Показано с 1 по 6 из 6.

Peace2P.exe (заявка № 5933)

  1. #1
    Junior Member Репутация
    Регистрация
    13.01.2006
    Сообщений
    13
    Вес репутации
    40

    Peace2P.exe

    Взломали аську одного из контактов моего сотрудника. Прислали ссылку ( Trojan.MulDrop.3990), естественно, он не удержался, и нажал (соответствующая работа проведена, больше не будет... ), файлик был благополучно прибит из процессов (однако попытался что-то отослать - http://217.160.73.73/llgs/mail5.php), поиск стандартными методами (autoruns от SysInternal, поиск по знакомым ключикам реестра) ничего не дал. Решил доверить дело профессионалам...
    Последний раз редактировалось AVE; 16.09.2007 в 15:03.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от AVE
    поиск стандартными методами (autoruns от SysInternal, поиск по знакомым ключикам реестра) ничего не дал. Решил доверить дело профессионалам...
    включите противодействие руткитам, поищите из AVZ и пришлите файлики:
    SMAgent.exe
    c:\winnt\system32\msnw32.dll

  4. #3
    Junior Member Репутация
    Регистрация
    13.01.2006
    Сообщений
    13
    Вес репутации
    40
    Цитата Сообщение от MOCT
    включите противодействие руткитам, поищите из AVZ и пришлите файлики:
    SMAgent.exe
    c:\winnt\system32\msnw32.dll
    Противодействие руткитам включил, посканировал, с логином администратора AVZ ничего не нашел, с логином сотрудника (установлены права пользователя) режим противодействия руткитам не срабатывает, что вполне логично. Следуя действиям из "Приложения 2" правил, ввел названия именно так, как предложено Вами (SMAgent без путей, msnw32.dll с полным путем), AVZ ничего в карантин не положил. Однако поиск по диску файла SMAgent увенчался успехом, это "SoundMAX service agent component", прислал его руками, предварительно заархивировав (т.к. AVZ не смог), однако остались подозрения, что их может быть несколько, чуть позже, когда сотрудник закончит работу, выдерну винт и поищу эти файлы поиском по винту с другого компьютера (думаю, что тут уж руткит не справится ).
    Снял галку с msnw32.dll в ShellObjectDelayLoad с помощью AVZ, после перезагрузки галка не появилась, чуть позднее прогоню все тесты еще раз и перевыложу логи, если это необходимо.
    Вот результат загрузки файла:
    Код:
    Файл сохранён как SMAgent_44c85b4933fb6.zip
    Размер файла 13765
    MD5 d7f1144c3ef5cea1f4d4267e19dff0dd
    P.S. Спасибо за оперативный ответ.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от AVE
    попытался что-то отослать - http://217.160.73.73/llgs/mail5.php
    Скорее всего это были пароли. Так что этому пользователю следует поменять все пароли (ICQ, почта и т.д.)

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от AVE
    однако остались подозрения, что их может быть несколько, чуть позже, когда сотрудник закончит работу, выдерну винт и поищу эти файлы поиском по винту с другого компьютера (думаю, что тут уж руткит не справится ).
    да, все правильно. я тоже думаю, что их может быть парочка.

    а проявления похожи на спамерский бот.

  7. #6
    Junior Member Репутация
    Регистрация
    13.01.2006
    Сообщений
    13
    Вес репутации
    40
    Выдернул винт, поглядел, вроде все нормально. SMAgent оказался безопасной вещью в 1 экземпляре - это компонент драйвера для встроенной звуковухи, можете заносить в безопасные. msnw32.dll так и не нашлась, но дальнейших появлений в логах не заметил. На каталог /miranda/ и его внутренности можно не обращать внимания, это клиент ICQ. Могу выслать файлы для отметки как безопасные по вашему требованию. Если все нормально, то топик можно и закрывать, большое спасибо за оперативность.
    P.S. Да, конечно же, все пароли были заменены еще на стадии первичной проверки.
    Последний раз редактировалось AVE; 16.09.2007 в 15:03.

  • Уважаемый(ая) AVE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00091 seconds with 19 queries