Tomsk Sysadmins Forum

Windows => Администрирование => Topic started by: Слава on January 05, 2009, 09:09:22

Title: Как уничтожить врага?
Post by: Слава on January 05, 2009, 09:09:22
Здравствуйте!

Ко мне в компьютер поселился некий неопознанный вирус. Именитые антивирусники его не находят (Касперский, др. Веб, Нод, Ромовит и д.р.).

 Проявляется в том, что подсаживается в адресное пространство svchost, устанавливает соединение с каким-то адресом (видимо, с заражённой машиной) и начинает сканировать сеть через 445 порт. Сканирует сначала локалку, потом по случайным адресам. Процес, к которому цепляется, виден - у него увеличивается число thread-ов и начинает идти нагрузка на проц, от него идут запросы на кучу соеднений.

Порты и соединение я ему закрыл через политики, но как определить, в какой момент я его подцепляю, что-б убить и как он появился, что-бы закрыть ему дорогу?

Операционка: Server 2003 sp2
Title: Как уничтожить врага?
Post by: fredina on January 05, 2009, 12:56:30
avz пробовали?
Title: Как уничтожить врага?
Post by: Слава on January 06, 2009, 10:05:32
Quote from: fredina
avz пробовали?
Да. В лицо он его тоже не знает, хотя показал адреса и номера процессов, которые были подменены.
Но что делать с этой информацией, я не пойму. Процесс я вижу, он маскируется под svchost или прицепляется к нему. Стираю - пропадает звук! После загрузки процесс появляется вновь.

Есть такая утилита - filemon, которая выдает список файлов, к которым было обращение. Если я ее сую в автозагрузку, то уже поздно - процесс к этому времени запущен. Вот как бы ее запустить одной из самых первых после старта системы?  Глядишь, она и отследила бы диспозицию гада.
Title: Как уничтожить врага?
Post by: Unit on January 06, 2009, 19:26:32
Проверку проводили в safe mode?
Title: Как уничтожить врага?
Post by: fredina on January 06, 2009, 23:47:57
может провести сеанс лечения sfc ?
Title: Как уничтожить врага?
Post by: Слава on January 07, 2009, 08:24:39
Quote from: fredina
может провести сеанс лечения sfc ?
Что это? Я про это ничего не слышал, поискал на x-soft - нету.
Title: Как уничтожить врага?
Post by: Unit on January 07, 2009, 11:49:11
Quote from: fredina
может провести сеанс лечения sfc ?
Так в dllcache проще простого посадить нужный патченный файлик с вирусней. Не панацея.
Title: Как уничтожить врага?
Post by: Diver on January 07, 2009, 15:49:22
попробуйте свой svchost.exe скормить virustotal.com - может какой-то антивирусник его видит?
Title: Как уничтожить врага?
Post by: Слава on January 08, 2009, 09:43:47
Quote from: Diver
попробуйте свой svchost.exe скормить virustotal.com - может какой-то антивирусник его видит?
Я его и еще два похожих с началом на svc из дистрибутива вытащил первым делом. Именно в этом файле его нету, подсаживается позже. Да и сам файл занимает около 14 кб а обеспечивает больше десяти разных сервисов . Покоже, он просто подгружает через себя другие dll, вот и подгрузил где-то не то!
Title: Как уничтожить врага?
Post by: Diver on January 08, 2009, 21:22:48
В Тотал Командере если нажать F3 на exe файле в одной из вкладок пишутся те dll которые юзает экзешник. Может что подозрительного увидите. Посмотрите на чистом компе и зараженном - сравните.
Title: Как уничтожить врага?
Post by: fredina on January 09, 2009, 00:39:29
Quote from: Diver
В Тотал Командере если нажать F3 на exe файле в одной из вкладок пишутся те dll которые юзает экзешник.
на знал про такое. в какой версии ТоталКомандера у вас это работает? что там в качестве просмотрщика?
В стандартной (всегда её использую) v7.0 подобной вкладки в листере не видел. Нашёл только возможность через меню подключать плагины. Но в стандартной поставке никаких *.wls нет.
Title: Как уничтожить врага?
Post by: Diver on January 09, 2009, 12:29:25
К сожалению я стараюсь не использовать платный/шареварный софт. У меня FAR. А Тотал я использовал когда был не такой сознательный. Сейчас скачаю погляжу. Вобщем я всегда использовал сборку Power Pack. На exe файле жмешь F3 - запускается Lister, там вкладка Dll Dependency.
Title: Как уничтожить врага?
Post by: fredina on January 09, 2009, 13:51:11
Quote from: Unit
Так в dllcache проще простого посадить нужный патченный файлик с вирусней. Не панацея.
я бы попробовал с ключиком и дистрибутивом на диске (сначала сделав бэкап).
sfc /purgecache

[!--quoteo(post=0:date=:name=Слава)--][div class=\'quotetop\']Цитата(Слава)[div class=\'quotemain\'][!--quotec--]Я его и еще два похожих с началом на svc из дистрибутива вытащил первым делом.[/quote]
из какого дистрибутива? из папки где стоит винда, или именно из дистрибутива на CD-диске?
Title: Как уничтожить врага?
Post by: Слава on January 09, 2009, 19:59:51
Ура, всем спасибо!

Эпопея закончилась. Новый CureIt от 7.01 уже увидел и удалил вирус. Кстати, изначально он, похоже, находился в jpg! файле!

Title: Как уничтожить врага?
Post by: Diver on January 10, 2009, 13:50:06
а название вируса можете вспомнить?
Title: Как уничтожить врага?
Post by: Виталий on January 12, 2009, 00:41:35
Quote from: Diver
а название вируса можете вспомнить?
У меня вчера случилась похожая эпопея (вылечился установкой др.веба с обновлением его баз по ftp-протоколу, потому что эта зараза не пускала по http ни один из антивирусов  )
вот как зовут врага (точнее врагов):

1.0)  c:\windows\system32\nhjcxkz.dll инфицирован Win32.HLLW.Autoruner.5555
1.1)  >>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSHY2_EN2.LEX_1031\>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSHY2_EN.LEX_1031\>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSTH3EN2.LEX_1031\9474a7e3txt>>C:\MSOCache\All Users\{90120000-002C-0419-0000-0000000FF1CE}-C\Proof.de\Proof.cab\MSTH3AM.LEX_1031\c3ab1228txt>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSHY3GEA.LEX\>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSHY3GEP.LEX\>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSTH3GEA.LEX\c3ab1228txt>C:\Program Files\Common Files\Microsoft Shared\PROOF\MSTH3GEP.LEX\9474a7e3txtC:\System Volume Information\_restore{06E74D76-A2DA-4132-9261-D1AEA176DFCE}\RP7\A0000467.dll инфицирован Win32.HLLW.Autoruner.5555
2.0)  C:\WINDOWS\OPTIONS\CABS\_desktop.ini инфицирован Win32.HLLW.Gavir.ini
Title: Как уничтожить врага?
Post by: nuclight on January 14, 2009, 15:11:57
Quote from: Diver
К сожалению я стараюсь не использовать платный/шареварный софт. У меня FAR. А Тотал я использовал когда был не такой сознательный. Сейчас скачаю погляжу. Вобщем я всегда использовал сборку Power Pack. На exe файле жмешь F3 - запускается Lister, там вкладка Dll Dependency.

У Фара в стандартной поставке идет плагин "Список процессов", который по F3 это и многое другое показывает, а также позволяет убить процесс с отладочными привилегиями (нередко помогает, когда штатный диспетчер задач ругается на запрещенный доступ). Но лучше, конечно, специализированный софт, например Process Explorer, того же автора, что и RegMon/FileMon.
Title: Как уничтожить врага?
Post by: Diver on January 14, 2009, 16:16:43
Quote from: nuclight
У Фара в стандартной поставке идет плагин "Список процессов", который по F3 это и многое другое показывает, а также позволяет убить процесс с отладочными привилегиями (нередко помогает, когда штатный диспетчер задач ругается на запрещенный доступ). Но лучше, конечно, специализированный софт, например Process Explorer, того же автора, что и RegMon/FileMon.
Речь была немного не о процессах, а о исполняемых файлах. Т.е. нужно было посмотреть какие dll юзает приложение не запуская его. Во как
Title: Как уничтожить врага?
Post by: nuclight on January 15, 2009, 14:18:01
Ну любая девелоперская тулза, хоть даже борландячий tdump.exe - только они все покажут требуемые при старте, если файл упакован UPX и/или грузит через LoadLibrary(), толку мало.
Title: Как уничтожить врага?
Post by: Слава on January 18, 2009, 09:15:15
Вот про оного: http://hitech.tomsk.ru/newsinternet/11200-...-ispolzuet.html (http://hitech.tomsk.ru/newsinternet/11200-setevojj-cherv-win32.hllw.shadow.based-ispolzuet.html)
Title: Как уничтожить врага?
Post by: Wergarh on January 21, 2009, 17:40:17
Кто что скажет о Conficker.AB (и иже с ним)? Какими способами кто избавлялся от этой заразы?
Title: Как уничтожить врага?
Post by: Виталий on January 21, 2009, 21:29:55
Quote from: Wergarh
Кто что скажет о Conficker.AB (и иже с ним)? Какими способами кто избавлялся от этой заразы?
Мне такой зверь не попадался...
Title: Как уничтожить врага?
Post by: Wergarh on January 21, 2009, 22:54:43
Пара слов о нем:
Новый сетевой червь – Conficker
20.01.2009

Компания Trend Micro предупреждает о появлении нового червя, который распространяется со скоростью света. Вредоносная программа Conficker (или Downadup) была обнаружена еще в ноябре, однако пик ее распространения пришелся на начало января. На 19 января червем Conficker было поражено около 9 млн компьютеров по всему миру. Червь самораспространяется, используя уязвимости ПО Microsoft. Он проникает в ОС Windows и, попав на компьютер жертвы, открывает злоумышленникам полный доступ к машине. Заражение также может происходить через USB-устройства — к примеру, флэш-брелоки или МР3-плееры.

