Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Подскажите, как локализовать червачка.

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    89

    Подскажите, как локализовать червачка.

    Может быть, немного не в тему, но больше вроде как и некуда ...

    Поймали у меня в сетке червя Net-Worm.Win32.Kido.ih (http://www.viruslist.com/ru/viruses/...rusid=21782790).

    И ломится эта тварь на многие компы в сети (которые из-за экономии трафика давно не обновлялись). На них стоит Avira Antivir, так что заразить их не получается. Однако нервирует, когда через каждые 10-15 минут выскакивает сообщение об обнаружении вируса.

    Вопрос такой: как не исследуя каждый комп в сети, определить с какого именно идут попытки распространения червя? Отключение сегментов не предлагать - инфицированных компов может быть несколько.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    18.04.2009
    Адрес
    Моздок
    Сообщений
    1
    Вес репутации
    55
    В общем не идея, а реальное разрешение проблемы при наличии "инструментов" в локальной сети: сервер Windows 2003 + NOD32 2,79. При атаке NOD блокирует машину и выкидывает окошко с IP адресом зараженной машины, названием вируса и предложение блокировать угрозу.

    Примечание: все машины в сетке шлюзуются через сервер.

  4. #3
    Junior Member Репутация
    Регистрация
    31.03.2009
    Адрес
    Регион 42
    Сообщений
    113
    Вес репутации
    55
    Всё будет хорошо :)

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    89
    Цитата Сообщение от bmw-mtv Посмотреть сообщение
    С детектором не понятно. Там только скрипты для питона. А экзешники под винду где взять?

  6. #5
    Junior Member Репутация
    Регистрация
    31.03.2009
    Адрес
    Регион 42
    Сообщений
    113
    Вес репутации
    55
    Цитата Сообщение от GrAnd Посмотреть сообщение
    С детектором не понятно. Там только скрипты для питона. А экзешники под винду где взять?
    в комментариях на хабре
    ещё один способ, только нужна последняя версия nmap:

    nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [targetnetworks]
    Всё будет хорошо :)

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    89
    Скачал nmap. На своем компе под WinXP Pro SP2 запустить не удалось - вылетал с ошибкой. Пришлось устанавливать в терминальном режиме на сервере Win2K SP4. Собственно говоря, результаты проверки не были оригинальными - под подозрение на инфицирование попали в основном компы, которые в последние дни исчезли из списка обозревателя сети. Но для дополнительного контроля ее все же можно использовать.

    Вопросы в другом:

    1. Проверка nmap показывает инфицирование какого-нибудь компа. Кроме того, наблюдаются конкретные косвенные симптомы: этот комп исчез из обозревателя сети, сам сети не видит, при перезагрузке и входе администратором выдает сообщение об аварийном останове службы, запускаемой через svchost. К антивирусным сайтам доступ блокирован. Но AVZ ничего криминального на машине не показывает. Нет никаких подозрительных процессов, служб, драйверов, BHO и пр. В реестре служба netsvcs и другие знаковые ключи отсутствуют. В папке system32 подозрительных dll размером около 190 Кб не замечено. В корне дисков авторанов нет. Это он так маскируется, что его AVZ не видит? Или я невнимательно или не туда смотрел? И можно ли с помощью AVZ его обнаружить и удалить?

    2. Этого червя я обнаружил в том числе и на своем компе (вернее, был обнаружен и удален в процессе работы KKiller). Хотя критические обновления у меня скачиваются регулярно. И Avira обнаруживала и блокировала попытки записи на диск инфицированной dll в системную папку и в локальный кэш. Так каким же образом он все же внедрился? Ладно уж Avira не сработала. Могу поверить даже в это. Но неужто даже критические оновления не помогают?
    Последний раз редактировалось GrAnd; 01.05.2009 в 17:47.

  8. #7
    Junior Member Репутация
    Регистрация
    31.03.2009
    Адрес
    Регион 42
    Сообщений
    113
    Вес репутации
    55
    Я предлагаю всё таки воспользоваться KKiller-ом, т.к. он специально создавался для удаления kido.
    Всё будет хорошо :)

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    89
    Цитата Сообщение от bmw-mtv Посмотреть сообщение
    Я предлагаю всё таки воспользоваться KKiller-ом, т.к. он специально создавался для удаления kido.
    Так KKiller, как я писал выше, находит и изничтожает зловреда. Но интересно, как его можно обнаружить и прибить подручными неспециализированными средствами.

    Дело в том, что AVZ я пользуюсь уже около 3-х лет. Первый раз он мне помог в обнаружении и удалении Look2Me. И с тех пор помогал исправно. Большинство троянов обнаруживались и удалялись за 5-10 минут. Ну еще немного времени, чтобы почистить следы. Если какого-нибудь зловреда я и не мог долго обнаружить с его помощью, то исключительно из-за собственной невнимательности.

    Вот поэтому и интересуюсь - где в AVZ его искать. Видит ли его AVZ или нет. Или это я опять туплю и не вижу очевидного?

  10. #9
    Junior Member Репутация
    Регистрация
    31.03.2009
    Адрес
    Регион 42
    Сообщений
    113
    Вес репутации
    55
    Предлагаю сделать так:
    1. Ищем комп с признаками заражения.
    2. Запускаем AVZ,
    3. Включаем AVZPM,
    4. Перезагружаем комп
    5. Делаем стандартный скрипт №3 в AVZ.
    6. Перезагружаем комп
    7. Запускаем KKiller kk.exe -f -r -y -l report.txt -v
    8. Смотрим файл report.txt и сравниваем с логами AVZ.

    Результатов может быть несколько:
    - Вы что то пропустили в логах AVZ
    - AVZ ничего не показал в логах
    Всё будет хорошо :)

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    89
    Цитата Сообщение от bmw-mtv Посмотреть сообщение
    Предлагаю сделать так:
    1. Ищем комп с признаками заражения.
    2. Запускаем AVZ,
    3. Включаем AVZPM,
    4. Перезагружаем комп
    5. Делаем стандартный скрипт №3 в AVZ.
    6. Перезагружаем комп
    7. Запускаем KKiller kk.exe -f -r -y -l report.txt -v
    8. Смотрим файл report.txt и сравниваем с логами AVZ.

    Результатов может быть несколько:
    - Вы что то пропустили в логах AVZ
    - AVZ ничего не показал в логах
    В четверг вечером, когда я уже сдался и решил все же использовать KKiller, я вылечил 2 сервера и 2 компа. Так что, на понедельник, наверное, еще несколько десятков для экспериментов осталось )). Так с ними и буду поступать.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    3. Включаем AVZPM
    Интересно что даст AVZPM?

  13. #12
    Junior Member Репутация
    Регистрация
    31.03.2009
    Адрес
    Регион 42
    Сообщений
    113
    Вес репутации
    55
    2 десятка это много :-)
    Несколько компов можно оставить для экспериментов, а на остальных запустить чистку.

    Проще наверное будет сделать так:
    • Качаем пачти, закрывающие уязвимости MS08-067, MS08-068, MS09-001 если ещё не скачали.
      Закинуть их в одну папку, создать там файл install.bat с таким текстом
      Код:
      @echo off
      echo Installing updates Windows
      echo =====================
      echo Installing WindowsXP-KB958644-x86-RUS.exe...
      WindowsXP-KB958644-x86-RUS.exe -q -norestart
      echo ...OK
      echo Installing WindowsXP-KB957097-x86-RUS.exe...
      WindowsXP-KB957097-x86-RUS.exe -q -norestart
      echo ...OK
      echo Installing WindowsXP-KB958687-x86-RUS.exe...
      WindowsXP-KB958687-x86-RUS.exe -q -norestart
      echo ...OK
      echo Updates installed successfully
      echo =====================
      pause
      exit
    • кидаем в эту же папку kk.exe, пишем такой kk.bat:
      Код:
      @echo off
      echo disable autorun 
      KK.exe -a
      echo kill Kido
      kk.exe -f -r -y -l report.txt -v
      echo done
      pause
      exit
    • Кидаем эту папку на флешку и идём к зараженным компам.
    • Копируем папку на все компы, запускаем install.bat, ждём, перезагружаем комп, запускаем kk.bat, ждём, перезагружаем комп.

    В общем как-то так

    Добавлено через 2 минуты

    Цитата Сообщение от Гриша Посмотреть сообщение
    Интересно что даст AVZPM?
    ну хуже наверное не будет
    Последний раз редактировалось bmw-mtv; 01.05.2009 в 22:25. Причина: Добавлено
    Всё будет хорошо :)

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    89
    Цитата Сообщение от bmw-mtv Посмотреть сообщение
    • Кидаем эту папку на флешку и идём к зараженным компам.
    • Копируем папку на все компы, запускаем install.bat, ждём, перезагружаем комп, запускаем kk.bat, ждём, перезагружаем комп.
    В общем как-то так
    Ну собственно говоря, я так примерно и сделал. Подготовил вакцинированную от авторанов флешку для лечения рабочих станций. Только сервера лечил через терминальный режим (да там и другие версии заплаток нужны). 2 третьестепенных вылечились нормально. А вот на PDA (на котором тоже обновления регулярно скачиваются) почему-то тормознул серьезно при проверке svchost. Ждать не стал - пошел домой. В понедельник разберусь.

    А AVZPM ничего не дает. Даже не в состоянии разрезольвить перехват функций Авирой. Пишет, что перехватчик не определен. И больше ничего интересного.

    Кстати ... Еще один булыжник в AVZ. В процессе поисков на одном компе обнаружился еще один троян к данному червю отношения не имеющий. Так обнаружился он сканером DrWeb при анализе списка запущенных процессах. А AVZ нигде этот инфицированный файл/процесс тоже не отобразил.

  15. #14
    Junior Member Репутация
    Регистрация
    31.03.2009
    Адрес
    Регион 42
    Сообщений
    113
    Вес репутации
    55
    У меня тут появилась ещё одна идейка.
    Хелперам довольно часто помогает полиморфный AVZ, можно им попробовать логи сделать.
    Всё будет хорошо :)

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    2GrAnd
    Обращай внимание на "Прямое чтение" в логах AVZ. Там часто виден Кидо.
    Кстати, лог AVZ c неопознанным трояном приложи к теме. Интересно будет проанализировать. Если сюда не хочется, то можно в "Приватный раздел"
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от GrAnd Посмотреть сообщение
    В реестре служба netsvcs и другие знаковые ключи отсутствуют. В папке system32 подозрительных dll размером около 190 Кб не замечено. В корне дисков авторанов нет.
    В реестре не она проявляется.
    Там присутствуют HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\<латинские буквы> у которого разрешения стоят только для системы
    Соответственно, AVZ (работая с правами Администратора) не может прочитать содержимое такой ветки

    Т.е. можно просто просмотреть разрешения всех записей, которые в regedit не отмечены значком раскрытия поддерева.

    В system32 dll-ка имеет то же имя, что и сервис (т.е. набор случайных латинских букв)
    В корне диска их обычно нет, а вот на флешках создаются.
    The worst foe lies within the self...

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    89
    Цитата Сообщение от Kuzz Посмотреть сообщение
    В реестре не она проявляется.
    Там присутствуют HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\<латинские буквы> у которого разрешения стоят только для системы
    Соответственно, AVZ (работая с правами Администратора) не может прочитать содержимое такой ветки

    Т.е. можно просто просмотреть разрешения всех записей, которые в regedit не отмечены значком раскрытия поддерева.

    В system32 dll-ка имеет то же имя, что и сервис (т.е. набор случайных латинских букв)
    В корне диска их обычно нет, а вот на флешках создаются.
    Меня гнусно обманули. В http://www.viruslist.com/ru/viruses/...rusid=21782790 сказано, что создается именно ключ [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]. Его-то я и искал.

    На флешках создается файл RECYCLER\S-5-3-42-...\jwgkvsq.vmx. Имя, кажется, везде одно и то же было. Владельцем файла и папок назначался текущий пользователь. Права на них были такие, что даже админом нельзя было их удалить, если не назначить его на все владельцем. Впрочем, я не очень злобно экспериментировал - не до того было в ходе лечения.

    2 PavelA: Логи приложу. Их есть у меня. И в безопасном и в обычном режимах. И всякие отчеты AVZ и KKiller`а. Но все завтра, когда закончу мотаться с флехой между компами. Доверить столь деликатное дело групповой политике не решаюсь. Приходится третий день напрягать ноги.

    2 bmw-mtv: Мне кажется достаточно такого батничка для KKiller`а:
    Код:
    @echo off
    echo kill Kido
    KKiller.exe -a -y -l report.txt -v
    echo done
    pause
    exit
    Кстати, обнаруживать в сети зараженные компы можно при помощи того же AVZ на компе-ловушке. На нем не нужно устанавливать мелкомягкие заплатки, но нужно иметь антивирь, блокирующий запуск зараженных файлов.
    Включаем AVZ, и в списке открытых портов через некоторое время видим, кто атакует его по TCP#139.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    89
    Как обещал, выкладываю логи с одной машинки. Машинка эта не в нашей сети. Кроме того, есть у меня смутное убеждение. что ее хозяин и занес нам эту дрянь.

    Зараза гнездилась в jdtgfyt.dll. Тем не менее, этот файл фигурирует только в связи с необходимостью прямого чтения. Больше нигде и ничего.

    Остальные подозрения на драйверы и авторан - ложные. Драйверы от Daemon Tools, а авторан на моей флешке с антивирями - часть ее собственной вакцины.
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    31.03.2009
    Адрес
    Регион 42
    Сообщений
    113
    Вес репутации
    55
    ещё в логе есть необычные неопределённые перехватчики
    Код:
    \driver\disk[IRP_MJ_CREATE] = 8239B788 -> перехватчик не определен
    \driver\disk[IRP_MJ_CLOSE] = 8239B788 -> перехватчик не определен
    \driver\disk[IRP_MJ_READ] = 8239B788 -> перехватчик не определен
    \driver\disk[IRP_MJ_WRITE] = 8239B788 -> перехватчик не определен
    \driver\disk[IRP_MJ_PNP] = 8239B788 -> перехватчик не определен
    их скорее всего jdtgfyt.dll устанавливает
    Всё будет хорошо :)

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    89
    Цитата Сообщение от bmw-mtv Посмотреть сообщение
    ещё в логе есть необычные неопределённые перехватчики ...
    ... их скорее всего jdtgfyt.dll устанавливает
    Это вряд ли. В логах с других зараженных компов нашей сетки таких перехватов нет. Это раз.
    Во вторых, после лечения от Kido эти перехваты не исчезли.

    Ну и главное ... Даже если бы это было так, то из данных записей все равно нет возможности однозначно определить, кто именно перехватывает. Перехватчик просто "не определен".

    Кстати, на одной машинке нашел заразный файл в списке подгружаемых модулей запущенных процессов. Обрадовался. А зря. Больше я его на других машинках там не видел.

    А зараженных компов оказалось не очень много. Где-то около дюжины. В основном те, на которых антивири не были установлены, либо не обновлялись регулярно.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Подскажите
    От rafik в разделе Антивирусы
    Ответов: 4
    Последнее сообщение: 27.10.2010, 12:16
  2. Подскажите
    От Goliaf в разделе Антивирусы
    Ответов: 3
    Последнее сообщение: 11.09.2010, 12:42
  3. Подскажите, как локализовать червачка.
    От GrAnd в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 28.04.2009, 18:29
  4. Подскажите
    От GREET в разделе Антивирусы
    Ответов: 4
    Последнее сообщение: 22.03.2008, 14:44
  5. Подскажите
    От Lawesss в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 08.12.2007, 02:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01326 seconds with 20 queries