Symantec и AVZ не могут удалить руткит на Server 2003.
Всем доброго дня.
Имеется PDC, довольно критичный к перезагрузкам. Недавно Sysmantec AntiVirus начал ругаться на наличие Trojan.Horse в файле в папке System32. Он этот файл помещает в карантин и просит перезагрузиться для окончательного лечения. Ну вот как-то вечером я остался для перезагрузки, а оно не помогло. Я еще раз на скан-фикс - все равно не помогло. Тогда натравил AVZ - нашел троян и не только в том файле. Но сделать тоже ничего не смог. Промучался я несколько часов, и так как пришло время запуска критичных сервисов, решил это дело отложить, потому как вреда нету от трояна. Инет там и раньше был только через прокси с авторизацией, а сейчас и это дело отключили "до выяснения". Кстати неудачно был удален дистрибутив сетевых драйверов от HP, в котором AVZ нашел троян. Но если уж очень надо будет, попытаюсь их достать из бэкапа. Но пока думаю достаточно имеющихся логов AVZ - там тоже интересное имеется.
Буду очень благодарен тому, кто сможет подсказать действия для лечения нашего PDC.
Последний раз редактировалось Yauhen; 18.05.2009 в 17:00.
Причина: server 2003 rootkit trojan
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Symantec находит только троян. А вот руткит он не нашел, но зато его нашел AVZ анализируя LSP. Вернее он насторожился, а я решил поковыряться.
1. Searching for Rootkits and programs intercepting API functions
>>>> Suspicion for process file masking: C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
Driver communication failure [00000002] - [1]
1.4 Searching for masking processes and drivers
Masking process with PID=240, name = ""
>> PID substitution detected (current PID=0, real = 240)
Masking process with PID=836, name = ""
>> PID substitution detected (current PID=0, real = 836)
Masking process with PID=856, name = ""
>> PID substitution detected (current PID=0, real = 856)
Masking process with PID=868, name = ""
>> PID substitution detected (current PID=0, real = 868 )
Masking process with PID=956, name = ""
>> PID substitution detected (current PID=0, real = 956)
Searching for masking processes and drivers - complete
Driver loaded successfully
Driver communication failure [00000002] - [1]
2. Scanning memory
Number of processes found: 11
Analyzer: process under analysis is 224 C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
[ES]:Application has no visible windows
[ES]: Located in system folder
Number of modules loaded: 141
Scanning memory - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP NameSpace error: "Tcpip" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\System32\mswsock.dl l
LSP NameSpace error: "NTDS" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\System32\winrnr.dll
LSP NameSpace error: "Network Location Awareness (NLA) Namespace" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\System32\mswsock.dl l
LSP Protocol error = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{1CC11067-C916-4CD8-8371-0B8BDCF05B2A}] SEQPACKET 0" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\system32\mswsock.dl l
LSP Protocol error = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{1CC11067-C916-4CD8-8371-0B8BDCF05B2A}] DATAGRAM 0" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\system32\mswsock.dl l
LSP Protocol error = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{7745F232-14F5-46CE-84DA-8A17BB84C883}] SEQPACKET 1" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\system32\mswsock.dl l
LSP Protocol error = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{7745F232-14F5-46CE-84DA-8A17BB84C883}] DATAGRAM 1" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\system32\mswsock.dl l
LSP Protocol error = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{F609E79B-33A1-4991-A935-A8C31BFE2261}] SEQPACKET 2" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\system32\mswsock.dl l
LSP Protocol error = "MSAFD NetBIOS [\Device\NetBT_Tcpip_{F609E79B-33A1-4991-A935-A8C31BFE2261}] DATAGRAM 2" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\system32\mswsock.dl l
Attention ! SPI/LSP errors detected. Number of errors - 9
Попытался "вылечить" с включенными расширенным режимом и режимом AVZGuard. После этого я перезагрузил сервер, а сеть не работает. Подключение есть, но ничего не отправляется. В безопасном режиме все работает нормально. Пришлось сбрасывать весь winsock с фиксом оного, только тогда заработало. В повреждении винсока грешу на сетевой драйвер HP. Это сейчас вот, обдумывая логи. Хотя маскировка пидов все-же настараживает. Кстати делал из терминальной сессии, потому тут файл smss.exe фигурирует, хотя как знать...
Если AVZ пишет подозрение на троян, то это не означает, что это троян.
Это не подозрение, как я понимаю.
C:\psp8\cp008265.exe/{ZIP-SFX}/hpwbemproviders.msi/{MS-OLE}/\21 >>>>> Trojan.Kyjak
Всю эту папку я сразу стер, вместо того, чтобы AVZ-шкой его "подлечить", потому ни в карантине, ни в инфекциях ничего нету для исследования.
Файл с подозрительными объектами в указанную тему не могу отправить, потому что там ограничение на размер вложения в 1МБ, а у меня файл 20МБ.
LSP NameSpace error: "Tcpip" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\System32\mswsock.dl l
LSP NameSpace error: "NTDS" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\System32\winrnr.dll
LSP NameSpace error: "Network Location Awareness (NLA) Namespace" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\System32\mswsock.dl l
это нормально для серверов.........
так же как и маскировка.
Давайте без самодеятельности?
LSP NameSpace error: "Tcpip" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\System32\mswsock.dl l
LSP NameSpace error: "NTDS" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\System32\winrnr.dll
LSP NameSpace error: "Network Location Awareness (NLA) Namespace" --> file is missing C:\Documents and Settings\Administrator\WINDOWS\System32\mswsock.dl l
это нормально для серверов.........
Насколько я понимаю, это нормально только для терминальной сессии. Но это ладно, это мелочи. Про повреждения винсока я уже писал, что пока его не сбросил сеть в нормальном режиме не работала.
так же как и маскировка.
На 3, практически идентичных серверах, разное количество маскировок это нормально?
Вот еще пример, по-моему нездоровый moderated
Давайте без самодеятельности?
Это к чему?
Ах-да, вот еще в одном из логов нашел:
1.2 Searching for kernel-mode API hooks
Error loading driver - checking interrupted [C0000034]
>>>> Suspicion for Rootkit utiwnza4 C:\WINDOWS\system32\Drivers\utiwnza4.sys
Это файл, на который Symantec ругается наличием трояна.
Последний раз редактировалось Rene-gad; 18.05.2009 в 20:00.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: