступна в виде установщика и как переносное приложение. Её рекомендуют много пользователей.
Файл spideragent.exe из Doctor Web, Ltd является частью SpIDerAgent. spideragent.exe, расположенный в Unknown file path с размером файла unknown байт, версия файла Unknown version, подпись not found.
- Запустите приложение Asmwsoft Pc Optimizer.
- Потом из главного окна выберите пункт "Clean Junk Files".
- Когда появится новое окно, нажмите на кнопку "start" и дождитесь окончания поиска.
- потом нажмите на кнопку "Select All".
- нажмите на кнопку "start cleaning".
- Запустите приложение Asmwsoft Pc Optimizer.
- Потом из главного окна выберите пункт "Fix Registry problems".
- Нажмите на кнопку "select all" для проверки всех разделов реестра на наличие ошибок.
- 4. Нажмите на кнопку "Start" и подождите несколько минут в зависимости от размера файла реестра.
- После завершения поиска нажмите на кнопку "select all".
- Нажмите на кнопку "Fix selected".
P.S. Вам может потребоваться повторно выполнить эти шаги.
3- Настройка Windows для исправления критических ошибок spideragent.exe:
- Нажмите правой кнопкой мыши на «Мой компьютер» на рабочем столе и выберите пункт «Свойства».
- В меню слева выберите " Advanced system settings".
- В разделе «Быстродействие» нажмите на кнопку «Параметры».
- Нажмите на вкладку "data Execution prevention".
- Выберите опцию " Turn on DEP for all programs and services . " .
- Нажмите на кнопку "add" и выберите файл spideragent.exe, а затем нажмите на кнопку "open".
- Нажмите на кнопку "ok" и перезагрузите свой компьютер.
Всего голосов ( 181 ), 115 говорят, что не будут удалять, а 66 говорят, что удалят его с компьютера.
Читайте также: