Доброго времени суток.
Выловил недавно в сети на трех машинах неприятный руткит, который во всех сетевых папках, расшаренных на запись создает *.exe файлы, упакованные UPX. Список имен файлов пока-что следующий: Love.exe, Коды.exe, Накладная.exe, Нужное.exe, Пароли.exe, Поздравлялка.exe, Просто сказка.exe, Снежок.exe, Установить.exe. В контейнере - парочку зараженных системных файлов. Недавно руткит начал печатать свое содержимое в текстовом виде на расшаренные принтеры.
Сканировал с помощью nod32, CureIt, Kaspersky Virus Removal Tool. Последний обнаружил файл "C:\WINDOWS\system\file\file.exe", зараженный Trojan-Dropper.Win32.Autoit.ad (контейнер с тем же содержимым, что и упомянутые *.exe файлы) и успешно удалил.
В AVZ стандартный скрипт "Поиск и нейтрализация RootKit UserMode и KernelMode" успешно фиксит перехват API файлом s???.sys, но после ребута перехват осуществляется файлом с новым именем той же маски файла.
Т.е. к нейтрализации виря не подошел даже близко. Поэтому прошу помощи у знающих.
Логи прикладываю. Заранее спасибо!
УПД. Сеть закрытая, интернета нет. Скорее всего один подозреваемый (или по одному на каждый зараженный писюк, скорее) из любопытства поддался на провокационные имена файлов на принесенной флешке и запустил хоть один из них.
Последний раз редактировалось n256; 13.02.2012 в 23:45.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) n256, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
т.е. файлы s???.sys - это файлы драйвера SPTD?
а это нормальное поведение SPTD со сменой имени файла?
а по поводу файлов, так Kaspersky Virus Removal Tool разбирает эту матрешку "UPX-в-UPXе" до дна и находит там много грязи помимо RemoteAdmin.Win32.RAdmin.20.
да и с чего бы в расшаренных папках сами собой появлялись файлы для удаленного администрирования? думаю что-то тут нечисто.
хорошо. если не брать во внимание файлы в расшаренной папке, которые я прислал в карантин, и судить сугубо по логам, то вроде бы все нормально. но на этой рабочей станции 100% был запущен минимум один из тех зловредных файлов. это подтверждает хотя бы найденный и удаленный Kaspersky Virus Removal Tool экземпляр этого файла в C:\WINDOWS\system\file\file.exe, хотя после удаления этот файл там снова не появился.
с другой стороны, можно бы на этом успокоится. но мне не дает покоя количество злобных элементов в этой матрешке и есть параноидальное чувство, что система еще под угрозой. хотя вам, пожалуй, виднее.
может еще какими-то прогами можно посканировать дабы убедиться, что все нормально?
УПД. а можно ли посредством какой-то проги, установленной на одну из рабочих станций помониторить расшаренные папки с целью точно определить с какого хоста в сети в папки ложатся эти матрешки?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: