Дружно всем офисом поймали вируса. Поскольку админы не торопятся - за месяц расползся почти повсеместно. Перед попадание на этот форум отправил подозрительный файл в eset. Пока тишина, да может он и "чистый" (см. далее)
На моем компе заражен Winword.exe (офис 2003 сп2), причем ни AVZ, ни антивирусы его не видят. Попытка скопировать в карантин при помощи AVZ ничего не дает - висит без сообщений о результате. В том числе и в Safe Mode. Скопировал при помощи NTFS DOS загрузившись Hiren's BootCD. "fc /b текущий хитро_скопированный" дает diff на 9Мб текста (размер исходных файлов 12061896). Отправка в zip на virustotal дала единичное срабатывание как "Generic.Malware" в PrevX. После его установки (на другом компе, не тот, с которого логи) ничего не изменилось.
вот что я отправил в eset (тогда еще не знал о зараженности winword):
===
Основной признак - "кривая" работа эксплорера - не работает drag-n-drop, Ctrl-C/Ctrl-V, портится интерфейс программ, использующих explorer.exe (в частности окно "установка и удаление программ" и ещё какие-то с подобными доп. элементами интерфейса), отказ сохранения файлов в офисе, закрытия программ, общая "тормознутость" системы и т.п. Зависания и "падения" офисных программ и AutoCAD. нестабильная работа и невозможность открыть какие-либо сайты из Internet Explorer (6.0)
заражение и мои дальнейшие наблюдения:
После открытия файла в MS Word (2000/2003) появляется сообщение "невозможно зарегистрировать данный документ. Будет невозможно установить связь между этим документом и другими документами."
Далее при старте офисных программ не регистрируются надстройки и ActiveX компоненты (в частности "Календарь" в MS Access). и появляется то же сообщение.
"Портится" Windows Installer - не запускается служба при старте установки программ. После ручного запуска setup начинает работу, но работает, как правило, некорректно либо вообще завершается с ошибкой "неправильный скрипт" или "скрипт не найден"
После некоторого времени работы появляется Access Violation в "svchost.exe" на компьютерах под управлением Win2000. У меня под Win XP пока такого сообщения не появлялось. Соответственно, перестают работать службы, запускаемые из-под svchost.
После перезагрузки появляются несколько процессов svchost.exe, запускающих системные службы (как было в "старых" версиях windows, когда так всё и запускалось). Насколько я помню до заражения подобных процессов видно не было. Скриншот прилагаю.
Вирус "расползается" по открытым сетевым ресурсам.
Есть подозрение, что он "привязывается" к логону или сетевым сервисам - ошибка с svchost.exe не появляется при локальном логоне. При сетевом же - как правило на строках "применение личных параметров" (или что-то подобное) с вероятностью 50%
поиск по реестру никаких "явных" (для меня нарушений не дал. Использовал для просмотра autoruns от SysInternals...
===
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
а это что? запаковать и прислать как полагается, то есть в зипе с паролем virus по ссылке вверху этой темы .
C:\ACCStarter.exe
C:\DownCont.exe
Ваш подозрительный пошлите отдельным архивом.
Это моё самописное. тут всё в порядке
первый запускает СКАДу, второй её "аккуратно", но принудительно убивает. Подозрительного ща отправлю, но подозреваю, его на лету "подлечат" - придется по сети качать с сервера, а на моём компе уже живет зараза....
Ага, пешком! Его не давали скопировать - потому точно и "опознал"
Заражение происходит при открытии офисных документов (doc, xls, mdb)
_НО_ на компе, с которого логи этим софтом не пользуются - там живет СКАДА, которая пользует Outlook. При этом там открыта шара на диск "С" почти всем... Принудительным сканом и ковырянием в реестре нашел там 4 троянца (2 из них НОД пропустил, но опознал касперский при ручной закачке на сайт)
Все... остальное завтра - ушел домой... Если будет надо самого Ворда могу прислать, но это 6 Мб архива...
После открытия файла в MS Word (2000/2003) появляется сообщение "невозможно зарегистрировать данный документ. Будет невозможно установить связь между этим документом и другими документами."
Никакого собщения нет все работает нормально.
Сообщение от =av=
После перезагрузки появляются несколько процессов svchost.exe, запускающих системные службы (как было в "старых" версиях windows, когда так всё и запускалось). Насколько я помню до заражения подобных процессов видно не было.
Перенес на чистую тестовую машину - тоже все работает. Сдается мне, там ворд не самый главный - кто-то еще висит в памяти и тихонько "чистит хвосты" Завтра буду искать способ слить файл с сервера через чистый комп... благо сервер под Samba-ой...
Сообщение от AndreyKa
Были, были.
Это сработала память на картинки - помню только 2 строки с svchost. Тем более, что terminal services отключены точно, особенно под вин2000про (svchost -k DComLaunch не должно быть...)
Поискал MD5 на winword.exe (12061896). "правильный" - 7a0fa3a0282b4630f3768a74441d4bae, у меня же Фар дает ea16120140244e11f33808682d0ff880... похоже придется ваять утильку под ДОС для подсчета md5 и сравнивать весь диск для поиска зловреда :/
полдня шаманств ничего не дали...
Переставил зараженный винчестер на чистую машину, сравнил офисы - 20 различающихся только по содержимому файлов. Не удивлюсь, если это так установка 2-го сервис-пака прошла - без изменения размера и дат создания файлов. System32 сравнить не вышло - разный набор апдейтов оказался Сравнить "несовпадающий" Word с моего компа пока не вышло - нет чистой машины с XP. Дальнейшие эксперименты с компом под Вин2000, с которого и были логи...
Из симптомов - падение svchost.exe через десяток-другой минут работы:
- ошибка по адресу 0xe0683a68 обратилась по адресу 0xe0683a68 память не может быть "read"
- ошибка по адресу 0x770fa147 обратилась по адресу 0xa4c2cdf4 память не может быть "read"
- ошибка по адресу 0xe0713a68 обратилась по адресу 0xe0713a68 память не может быть "read"
первые 2 адреса повторяются после перезагрузки, остальные могут отличаться
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: