Заражена сеть. превратилась в ботнет. никто не знает как лечить. [Backdoor.Win32.Tiny.dc
]
Добрый день
есть сеть, порядка 100 серверов. Операционные системы от windows XP до Windows 12 всех редакций.
Установлено антивирусное ПО Symantec Endpoint.
В один прекрасный момент заметил что заражена вся сеть. Симптомов внешне нет. Заметил когда на одном сервере рухнула служба брандмауера, полез в службы и увидел там хаос.
После анализа всего понял следующее вирус запускается от имени пользователя или админа (всегда по разному) распространяет себя по локальной сети через DCOM процессы. Создает файл со случайным именем в C:\windows и создает службы со случайными именами, которые ссылаются на этот файл. После выполнения этот файл удаляют. После этого система внешне чистая, кроме списка служб.
После заражения процесс svchost.exe лезет в интернет на сеть 85.93.5.0/24 (80 порт) и шлет туда пакеты по 1 кбайт, так же начинает себя распространять по сети на остальные сервера.
Удаление/переименование файла svchost.exe ничего не дает, система его восстанавливает и он продолжает дальше лезть на внешний ИП.
Пробовал восстанавливать системные файлы с дистрибутива операционки. Эффект тот же самый.
На cisco запретил конекты на эту сеть, но он пытается постоянно отправить туда пакеты.
Симантек отказывается признавать это вирусом и единственная рекомендация это блокировать трафик.
Информация о файле на вирустотал (на который ссылаются службы) https://www.virustotal.com/ru/file/7...fa51/analysis/
Все логи готов предоставить, очень нужна помощь.
p.s. большинство антивирусов его не видит. даже в безопасном режиме.
Последний раз редактировалось norlest; 19.10.2015 в 18:02.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) norlest, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
прикрепил. как я и говорил сканирование ничего не дало, он не видит его
Malwarebytes Anti-Malware www.malwarebytes.org
Дата проверки: 21.10.2015
Время проверки: 14:30
Файл журнала: scan-pdc.txt
Администратор: Да
Версия: 2.2.0.1024
База данных вредоносных программ: v2015.10.21.03
База данных руткитов: v2015.10.16.01
Лицензия: Ознакомительная версия
Защита от вредоносных программ: Включено
Защита от вредоносных веб-сайтов: Включено
Самозащита: Выключено
ОС: Windows Server 2008 R2 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: mike
Тип проверки: Выборочная проверка
Результат: Завершено
Проверено объектов: 777385
Затраченное время: 1 ч, 59 мин, 39 с
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
http://rghost.ru/8p9JQbDRz пароль на скачивание virus
Забавно, а меня касперский проигнорировал. я ему посылал это файл.
То что он включил в базы это конечно замечательно. теперь будет удаляться этот файл. Но как лечить зараженный компьютер пока непонятно.
Я так понимаю подменяются системные DLL раз такие интересные вещи он творит.
я все логи собираю с одного сервера. у всех серверов симптомы одинаковы.
Создавать темы на каждый сервер думаю не стоит. у меня около 100 серверов.
Утилиту запустил. Ничего не нашла. Пускал со всеми параметрами.
Лог прикрепил.
gmer log тоже
Последний раз редактировалось norlest; 22.10.2015 в 15:43.
Упакуйте содержимое папки ZOO (если она не пуста) с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сделайте новый полный образ автозапуска uVS, можно из обычного режима.
WBR,
Vadim
Уважаемый(ая) norlest, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: