Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Подозрение на стелс-руткит (заявка № 54800)

  1. #1
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27

    Thumbs up Подозрение на стелс-руткит

    Система не тормозит, не проявляет подозрительной сетевой активности, антивирусы/антитрояны и прочие подобные средства не находят ничего подозрительного, кроме утилит, которыми я пользуюсь сам и которые не являются вирусами как таковыми, но я вижу подозрительный драйвер в памяти, без имени и без привязки к файлу на диске. Данный драйвер загружается и в безопасном режиме. При попытке сделать дамп памяти по адресу этого драйвера gmer-ом система (XP.sp3 легальная корпоративная) уходит в BSOD (PAGE_FAULT_IN_NONPAGED_AREA, STOP: 0x00000050), однако мне удалось сделать его дамп с помощью RootkitUnhooker-а, но полученный дамп на первый взгляд не выглядит подозрительным.
    Кроме того, некоторые системные функции (NtCreateKey, NtCreateThread, NtDeleteKey, NtDeleteValueKey, NtLoadKey, NtOpenProcess, NtOpenThread, NtReplaceKey, NtRestoreKey, NtSetValueKey, NtTerminateProcess) перехвачены кем-то неопределенным, но указатели ведут не в тот драйвер, о котором я писал выше, а куда-то еще. В безопасном режиме эти хуки не установлены.

    Вопрос в том, как выловить откуда грузится описанный выше драйвер и куда ведут хуки?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    Странно, но файл virusinfo_syscheck.zip не прицепился, хотя я на 100% уверен, что добавлял его. Вот он.
    Вложения Вложения

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    1) загрузите по правилам отправки карантина файл virusinfo_cure.zip из папки с протоколами AVZ,
    2) прикрепите протокол GMER.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  5. #4
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    В логе gmer-а есть ссылки на устройства "\Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3" и "\Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e ", так вот, по крайней мере они создаются сдампленным мною драйвером, по всей видимости, т.к. в его теле я вижу шаблон этих имен. Но драйвер вы пока не просили, поэтому не высылаю. virusinfo_cure.zip выслал по ссылке из шапки.
    Вложения Вложения
    • Тип файла: log gmer.log (18.3 Кб, 12 просмотров)

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    И дамп тоже давайте, посмотрим на него.

    Вообще, такой драйвер иногда попадается на различных компьютерах. Возможно, его появление связано с работой какого-либо ПО из числа установленных в системе.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  7. #6
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    Дамп выслал по ссылке из шапки. Возможно, что драйвер и вполне легальный, но методы его внедрения мне не нравятся. Да и перехваченные еще кем-то функции тоже.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Ответа по вашему дампу все еще нет.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  9. #8
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    Сегодня ко мне обратилась старая знакомая, работающая совсем в другом месте, говорит, что комп тормозит и глючит, подозревает вирусы, но разные антивирусы ничего не находят. Постоянно стоял NOD32, потом его снесли, поставили авиру, потом Symantec endpoint protection, но он конфликтовал с авирой, с ее слов, его тоже снесли. Я попросил ее установить свежий avz и запустить в безопасном режиме стандартные скрипты 2 и 3, потом прислать результаты мне. У меня тоже богатый опыт борьбы с неизвестными вирусами/троянами/червями. В итоге у нее обнаружился тот же самый не опознаваемый драйвер. Ничего общего в софте, кроме, пожалуй, офисных программ (MSO, WinRar, 1С и т.д.) да антивирусов (avira, avz) между компами нет. Логи с ее компа прилагаю (virusinfo_cure.zip пуст). Дамп драйвера с ее компа зашлю по ссылке из шапки. Дампы различаются, разумеется, из-за разной позиции в памяти, но основные сигнатуры общие. Сегодня она будет проверять домашний комп по всем правилам из этого раздела. Я пожалуй тоже проверю свои.
    Вложения Вложения

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,576
    Вес репутации
    2916
    Логи переделать. Нужны логи из нормального, а не безопасного режима
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    thyrex, смысла переделывать пока нет. Логи я привел только для того, чтобы показать, что данный драйвер запускается не только у меня, причем запускается и в безопасном режиме тоже.

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,576
    Вес репутации
    2916
    Так и не понял, о каком драйвере идет речь
    Неужели этот?
    .sys
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    Да, о нем.

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,576
    Вес репутации
    2916
    Такое бывает в некоторых логах. Причина неизвестна. Но вряд ли связана с заражением
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    Когда у вас в компе сидит неизвестный драйвер, работающий напрямую с дисковой подсистемой, не имеющий имени, непонятно откуда загружающийся, когда и как, загрузку которого не ловит avzpm, когда системные функции, отвечающие за работу с реестром и запуск и завершение процессов и нитей указывают в неизвестную область памяти, как бы не принадлежащую ни одному процессу, включая систему, то да, конечно же это не заражение, ага. Это просто Большой Брат следит за вами, все так и задумано. Понимаю.

    Если серьезно, то это не ответ -- неизвестная причина. Простые зловреды я ловлю сам уже десяток с лишним лет. Часто попадаются вирусы, не определяемые даже самыми свежими антивирусами с самыми свежими базами и они обычно не представляют никакой сложности, ибо прошли те времена, когда вирусы внедрялись в тело исполняемых файлов, современные зловреды обычно очень легко и просто выцепить и обезвредить подручными средствами. Это первый случай, когда я обратился за помощью и конечно я рассчитывал на то, что ответы будут более квалифицированными.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Цитата Сообщение от ooptimum Посмотреть сообщение
    Когда у вас в компе сидит неизвестный драйвер, работающий напрямую с дисковой подсистемой, не имеющий имени, непонятно откуда загружающийся
    Откройте лог AVZ и взгляните на первые две строчки в модулях пространства ядра.
    Наша служба, будто сердце, отдыха не знает никогда.

  17. #16
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    Aleksandra, а что, собственно, вызывает вашу улыбку? Про то, что драйвера dump_WMILIB.sys и dump_atapi.sys являются частью системы, я знаю. Но первый драйвер в списке, который кстати совершенно некоректно назван в логах avz просто как ".sys" (по всей видимости avz по умолчанию добавляет это расширение всем драйверам), а на деле его имя состоит из пробельных символов, и про который я и говорил, что он вызывает мои подозрения, никакого отношения к ним не имеет. Если вы взглянете на упомянутые вами строки еще раз, то увидите, что хотя первые два драйвера имеют одинаковый размер в памяти (кратный размеру страницы), что встречается не столь уж и редко, но они имеют разные базовые адреса. Так что вы увидели такого, что вызвало вашу улыбку? Может там сказано откуда загружается данный драйвер и я это просто не заметил? Судя по тому, что вы процитировали и ответили, вы знаете откуда он грузится. Так может вы и мне это скажете?

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    В AVZ меню "Сервис/Модули пространства ядра".
    Наша служба, будто сердце, отдыха не знает никогда.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от ooptimum Посмотреть сообщение
    Сегодня ко мне обратилась старая знакомая, работающая совсем в другом месте. Логи с ее компа прилагаю (virusinfo_cure.zip пуст).
    Не валите все в одну кучу. Нам трудно будет разобраться.
    Каждый больной в отдельную палату(тему).
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    Павел, вы читаете невнимательно. Во-первых, я далеко не новичок в работе с компьютерами (опыт работы -- 22 года), сам когда-то занимался низкоуровневым системным программированием, и давно уже работаю системным администратором в достаточно крупных компаниях, с обычными вирусами бороться умею без посторонней помощи. Во-вторых, я не прошу разбираться с тем компом. Я просто показал, что на совершенно другом компьютере, с другим набором ПО, установленным в другой организации, установлен тот же самый драйвер, т.е. это не такая уж и редкость. Вопрос в том, что это такое? На то, чтобы сидеть с ядерным отладчиком и дизассемблером у меня просто нет времени, а не навыков, поэтому я и выслал дампы драйвера профессионалам, как я считаю, в чьих прямых интересах не только рутинная борьба с тривиальными зловредами, но и с такими, которые заставляют наморщить мозг и могут представлять скрытую угрозу для многих компьютеров.

    Добавлено через 29 минут

    Aleksandra, в том-то и дело, что там не сказано ни откуда грузится этот драйвер, ни какое у него имя. Я это пытаюсь объяснить, это видно и в логах, но видимо лучше показать. Смотрите (первый в списке, выделен курсором):
    Последний раз редактировалось ooptimum; 28.09.2009 в 15:46. Причина: Добавлено

  21. #20
    Junior Member Репутация
    Регистрация
    10.09.2009
    Сообщений
    11
    Вес репутации
    27
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Вообще, такой драйвер иногда попадается на различных компьютерах. Возможно, его появление связано с работой какого-либо ПО из числа установленных в системе.
    Вы оказались правы. У меня он загружается драйвером из состава Alcohol 120% (xxxxbus.sys), а у знакомой -- драйвером из состава Daemon Tools (up55bus.sys), похоже, что они пользуются одинаковыми драйверами. Выяснить это удалось при помощи утилиты Kernel Detective и ядерного отладчика. Так что можете занести это в свою базу знаний, если такая есть.

    По поводу хуков ситуация очень странная -- они пропали сами-собой еще до того, как я выяснил кем загружается безымянный драйвер. Причем, ни от антивирусов и других аналогичных программ не поступало никаких сообщений о том, что кто-то обезврежен, ни я не делал ничего такого, что могло привести к такому эффекту. Так что, что это было -- я не знаю. Правда, у меня включено автоматическое обновление системы и возможно это как-то связано с этим -- например, обновился уязвимый компонент системы и зловред потерял доступ к компьютеру.

  • Уважаемый(ая) ooptimum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на руткит
      От klin_ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.05.2011, 10:48
    2. Подозрение на руткит
      От TJDimas в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.04.2010, 06:04
    3. Подозрение на руткит
      От cjkbcn в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.02.2010, 22:19
    4. подозрение на руткит
      От Starky в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.12.2008, 19:37
    5. Сработал стелс контроль
      От alex1139 в разделе Помогите!
      Ответов: 31
      Последнее сообщение: 24.10.2006, 10:05

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00956 seconds with 23 queries