Показано с 1 по 9 из 9.

Неуловимый вирь (заявка № 12236)

  1. #1
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    5
    Вес репутации
    61

    Question Неуловимый вирь

    Добрый вечер!

    Дружно всем офисом поймали вируса. Поскольку админы не торопятся - за месяц расползся почти повсеместно. Перед попадание на этот форум отправил подозрительный файл в eset. Пока тишина, да может он и "чистый" (см. далее)
    На моем компе заражен Winword.exe (офис 2003 сп2), причем ни AVZ, ни антивирусы его не видят. Попытка скопировать в карантин при помощи AVZ ничего не дает - висит без сообщений о результате. В том числе и в Safe Mode. Скопировал при помощи NTFS DOS загрузившись Hiren's BootCD. "fc /b текущий хитро_скопированный" дает diff на 9Мб текста (размер исходных файлов 12061896). Отправка в zip на virustotal дала единичное срабатывание как "Generic.Malware" в PrevX. После его установки (на другом компе, не тот, с которого логи) ничего не изменилось.

    вот что я отправил в eset (тогда еще не знал о зараженности winword):
    ===
    Основной признак - "кривая" работа эксплорера - не работает drag-n-drop, Ctrl-C/Ctrl-V, портится интерфейс программ, использующих explorer.exe (в частности окно "установка и удаление программ" и ещё какие-то с подобными доп. элементами интерфейса), отказ сохранения файлов в офисе, закрытия программ, общая "тормознутость" системы и т.п. Зависания и "падения" офисных программ и AutoCAD. нестабильная работа и невозможность открыть какие-либо сайты из Internet Explorer (6.0)

    заражение и мои дальнейшие наблюдения:

    После открытия файла в MS Word (2000/2003) появляется сообщение "невозможно зарегистрировать данный документ. Будет невозможно установить связь между этим документом и другими документами."

    Далее при старте офисных программ не регистрируются надстройки и ActiveX компоненты (в частности "Календарь" в MS Access). и появляется то же сообщение.

    "Портится" Windows Installer - не запускается служба при старте установки программ. После ручного запуска setup начинает работу, но работает, как правило, некорректно либо вообще завершается с ошибкой "неправильный скрипт" или "скрипт не найден"

    После некоторого времени работы появляется Access Violation в "svchost.exe" на компьютерах под управлением Win2000. У меня под Win XP пока такого сообщения не появлялось. Соответственно, перестают работать службы, запускаемые из-под svchost.

    После перезагрузки появляются несколько процессов svchost.exe, запускающих системные службы (как было в "старых" версиях windows, когда так всё и запускалось). Насколько я помню до заражения подобных процессов видно не было. Скриншот прилагаю.

    Вирус "расползается" по открытым сетевым ресурсам.

    Есть подозрение, что он "привязывается" к логону или сетевым сервисам - ошибка с svchost.exe не появляется при локальном логоне. При сетевом же - как правило на строках "применение личных параметров" (или что-то подобное) с вероятностью 50%

    поиск по реестру никаких "явных" (для меня нарушений не дал. Использовал для просмотра autoruns от SysInternals...
    ===
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    а это что? запаковать и прислать как полагается, то есть в зипе с паролем virus по ссылке вверху этой темы .
    C:\ACCStarter.exe
    C:\DownCont.exe

    Ваш подозрительный пошлите отдельным архивом.

  4. #3
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    5
    Вес репутации
    61
    Цитата Сообщение от drongo Посмотреть сообщение
    а это что? запаковать и прислать как полагается, то есть в зипе с паролем virus по ссылке вверху этой темы .
    C:\ACCStarter.exe
    C:\DownCont.exe
    Ваш подозрительный пошлите отдельным архивом.
    Это моё самописное. тут всё в порядке
    первый запускает СКАДу, второй её "аккуратно", но принудительно убивает. Подозрительного ща отправлю, но подозреваю, его на лету "подлечат" - придется по сети качать с сервера, а на моём компе уже живет зараза....

