Показано с 1 по 15 из 15.

проблема с руткитом (заявка № 116529)

  1. #1
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    18

    проблема с руткитом

    Доброго времени суток.
    Выловил недавно в сети на трех машинах неприятный руткит, который во всех сетевых папках, расшаренных на запись создает *.exe файлы, упакованные UPX. Список имен файлов пока-что следующий: Love.exe, Коды.exe, Накладная.exe, Нужное.exe, Пароли.exe, Поздравлялка.exe, Просто сказка.exe, Снежок.exe, Установить.exe. В контейнере - парочку зараженных системных файлов. Недавно руткит начал печатать свое содержимое в текстовом виде на расшаренные принтеры.
    Сканировал с помощью nod32, CureIt, Kaspersky Virus Removal Tool. Последний обнаружил файл "C:\WINDOWS\system\file\file.exe", зараженный Trojan-Dropper.Win32.Autoit.ad (контейнер с тем же содержимым, что и упомянутые *.exe файлы) и успешно удалил.
    В AVZ стандартный скрипт "Поиск и нейтрализация RootKit UserMode и KernelMode" успешно фиксит перехват API файлом s???.sys, но после ребута перехват осуществляется файлом с новым именем той же маски файла.
    Т.е. к нейтрализации виря не подошел даже близко. Поэтому прошу помощи у знающих.
    Логи прикладываю. Заранее спасибо!

    УПД. Сеть закрытая, интернета нет. Скорее всего один подозреваемый (или по одному на каждый зараженный писюк, скорее) из любопытства поддался на провокационные имена файлов на принесенной флешке и запустил хоть один из них.
    Вложения Вложения
    Последний раз редактировалось n256; 13.02.2012 в 23:45.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    326
    Уважаемый(ая) n256, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Сделайте лог полного сканирования МВАМ.

    Цитата Сообщение от n256 Посмотреть сообщение
    Love.exe, Коды.exe, Накладная.exe, Нужное.exe, Пароли.exe, Поздравлялка.exe, Просто сказка.exe, Снежок.exe, Установить.exe. В контейнере - парочку зараженных системных файлов.
    пришлите в карантин согласно правилам раздела.

  5. #4
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    18
    лог прикладываю.
    а с карантином вышла накладка - случайно удалил архив с флешки. так что, с вашего позволения, карантин завтра пришлю.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    по приложенным логам всё чисто, вы уверены что этот ПК заражён?

    советую создать темы для двух оставшихся компьютеров и приложить логи согласно правилам.

  7. #6
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    18
    Цитата Сообщение от regist Посмотреть сообщение
    по приложенным логам всё чисто, вы уверены что этот ПК заражён?
    пожалуй, да.
    завтра тогда выложу еще лог сканирования АВЗ. там явно видно перехват API.

    два оставшихся компа думаю буду лечить по результатам этого компа. там видно будет.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,588
    Вес репутации
    2916
    Цитата Сообщение от n256 Посмотреть сообщение
    там явно видно перехват API.
    Это вряд ли окажется признаком заражения
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Цитата Сообщение от n256 Посмотреть сообщение
    два оставшихся компа думаю буду лечить по результатам
    лучше загрузите обещанный карантин, тогда уже будет видно чем заражены.

  10. #9
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    18
    выкладываю как обещал лог сканирования АВЗ. точнее 2 лога в архиве:
    1. стандартный скрипт "1. Поиск и нейтрализации RootKit UserMode и KernelMode", где видно как АВЗ нейтрализует руткит
    2. скан АВЗ сразу же после ребута, где видно, что перехватчик остался, сгенерировав себе новое имя


    так же загрузил в карантин два файла из упоминаемых, т.к. все они, вроде бы, идентичны.

    ЗЫ. спасибо за помощь и проявленное терпение.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    по поводу файлов загруженных в карантин:

    D:\TRANZIT\Пароли.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20
    D:\TRANZIT\Поздравлялка.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20


    Добавлено через 3 минуты

    в прикреплённых вами файлах увидел только перехваты от эмулятора дисков

  12. #11
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    18
    т.е. файлы s???.sys - это файлы драйвера SPTD?
    а это нормальное поведение SPTD со сменой имени файла?

    а по поводу файлов, так Kaspersky Virus Removal Tool разбирает эту матрешку "UPX-в-UPXе" до дна и находит там много грязи помимо RemoteAdmin.Win32.RAdmin.20.
    да и с чего бы в расшаренных папках сами собой появлялись файлы для удаленного администрирования? думаю что-то тут нечисто.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,588
    Вес репутации
    2916
    Цитата Сообщение от n256 Посмотреть сообщение
    а это нормальное поведение SPTD со сменой имени файла?
    Да, это нормально
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    18
    хорошо. если не брать во внимание файлы в расшаренной папке, которые я прислал в карантин, и судить сугубо по логам, то вроде бы все нормально. но на этой рабочей станции 100% был запущен минимум один из тех зловредных файлов. это подтверждает хотя бы найденный и удаленный Kaspersky Virus Removal Tool экземпляр этого файла в C:\WINDOWS\system\file\file.exe, хотя после удаления этот файл там снова не появился.
    с другой стороны, можно бы на этом успокоится. но мне не дает покоя количество злобных элементов в этой матрешке и есть параноидальное чувство, что система еще под угрозой. хотя вам, пожалуй, виднее.
    может еще какими-то прогами можно посканировать дабы убедиться, что все нормально?

    УПД. а можно ли посредством какой-то проги, установленной на одну из рабочих станций помониторить расшаренные папки с целью точно определить с какого хоста в сети в папки ложатся эти матрешки?

  15. #14
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    18
    уважаемые хелперы, помогите, пожалуйста, решить вопрос с этими матрешками-путешественницами. я уже с ног сбился пытаясь их побороть.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\tranzit\\пароли.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20 ( DrWEB: Trojan.Siggen.64267, BitDefender: Trojan.Generic.3816426 )
      2. d:\\tranzit\\поздравлялка.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20 ( DrWEB: Trojan.Siggen.64267, BitDefender: Trojan.Generic.3816426 )


  • Уважаемый(ая) n256, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите с руткитом
      От Бусидо в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.05.2010, 01:00
    2. не могу справиться с руткитом
      От Scorcher в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.12.2009, 02:05
    3. Проблема с неизвестным руткитом.
      От t0stre в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.11.2009, 18:28
    4. Неравный бой с руткитом
      От SHRIKE в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.06.2009, 18:00
    5. Проблемка с руткитом
      От Suslik's в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 22.02.2009, 08:25

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01073 seconds with 23 queries