Всем привет!
На компьютере было установленно ОС Windows XP SP 2
и KIS 7.0.1.325 c.d.e с актуальными базами.
Подозрительная активность была замечена сразу после посещения следующих ссылок
через браузер FireFox 3.0.1 с включенным дополнением NoScript 1.7.7:
По второй сверху ссылке был скачен файл McAfee Stinger v3.9.9 и был запущен под правами Администратора. Во время сканирования этой скаченой утилитой, KIS выдал сообщение об изменени исполняемого файла IE 7, чуть позже изменился исполняемый файл FireFox 3.0.1 и Mozilla Thunderbird 2.0.0.16.http://download.nai.com/products/mca...structions.txt
http://download.nai.com/products/mca...rt/stng399.exe
http://vil.nai.com/vil/stinger/polipstinger.asp
http://softobzor.ru/load/2577.html
http://www.izcity.com/lib/04102004/m...nger-2-4-0.htm
http://download.chip.eu/ru/McAfee-AV....1_103340.html
http://www.softportal.com/software-2...t-stinger.html
http://soft.softodrom.ru/ap/p45.shtml
http://www.google.ru/search?complete...g_ru&aq=-1&oq=
http://www.softpedia.com/get/Antivir...-Stinger.shtml
http://soft.liveinternet.ru/mcafee_a...v2_2_0-632-32/
http://soft.liveinternet.ru/mcafee_a...v2_3_9-1271-2/
http://www.help-antivirus.ru/antivir...tno_mcafee.php
http://vil.nai.com/VIL/stinger/
Была проведена проверка с помощью утилиты AVZ 4.30 с свежими базами. В результате обнаружены новые, которых до этого небыло, перехваты WinAPI функций:
и многих других API-функций. Всех их обьединяет метод APICodeHijack.JmpToАнализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSASocketA (82) перехвачена, метод APICodeHijack.JmpTo[10002AF8]
Функция ws2_32.dll:WSASocketW (83) перехвачена, метод APICodeHijack.JmpTo[10002B13]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetConnectA (230) перехвачена, метод
APICodeHijack.JmpTo[10002AC2]
Функция wininet.dll:InternetConnectW (231) перехвачена, метод
APICodeHijack.JmpTo[10002ADD]
А также AVZ показал:
Файл: C:\Program Files\Internet Explorer\iexplore.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ
Файл: C:\Program Files\Mozilla Firefox\firefox.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ
Также AVZ при проверке процесса Firefox.exe (до перезагрузки компьютера)
писал, что реальный размер файла должен быть другим (и указывал какой). Но к сожалению в тот момент я не занёс его в карантин.
Но после перезагрузки, больше такого сообщения не выдавал.
Антируткит avast! Antirootkit, version 0.9.6 зарегистрировал несколько скрытых
веток реестра:
Подозрительные файлы, такие как изменившиеся исполняемые файлы браузеров, почтовика и Стингера я отправил в антивирусные лаборатории. Жду от них ответа.Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\Y%Q NIQBN ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\Y%Q NIQBN \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\Y%Q NIQBN \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\g% NC@LLM"I ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\g% NC@LLM"I \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\g% NC@LLM"I \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%QNIQ BN ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%QNIQ BN \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%QNIQ BN \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%NC@L LM"I ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%NC@L LM"I \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%NC@L LM"I \Out] DMPortGUID=(binary value) **HIDDEN**
Если предположение что изменение браузеров и почтовиков связано с обновлениями их дополнений.Это действительно имело место. Но волнуют имеено новые перехваты API-функций, которых раньше небыло. И если предположить что это Стингер установил User-Mode перехватчик, то почему его действие отражается даже после перезагрузки? Тогда как найти виновника этих перехватов и нейтрализовать? Пробовал в AVZ ставить галку, чтобы нейтрализовывать User-Mode руткиты: Он написал что всё успешно, но при повторном сканировании показал всё тоже самое. (в AVZ включен AVZPM до перезагрузки)
P.S. Также было проведено полное сканирование KIS-ом и CureIT со свежими базами, на максимальных настройках сканирования. Без результата.