Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 62.

Модификация Win32.Sector.5

  1. #1
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    59

    Модификация Win32.Sector.5

    Доброго времени суток.

    Столкнулся с такой проблемкой: в пошареном ресурсе обнаружил такую вот фигню. Установлен корпоративный НОД32 (2.7 версия), определяет все .ехе как Win32/Sality.NAS. Др.Вэб определяет его как Модификация Win32.Sector.5. По всем симптомам похоже на действие обычного Сектора 5, однако утилитка CureIt отказывается его лечить, просто перемещая .ехе в карантин.

    Я не ищу решения "как вылечить", по-етому пишу в этот раздел, интересует вопрос только "Как определить, откуда эта зараза ломится?".

    Заранее благодарен, Skye.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    22.09.2007
    Сообщений
    63
    Вес репутации
    61
    Локальная сеть/диски/дискеты/флешки/сайты/файлообменники

    По воздуху точно не передается.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Если nod у вас корпоративный не проще ли администратора попросит полную проверку ПК в сети сделать?

  5. #4
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Я не ищу решения "как вылечить", по-етому пишу в этот раздел, интересует вопрос только "Как определить, откуда эта зараза ломится?".
    Возможно, я неверно понял Вашу проблему, поэтому прошу меня извинить, опишу ее так, как я ее понял. Если понял неверно - поправьте:
    ...на компьютере(ах) к которому(ым) Вы имеете какое-то отношение (допустим, это Ваш компьютер) появился файловый вирус, поражающий ЕХЕ-файлы. Антивирус нод 2.7 его лечить не может CureIt тоже.
    Лечить Вы его, в принципе, не собираетесь, и подсказывать Вам как его лечить тоже не нужно. Нужно лишь помочь определить откуда этот вирус взялся на компьютере.
    Так?..

    Тогда выскажу свои пару мыслей по этому поводу:
    1).
    Посмотрите имя файла вот в этом месте реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List
    (и тут поищите имя незнакомое (адрес))
    Возможно это как-то упросит дальнейшие поиски.
    2). Посмотрите имена файлов вот в этом разделе:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
    Тоже может помочь...
    3). В IE (и в других браузерах если они установлены и используются) посмотрите "Журнал", последние посещенные url, куки.
    4). Проверьте все вставленные за последнее время в ПК сьемные накопители и др. (диски, флешки, внешние харды, дискеты и т.д)
    5). Подумайте какие дыры в безопасности присутствуют в системе (комп+юзер) и предположите как через них мог проникнуть зловред.

    и т.д...
    надо подумать еще...


    PS: извините за повторения - когда я начинал писать свой пост, других постов выше еще не было.
    Последний раз редактировалось priv8v; 18.08.2008 в 11:01.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Если есть возможность, поделитесь экземпляром, туда - http://virusinfo.info/upload_virus.php?tid=28287

  7. #6
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Если есть возможность, поделитесь экземпляром, туда
    зараженным файлом или "прародителем" ?..

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от priv8v Посмотреть сообщение
    зараженным файлом или "прародителем" ?..
    все что не жалко, а особенно тем, что определяется как "модификация"
    Последний раз редактировалось Shu_b; 18.08.2008 в 13:46.

  9. #8
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    59
    Цитата Сообщение от polimorf Посмотреть сообщение
    Локальная сеть/диски/дискеты/флешки/сайты/файлообменники

    По воздуху точно не передается.
    Эм, да, похоже

    Нужно лишь помочь определить откуда этот вирус взялся на компьютере.


    Да, именно это и требуется.


    zerocorporated, ставлю проверку всех машин по фильтру "ежедневно, после 17.00. Если машина выключена - при первом включении". Проблема имеется на одной машине с пошареным ресурсом. Доступ к ресурсу организован по принципу "Все-Только чтение, Администратор (домена) - полный".

    Shu_b, никаких проблем, сейчас спакую пару файлов.

    З.Ы. Система девственно чиста, поражен только пошареный ресурс. Повторюсь, проблема в том, как понять, с какого компа в ЛС оно лезет.

    Добавлено через 11 минут

    Хм. К сожалению не могу спаковать в "Zip" - формат. Точнее вообще не дает спаковать файлик "отказано в доступе". Другие способы?
    Последний раз редактировалось Skye; 18.08.2008 в 11:49. Причина: Добавлено

  10. #9
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Skye, извините за то, что я стал давать Вам глупые советы ... я не обратил внимание на слово "пошаренные". Т.е я подумал, что заражена система целиком.
    Т.е видимо речь идет про расшаренные ресурсы.

    Повторюсь, проблема в том, как понять, с какого компа в ЛС оно лезет.
    А фаер/сниффер/проверка других компов/полный запрет на запись/закрыть доступ вообще/экспериментально(оставлять включенными только штуки три компа (этот и еще два - и так прошарить всю сеть - с выключенных компов лезть никто т.к не может)
    ???

    Хм. К сожалению не могу спаковать в "Zip" - формат. Точнее вообще не дает спаковать файлик "отказано в доступе". Другие способы?
    просто затереть расширение ЕХЕ и написать там ZIP - у скрипта загрузчика наверняка нету проверки на истинность расширения.
    Должно получиться.
    Последний раз редактировалось priv8v; 18.08.2008 в 11:52. Причина: Аналогично: добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    59
    priv8v, тут есть множество проблем. Если я разверну фаервол на рабочем контроллере домена - мне надо будет н-ное время для его настройки (даже примитивного базового ZoneAlarm), а на это время прекратится раздача адресов, что будет критично для работоспособности предприятия. Предприятие работает по графику 24/7/12/365, то есть компы работают постоянно (минимум 20 штук), провести эксперименты не удается. =( Сейчас поменял права доступа на "Все- чтение, Администратор - чтение". Правда, сложно сказать, даст ли это эффект, ибо когда я ловил Салити.Б (просто Сектор.5), он проявлялся раз в 2-3 дня.

    Добавлено через 6 минут

    Код:
     
    Файл сохранён как 080818_030504_Quarantine_48a92d30aeaa2.zip
    Закачал. Это из Карантина др.Вэба.
    Последний раз редактировалось Skye; 18.08.2008 в 12:06. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Антивирус Касперского детектирует данные файлы как Virus.Win32.Sality.v. Он же сумел их вылечить.

    Добавлено через 13 минут

    Цитата Сообщение от Skye
    проблема в том, как понять, с какого компа в ЛС оно лезет.
    Читайте в справке Windows что такое "Аудит файлов и папок".
    Последний раз редактировалось AndreyKa; 18.08.2008 в 12:54. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    59
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Антивирус Касперского детектирует данные файлы как Virus.Win32.Sality.v. Он же сумел их вылечить.
    http://virusinfo.info/showthread.php?t=17668 тут описание аналогичной проблемы. Как я понял, решить ее не реально. К сожалению, не имею физической возможности поставить КАВ (лицензия, все такое).

    Других советов, наверно, нет...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,014
    Вес репутации
    1147
    По описанию Sality.NAS/Sector.5 если запустился на системе заражает exe-файлы системы и доступные расшаренные диски, возможно и расшаренные ресурсы на других компах. Недавно была аналогичная ситуация. Файлы расшаренных ресурсов на машинах (присоединенные как диски), защищенных Нод32 2.7 были вылечены. Так же тройка Нода и CureIt (несколько недель назад) вылечивали зараженные файлы. Кстати, а общий ресурс защищен антивирусом, или это smb-раздел Линукс-машины для общего пользования?
    ---
    т.е., если на всех машинах установлен Нод и есть сервер RAS, то через консоль RAC можно в логах увидеть, с какой машины был запуск. По идее, на данной машине должен сработать монитор, и возможно он срабатывает, но Sality "успевает" заразить расшаренные, незащищенные ресурсы. Как гипотеза.
    Последний раз редактировалось santy; 18.08.2008 в 13:23.

  15. #14
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    59
    Общий ресурс защищен тем же НОД32 (2.7). Нет, это Win2k Server sp4 со всеми обновлениями. Нод по-прежнему лечить отказывается, как и CureIt.

    Настроил политику аудита на папку. Жду.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,014
    Вес репутации
    1147
    т.е. он прибивает эти файлы и все? или вообще не реагирует на заражение файлов общего ресурса?
    ---
    Skye, можно у вас попросить несколько зараженных файлов из карантина?
    Последний раз редактировалось santy; 18.08.2008 в 13:52.

  17. #16
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    29
    Вес репутации
    59
    Да. Оба запихивают все пораженные "*.ехе" в карантин.

  18. #17
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    10
    Вес репутации
    59
    день добрый !
    в тему:
    обнаружил вирус - детектируется DrWeb как "Модификация Win32.Sector.5 ", но ни Касперский, ни Nod32 ничего не находят....

    проверка файла через VirusTotal показала что из 36 антивирусов опознают эту гадость только 7
    http://www.virustotal.com/ru/analisi...ede868f15b322a


    отправил файл в пятницу в Касперский - пока ноль....

  19. #18
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от santy Посмотреть сообщение
    По описанию Sality.NAS/Sector.5 если запустился на системе заражает exe-файлы системы и доступные расшаренные диски, возможно и расшаренные ресурсы на других компах. Недавно была аналогичная ситуация. Файлы расшаренных ресурсов на машинах (присоединенные как диски), защищенных Нод32 2.7 были вылечены. Так же тройка Нода и CureIt (несколько недель назад) вылечивали зараженные файлы.
    Фишка в том, что это не "Sector.5", а "модификация Sector.5". То есть этот вирус очень похож на "Sector.5", но точно не он. Поэтому модификацию лечить нельзя...
    ---
    С уважением,
    Borka.

  20. #19
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    я не знаю, что у вас за организация, но в гос. организациях все проще - при обнаружении заражения файлов все компы отключать от сети и начинать действовать.
    попробуйте найти откуда все пошло - прогоните авптулом все компы, например....

  21. #20
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от evglap Посмотреть сообщение
    обнаружил вирус - детектируется DrWeb как "Модификация Win32.Sector.5 ", но ни Касперский, ни Nod32 ничего не находят....
    проверка файла через VirusTotal показала что из 36 антивирусов опознают эту гадость только 7
    http://www.virustotal.com/ru/analisi...ede868f15b322a
    К сожалению, эти Секторы мутируют. Причем достаточно активно. Образцы, которые я засылал Доктору, теперь детектятся как Win32.Sector.9, в базах уже есть Win32.Sector.10, говорят, что на подходе Win32.Sector.11...

    Добавлено через 3 минуты

    Цитата Сообщение от priv8v Посмотреть сообщение
    при обнаружении заражения файлов все компы отключать от сети и начинать действовать.
    +1. С Сектором и ему подобными - только так. Иначе бороться бесполезно, он восстанавливается, как Феникс...
    Последний раз редактировалось borka; 18.08.2008 в 14:16. Причина: Добавлено
    ---
    С уважением,
    Borka.

Страница 1 из 4 1234 Последняя

Похожие темы

  1. Win32.Sector.16, Win32.Sector.17 (Win32.Sality)
    От Second_Fry в разделе Помогите!
    Ответов: 20
    Последнее сообщение: 07.09.2009, 20:02
  2. Tupe win32 (модификация) или непонятный червь
    От Isabela в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 08.04.2009, 22:05
  3. Ответов: 1
    Последнее сообщение: 02.03.2009, 14:25
  4. Win32.sector.12(sector.5)
    От Medievil в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 06.12.2008, 03:52
  5. Вирус Win32.Sector.xxx либо Win32.Sality.
    От Akela в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 04.09.2008, 17:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00644 seconds with 19 queries