Unknown Rootkit ?

[Квота]

Всем привет!
На компьютере было установленно ОС Windows XP SP 2
и KIS 7.0.1.325 c.d.e с актуальными базами.

Подозрительная активность была замечена сразу после посещения следующих ссылок
через браузер FireFox 3.0.1 с включенным дополнением NoScript 1.7.7:

http://download.nai.com/products/mca...structions.txt
http://download.nai.com/products/mca...rt/stng399.exe
http://vil.nai.com/vil/stinger/polipstinger.asp
http://softobzor.ru/load/2577.html
http://www.izcity.com/lib/04102004/m...nger-2-4-0.htm
http://download.chip.eu/ru/McAfee-AV....1_103340.html
http://www.softportal.com/software-2...t-stinger.html
http://soft.softodrom.ru/ap/p45.shtml
http://www.google.ru/search?complete...g_ru&aq=-1&oq=
http://www.softpedia.com/get/Antivir...-Stinger.shtml
http://soft.liveinternet.ru/mcafee_a...v2_2_0-632-32/
http://soft.liveinternet.ru/mcafee_a...v2_3_9-1271-2/
http://www.help-antivirus.ru/antivir...tno_mcafee.php
http://vil.nai.com/VIL/stinger/

По второй сверху ссылке был скачен файл McAfee Stinger v3.9.9 и был запущен под правами Администратора. Во время сканирования этой скаченой утилитой, KIS выдал сообщение об изменени исполняемого файла IE 7, чуть позже изменился исполняемый файл FireFox 3.0.1 и Mozilla Thunderbird 2.0.0.16.
Была проведена проверка с помощью утилиты AVZ 4.30 с свежими базами. В результате обнаружены новые, которых до этого небыло, перехваты WinAPI функций:

Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSASocketA (82) перехвачена, метод APICodeHijack.JmpTo[10002AF8]
Функция ws2_32.dll:WSASocketW (83) перехвачена, метод APICodeHijack.JmpTo[10002B13]
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetConnectA (230) перехвачена, метод
APICodeHijack.JmpTo[10002AC2]
Функция wininet.dll:InternetConnectW (231) перехвачена, метод
APICodeHijack.JmpTo[10002ADD]

и многих других API-функций. Всех их обьединяет метод APICodeHijack.JmpTo

А также AVZ показал:
Файл: C:\Program Files\Internet Explorer\iexplore.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ
Файл: C:\Program Files\Mozilla Firefox\firefox.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ

Также AVZ при проверке процесса Firefox.exe (до перезагрузки компьютера)
писал, что реальный размер файла должен быть другим (и указывал какой). Но к сожалению в тот момент я не занёс его в карантин.
Но после перезагрузки, больше такого сообщения не выдавал.

Антируткит avast! Antirootkit, version 0.9.6 зарегистрировал несколько скрытых
веток реестра:

Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\Y%Q 
NIQBN ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\Y%Q 
NIQBN \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\Y%Q 
NIQBN \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\MediaProperties\PrivateProperties\Midi\Ports\g%
NC
@LLM"I \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%Q
NIQ BN ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%Q
NIQ BN \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\Y%Q
NIQ BN \Out] DMPortGUID=(binary value) **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%
NC
@L LM"I ] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%
NC
@L LM"I \Out] **HIDDEN**
Registry item [HKEY_LOCAL_MACHINE\ControlSet002\Control\MediaProp erties\PrivateProperties\Midi\Ports\g%
NC
@L LM"I \Out] DMPortGUID=(binary value) **HIDDEN**

Подозрительные файлы, такие как изменившиеся исполняемые файлы браузеров, почтовика и Стингера я отправил в антивирусные лаборатории. Жду от них ответа.

Если предположение что изменение браузеров и почтовиков связано с обновлениями их дополнений.Это действительно имело место. Но волнуют имеено новые перехваты API-функций, которых раньше небыло. И если предположить что это Стингер установил User-Mode перехватчик, то почему его действие отражается даже после перезагрузки? Тогда как найти виновника этих перехватов и нейтрализовать? Пробовал в AVZ ставить галку, чтобы нейтрализовывать User-Mode руткиты: Он написал что всё успешно, но при повторном сканировании показал всё тоже самое. (в AVZ включен AVZPM до перезагрузки)

P.S. Также было проведено полное сканирование KIS-ом и CureIT со свежими базами, на максимальных настройках сканирования. Без результата.

[V_Bond]

выполните скрипт ...

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\cmfdll32.dll','');
end.

пришлите карантин согласно приложения 3 правил ...

[Квота]

QuarantineFile('C:\WINDOWS\system32\cmfdll32.dll', '');

Да, я забыл сказать про эту библиотеку. Она легальная, это от Comodo Memory Firewall (программная защита от переполнения буфера)/

Вот ещё что произошло... я сейчас ещё раз перезагрузился и KIS выдал подряд несколько раз сообщение что изменился исполняемый файл SVCHOST.exe

[V_Bond]

комодо нужно удалить два файевола - причина всех ваших проблем ...

[Квота]

комодо нужно удалить два файевола - причина всех ваших проблем ...

V_Bond, это не фаервол. Он не следит за сетевыми приложениями и пакетами данных. Он уже давно стоит. Никаких перехватов API-функций не осуществляет. Поэтому конфликтов не вызывает. Он лишь следить за переполнением буфера в приложениях.

Вы возможно его путаете с Comodo firewall , это разные продукты

[V_Bond]

сделайте как положено лог слгласно пункта 8 правил ...

[Квота]

V_Bond, спасибо, уже всё выяснил. Изменение IE7 обьяснилось удалением ненужного ActiveX компонента.
Виновник перехватов был обнаружен. Это действительно перехват вела динамическая библиотека cmfdll32.dll. Зря волновался. Всем спасибо.