Показано с 1 по 12 из 12.

Нетривиальный вирус (заявка № 16669)

  1. #1
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    5
    Вес репутации
    33

    Thumbs up Нетривиальный вирус

    Поймал бактерию. Каждые 15 минут выскакивает окошко Symantec AV с сообщением С:\WINDOWS\TEMP обнаружен Infostealer.Notos!gen, удалить удалось. Если соединения с Интернет нет, то не выскакивает. Имя файла каждый раз новое. DrWeb, Symantec AV ничего не находят при сканировании. Зацепка одна: в дереве процессов нашел dll - ку basedkrd32.txt без подписи и опознавательных знаков, похоже левую. Связана с процессами SVCHOST.EXE и СSRSS.EXE
    Если сравнить контрольные суммы этих файлов с файлами из дистрибутива - они идентичны. Эти файлы есть только в директории C:\WINDOWS\SYSTEM32. Если удалить dll - ку ОС не стартует ни в каком виде. Не могу понять как стартует вирус. В реестре вроде ничего лишнего нет. У кого есть идеи - поделитесь плиз
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    Повторите логи. Прикрепите также SubSystems.log из папки AVZ.

  4. #3
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    5
    Вес репутации
    33
    Сейчас этой dll в процессах нет. А вот файлы.
    Спасибо, добрый человек.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Больше ничего подозрительного не видно.

    Замечания следующие:
    1.
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    С такой системой вернетесь к нам еще не раз! Необходимо установить SP2 + последующие обновления. (Потребуется повторная активация, старый кряк не сработает).

    2. Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    5
    Вес репутации
    33
    Ок, спасибо. Понимаю, что пора обновиться. Корректно ли будет нактить корпоративную версию ХР поверх существующей при условии совпадения языка?

  7. #6
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Нет.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Mak Посмотреть сообщение
    Корректно ли будет нактить корпоративную версию ХР поверх существующей при условии совпадения языка?
    Работать будет 100%.
    Maxim, очевидно, имел ввиду лицензионную корректность .
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    5
    Вес репутации
    33
    Где можно подробнее почитать про эту уязвимость или атаку? SP2 точно ее закроет? Пару дней назад на каком-то сайте снова ловил похожую dll.

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Конкретно от этой угрозы защитит только работа с пользовательскими правами.

  11. #10
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    5
    Вес репутации
    33
    Информативно. А можно подробнее, что нужно сделать, чтобы не получать больше эту радость?

    Добавлено через 4 часа 3 минуты

    А, понятно, сразу не осознал, извините. Значит в систему нужно входить по юзером, или запускать эксплорер с ограниченными правами. Ну а если работать под Оперой, скажем под административными правами. При условии, что сам компьютер находится за апаратным файерволом. Это будет безопасно ?
    Последний раз редактировалось Mak; 22.01.2008 в 14:55. Причина: Добавлено

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Нет, лучше всех кого только можно пускать под пользователем.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Первое правило безопасности - работать с минимально необходимыми правами.

  • Уважаемый(ая) Mak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00660 seconds with 21 queries