Показано с 1 по 15 из 15.

проблема с руткитом (заявка № 116529)

  1. #1
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    45

    проблема с руткитом

    Доброго времени суток.
    Выловил недавно в сети на трех машинах неприятный руткит, который во всех сетевых папках, расшаренных на запись создает *.exe файлы, упакованные UPX. Список имен файлов пока-что следующий: Love.exe, Коды.exe, Накладная.exe, Нужное.exe, Пароли.exe, Поздравлялка.exe, Просто сказка.exe, Снежок.exe, Установить.exe. В контейнере - парочку зараженных системных файлов. Недавно руткит начал печатать свое содержимое в текстовом виде на расшаренные принтеры.
    Сканировал с помощью nod32, CureIt, Kaspersky Virus Removal Tool. Последний обнаружил файл "C:\WINDOWS\system\file\file.exe", зараженный Trojan-Dropper.Win32.Autoit.ad (контейнер с тем же содержимым, что и упомянутые *.exe файлы) и успешно удалил.
    В AVZ стандартный скрипт "Поиск и нейтрализация RootKit UserMode и KernelMode" успешно фиксит перехват API файлом s???.sys, но после ребута перехват осуществляется файлом с новым именем той же маски файла.
    Т.е. к нейтрализации виря не подошел даже близко. Поэтому прошу помощи у знающих.
    Логи прикладываю. Заранее спасибо!

    УПД. Сеть закрытая, интернета нет. Скорее всего один подозреваемый (или по одному на каждый зараженный писюк, скорее) из любопытства поддался на провокационные имена файлов на принесенной флешке и запустил хоть один из них.
    Вложения Вложения
    Последний раз редактировалось n256; 13.02.2012 в 23:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) n256, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Сделайте лог полного сканирования МВАМ.

    Цитата Сообщение от n256 Посмотреть сообщение
    Love.exe, Коды.exe, Накладная.exe, Нужное.exe, Пароли.exe, Поздравлялка.exe, Просто сказка.exe, Снежок.exe, Установить.exe. В контейнере - парочку зараженных системных файлов.
    пришлите в карантин согласно правилам раздела.

  5. #4
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    45
    лог прикладываю.
    а с карантином вышла накладка - случайно удалил архив с флешки. так что, с вашего позволения, карантин завтра пришлю.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    по приложенным логам всё чисто, вы уверены что этот ПК заражён?

    советую создать темы для двух оставшихся компьютеров и приложить логи согласно правилам.

  7. #6
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    45
    Цитата Сообщение от regist Посмотреть сообщение
    по приложенным логам всё чисто, вы уверены что этот ПК заражён?
    пожалуй, да.
    завтра тогда выложу еще лог сканирования АВЗ. там явно видно перехват API.

    два оставшихся компа думаю буду лечить по результатам этого компа. там видно будет.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от n256 Посмотреть сообщение
    там явно видно перехват API.
    Это вряд ли окажется признаком заражения
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от n256 Посмотреть сообщение
    два оставшихся компа думаю буду лечить по результатам
    лучше загрузите обещанный карантин, тогда уже будет видно чем заражены.

  10. #9
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    45
    выкладываю как обещал лог сканирования АВЗ. точнее 2 лога в архиве:
    1. стандартный скрипт "1. Поиск и нейтрализации RootKit UserMode и KernelMode", где видно как АВЗ нейтрализует руткит
    2. скан АВЗ сразу же после ребута, где видно, что перехватчик остался, сгенерировав себе новое имя


    так же загрузил в карантин два файла из упоминаемых, т.к. все они, вроде бы, идентичны.

    ЗЫ. спасибо за помощь и проявленное терпение.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    по поводу файлов загруженных в карантин:

    D:\TRANZIT\Пароли.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20
    D:\TRANZIT\Поздравлялка.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20


    Добавлено через 3 минуты

    в прикреплённых вами файлах увидел только перехваты от эмулятора дисков

  12. #11
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    45
    т.е. файлы s???.sys - это файлы драйвера SPTD?
    а это нормальное поведение SPTD со сменой имени файла?

    а по поводу файлов, так Kaspersky Virus Removal Tool разбирает эту матрешку "UPX-в-UPXе" до дна и находит там много грязи помимо RemoteAdmin.Win32.RAdmin.20.
    да и с чего бы в расшаренных папках сами собой появлялись файлы для удаленного администрирования? думаю что-то тут нечисто.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от n256 Посмотреть сообщение
    а это нормальное поведение SPTD со сменой имени файла?
    Да, это нормально
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    45
    хорошо. если не брать во внимание файлы в расшаренной папке, которые я прислал в карантин, и судить сугубо по логам, то вроде бы все нормально. но на этой рабочей станции 100% был запущен минимум один из тех зловредных файлов. это подтверждает хотя бы найденный и удаленный Kaspersky Virus Removal Tool экземпляр этого файла в C:\WINDOWS\system\file\file.exe, хотя после удаления этот файл там снова не появился.
    с другой стороны, можно бы на этом успокоится. но мне не дает покоя количество злобных элементов в этой матрешке и есть параноидальное чувство, что система еще под угрозой. хотя вам, пожалуй, виднее.
    может еще какими-то прогами можно посканировать дабы убедиться, что все нормально?

    УПД. а можно ли посредством какой-то проги, установленной на одну из рабочих станций помониторить расшаренные папки с целью точно определить с какого хоста в сети в папки ложатся эти матрешки?

  15. #14
    Junior Member Репутация
    Регистрация
    11.02.2012
    Сообщений
    7
    Вес репутации
    45
    уважаемые хелперы, помогите, пожалуйста, решить вопрос с этими матрешками-путешественницами. я уже с ног сбился пытаясь их побороть.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\tranzit\\пароли.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20 ( DrWEB: Trojan.Siggen.64267, BitDefender: Trojan.Generic.3816426 )
      2. d:\\tranzit\\поздравлялка.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20 ( DrWEB: Trojan.Siggen.64267, BitDefender: Trojan.Generic.3816426 )


  • Уважаемый(ая) n256, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите с руткитом
      От Бусидо в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.05.2010, 01:00
    2. не могу справиться с руткитом
      От Scorcher в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 07.12.2009, 02:05
    3. Проблема с неизвестным руткитом.
      От t0stre в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.11.2009, 18:28
    4. Неравный бой с руткитом
      От SHRIKE в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.06.2009, 18:00
    5. Проблемка с руткитом
      От Suslik's в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 22.02.2009, 08:25

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00610 seconds with 20 queries