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от =av= Посмотреть сообщение
    На моем компе заражен Winword.exe
    Цитата Сообщение от =av= Посмотреть сообщение
    Вирус "расползается" по открытым сетевым ресурсам.
    У вас Winword.exe по сети путешествует?

  6. #5
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    5
    Вес репутации
    61
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    У вас Winword.exe по сети путешествует?
    Ага, пешком! Его не давали скопировать - потому точно и "опознал"
    Заражение происходит при открытии офисных документов (doc, xls, mdb)
    _НО_ на компе, с которого логи этим софтом не пользуются - там живет СКАДА, которая пользует Outlook. При этом там открыта шара на диск "С" почти всем... Принудительным сканом и ковырянием в реестре нашел там 4 троянца (2 из них НОД пропустил, но опознал касперский при ручной закачке на сайт)

    Все... остальное завтра - ушел домой... Если будет надо самого Ворда могу прислать, но это 6 Мб архива...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от =av= Посмотреть сообщение
    После открытия файла в MS Word (2000/2003) появляется сообщение "невозможно зарегистрировать данный документ. Будет невозможно установить связь между этим документом и другими документами."
    Никакого собщения нет все работает нормально.

    Цитата Сообщение от =av= Посмотреть сообщение
    После перезагрузки появляются несколько процессов svchost.exe, запускающих системные службы (как было в "старых" версиях windows, когда так всё и запускалось). Насколько я помню до заражения подобных процессов видно не было.
    Были, были.

  8. #7
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    5
    Вес репутации
    61
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Никакого собщения нет все работает нормально.
    Перенес на чистую тестовую машину - тоже все работает. Сдается мне, там ворд не самый главный - кто-то еще висит в памяти и тихонько "чистит хвосты" Завтра буду искать способ слить файл с сервера через чистый комп... благо сервер под Samba-ой...

    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Были, были.
    Это сработала память на картинки - помню только 2 строки с svchost. Тем более, что terminal services отключены точно, особенно под вин2000про (svchost -k DComLaunch не должно быть...)

    Поискал MD5 на winword.exe (12061896). "правильный" - 7a0fa3a0282b4630f3768a74441d4bae, у меня же Фар дает ea16120140244e11f33808682d0ff880... похоже придется ваять утильку под ДОС для подсчета md5 и сравнивать весь диск для поиска зловреда :/

  9. #8
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    5
    Вес репутации
    61
    полдня шаманств ничего не дали...
    Переставил зараженный винчестер на чистую машину, сравнил офисы - 20 различающихся только по содержимому файлов. Не удивлюсь, если это так установка 2-го сервис-пака прошла - без изменения размера и дат создания файлов. System32 сравнить не вышло - разный набор апдейтов оказался Сравнить "несовпадающий" Word с моего компа пока не вышло - нет чистой машины с XP. Дальнейшие эксперименты с компом под Вин2000, с которого и были логи...

    Из симптомов - падение svchost.exe через десяток-другой минут работы:
    - ошибка по адресу 0xe0683a68 обратилась по адресу 0xe0683a68 память не может быть "read"
    - ошибка по адресу 0x770fa147 обратилась по адресу 0xa4c2cdf4 память не может быть "read"
    - ошибка по адресу 0xe0713a68 обратилась по адресу 0xe0713a68 память не может быть "read"

    первые 2 адреса повторяются после перезагрузки, остальные могут отличаться

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) =av=, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. неуловимый smss.exe
      От Kacnep в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.12.2009, 14:44
    2. Неуловимый вирус
      От Acidorum в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 17.06.2009, 13:50
    3. Неуловимый вирус
      От Dark Revenant в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:30
    4. Неуловимый троян
      От fransua в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:03
    5. Неуловимый пакостник с pop-up'ами
      От ZhuckOFF в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 13.09.2006, 17:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00914 seconds with 20 queries