Conficker — это червь традиционной архитектуры, который подчиняется указаниям из управляющего центра, что и определяет его деятельность на компьютерах жертв. Специалисты Trend Micro опасаются, что это может быть первым шагом в создании внушительного ботнета.

Симптомы заражения Conficker таковы:

    * заблокирован доступ к сайтам с антивирусами;
    * недоступны такие службы, как Windows Automatic Update Service (wauserv);
    * высокий трафик через порт 445 в случае успешного заражения;
    * присутствие [случайное имя файла].dll и autorun.inf на всех подключенных сетевых дисках;
    * наличие [случайное имя файла].dll и autorun.inf в подпапках Internet Explorer и Movie Maker папки Program Files;
    * спрятанная опция скрытых файлов в свойствах папки;
    * червь пытается подключиться к некоторым URL, чтобы загрузить файл, что позволяет злоумышленникам определить местонахождение пораженной системы;
    * пользователи не могут войти в систему со своими реквизитами доступа, так как они заблокированы.

Помимо использования последних обновлений продуктов для безопасности, компания Trend Micro рекомендует обязательно установить обновление Microsoft Patch 08-67 на ВСЕ системы, которые были выпущены в октябре прошлого года, что значительно снизит вероятность заражения системы.

Источник: http://www.bytemag.ru/articles/detail.php?ID=13693 (http://www.bytemag.ru/articles/detail.php?ID=13693)
Title: Как уничтожить врага?
Post by: Виталий on January 22, 2009, 10:37:48
Кто из наших антивирей знает его "в лицо" ??? Кто вылавливал и чем? Лечится ли ?
Title: Как уничтожить врага?
Post by: Wergarh on January 22, 2009, 12:10:18
Знают в лицо многие, но говорят, что только AVP отражает атаку)) NOD32 находит, но ничего поделать не может.
Еще кое что о нем: http://bishop3000.livejournal.com/105424.html (http://bishop3000.livejournal.com/105424.html)
Здесь лечилка: http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml (http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml)
Кто затестит - отпишитесь
Title: Как уничтожить врага?
Post by: Виталий on January 22, 2009, 12:36:28
Скачал лечилку "f-downadup", сейчас буду сканировать свой комп... (хотя я его лечил вебовским "cureit" , который теперь говорит, что всё ок)
ПРОСКАНИРОВАЛ - всё чисто! (жаль    )
Title: Как уничтожить врага?
Post by: Wergarh on January 22, 2009, 15:20:03
Курит не поможет, так же как и АВП-шный клинер) Видит только автораны, но ничего поделать не может с ними, .vmx-ы по-моему вообще не находит в рецусле...
Title: Как уничтожить врага?
Post by: Виталий on January 26, 2009, 09:35:23
Quote from: Wergarh
Курит не поможет, так же как и АВП-шный клинер) Видит только автораны, но ничего поделать не может с ними, .vmx-ы по-моему вообще не находит в рецусле...
Итак, Ваш рецепт ???
Title: Как уничтожить врага?
Post by: Wergarh on January 26, 2009, 19:32:37
http://www.trendmicro.com/vinfo/emea/virus...EA&VSect=Sn (http://www.trendmicro.com/vinfo/emea/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EA&VSect=Sn)
Солюшн от trendmicro.com
Title: Как уничтожить врага?
Post by: Виталий on January 27, 2009, 19:53:35
проверяю
Title: Как уничтожить врага?
Post by: Виталий on January 27, 2009, 19:54:03
Quote from: Wergarh
http://www.trendmicro.com/vinfo/emea/virus...EA&VSect=Sn (http://www.trendmicro.com/vinfo/emea/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EA&VSect=Sn)
Солюшн от trendmicro.com
провёл онлайн сканирование (работает на java) своей машины - чисто (снова не везёт  а так хотелось увидеть в лицо этого врага). Полагаю, что cureit на пару (а точнее по очереди) с removeit , справились с заразой. Правда пара файлов винды (а может быть и больше) , стали покоцаны. В shell.dll теперь нет рисунка для ярлыка "мой компьютер" )))  Как отреставрировать ? Кто подскажет (а может быть попытаться подсунуть файло с другой машины?
sfc [/scannow] - не помогает.