# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Модификация Win32.Sector.5

## Skye

Доброго времени суток.

Столкнулся с такой проблемкой: в пошареном ресурсе обнаружил такую вот фигню. Установлен корпоративный НОД32 (2.7 версия), определяет все .ехе как Win32/Sality.NAS. Др.Вэб определяет его как Модификация Win32.Sector.5. По всем симптомам похоже на действие обычного Сектора 5, однако утилитка CureIt отказывается его лечить, просто перемещая .ехе в карантин. 

Я не ищу решения "как вылечить", по-етому пишу в этот раздел, интересует вопрос только "Как определить, откуда эта зараза ломится?". 

Заранее благодарен, Skye.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## polimorf

Локальная сеть/диски/дискеты/флешки/сайты/файлообменники  :Smiley: 

По воздуху точно не передается.

----------


## zerocorporated

Если nod у вас корпоративный не проще ли администратора попросит полную проверку ПК в сети сделать?

----------


## priv8v

> Я не ищу решения "как вылечить", по-етому пишу в этот раздел, интересует вопрос только "Как определить, откуда эта зараза ломится?".


Возможно, я неверно понял Вашу проблему, поэтому прошу меня извинить, опишу ее так, как я ее понял. Если понял неверно - поправьте: 
...на компьютере(ах) к которому(ым) Вы имеете какое-то отношение (допустим, это Ваш компьютер) появился файловый вирус, поражающий ЕХЕ-файлы. Антивирус нод 2.7 его лечить не может CureIt тоже.
Лечить Вы его, в принципе, не собираетесь, и подсказывать Вам как его лечить тоже не нужно. *Нужно лишь помочь определить откуда этот вирус взялся на компьютере.* 
Так?..

Тогда выскажу свои пару мыслей по этому поводу:
*1*).
Посмотрите имя файла вот в этом месте реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\SharedAccess\Parameters\FirewallPolicy\Standard  Profile\AuthorizedApplications\List
(и тут поищите имя незнакомое (адрес))
Возможно это как-то упросит дальнейшие поиски.
*2*). Посмотрите имена файлов вот в этом разделе:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell  NoRoam\MUICache
Тоже может помочь...
*3*). В IE (и в других браузерах если они установлены и используются) посмотрите "Журнал", последние посещенные url, куки.
*4*). Проверьте все вставленные за последнее время в ПК сьемные накопители и др. (диски, флешки, внешние харды, дискеты и т.д)
*5*). Подумайте какие дыры в безопасности присутствуют в системе (комп+юзер) и предположите как через них мог проникнуть зловред.

и т.д...
надо подумать еще...
 :Smiley: 

PS: извините за повторения - когда я начинал писать свой пост, других постов выше еще не было.

----------


## Shu_b

Если есть возможность, поделитесь экземпляром, туда - http://virusinfo.info/upload_virus.php?tid=28287

----------


## priv8v

> Если есть возможность, поделитесь экземпляром, туда


зараженным файлом или "прародителем" ?..

----------


## Shu_b

> зараженным файлом или "прародителем" ?..


все что не жалко, а особенно тем, что определяется как "модификация"

----------


## Skye

> Локальная сеть/диски/дискеты/флешки/сайты/файлообменники 
> 
> По воздуху точно не передается.


Эм, да, похоже  :Wink: 

*



Нужно лишь помочь определить откуда этот вирус взялся на компьютере.


*

Да, именно это и требуется.


*zerocorporated,* ставлю проверку всех машин по фильтру "ежедневно, после 17.00. Если машина выключена - при первом включении". Проблема имеется на *одной машине* с пошареным ресурсом. Доступ к ресурсу организован по принципу "Все-Только чтение, Администратор (домена) - полный".

*Shu_b*, никаких проблем, сейчас спакую пару файлов. 

З.Ы. Система девственно чиста, поражен только пошареный ресурс. Повторюсь, проблема в том, как понять, с какого компа в ЛС оно лезет.  :Roll Eyes (Sarcastic): 

*Добавлено через 11 минут*

Хм. К сожалению не могу спаковать в "Zip" - формат. Точнее вообще не дает спаковать файлик "отказано в доступе". Другие способы?

----------


## priv8v

Skye, извините за то, что я стал давать Вам глупые советы ... я не обратил внимание на слово "пошаренные". Т.е я подумал, что заражена система целиком.
Т.е видимо речь идет про расшаренные ресурсы. 




> Повторюсь, проблема в том, как понять, с какого компа в ЛС оно лезет.


А фаер*/*сниффер*/*проверка других компов*/*полный запрет на запись*/*закрыть доступ вообще*/*экспериментально(оставлять включенными только штуки три компа (*этот* и еще два - и так прошарить всю сеть - с выключенных компов лезть никто т.к не может)
???




> Хм. К сожалению не могу спаковать в "Zip" - формат. Точнее вообще не дает спаковать файлик "отказано в доступе". Другие способы?


просто затереть расширение ЕХЕ и написать там ZIP - у скрипта загрузчика наверняка нету проверки на истинность расширения. 
Должно получиться.

----------


## Skye

priv8v, тут есть множество проблем. Если я разверну фаервол на рабочем контроллере  домена - мне надо будет н-ное время для его настройки (даже примитивного базового ZoneAlarm), а на это время прекратится раздача адресов, что будет критично для работоспособности предприятия. Предприятие работает по графику 24/7/12/365, то есть компы работают постоянно (минимум 20 штук), провести эксперименты не удается. =( Сейчас поменял права доступа на "Все- чтение, Администратор - чтение". Правда, сложно сказать, даст ли это эффект, ибо когда я ловил Салити.Б (просто Сектор.5), он проявлялся раз в 2-3 дня.

*Добавлено через 6 минут*



```
 
Файл сохранён как 080818_030504_Quarantine_48a92d30aeaa2.zip
```

Закачал. Это из Карантина др.Вэба.

----------


## AndreyKa

Антивирус Касперского детектирует данные файлы как *Virus.Win32.Sality.v*. Он же сумел их вылечить.

*Добавлено через 13 минут*




> проблема в том, как понять, с какого компа в ЛС оно лезет.


Читайте в справке Windows что такое "Аудит файлов и папок".

----------


## Skye

> Антивирус Касперского детектирует данные файлы как *Virus.Win32.Sality.v*. Он же сумел их вылечить.


http://virusinfo.info/showthread.php?t=17668 тут описание аналогичной проблемы. Как я понял, решить ее не реально.  :Huh:   К сожалению, не имею физической возможности поставить КАВ (лицензия, все такое). 

Других советов, наверно, нет...

----------


## santy

По описанию Sality.NAS/Sector.5 если запустился на системе заражает exe-файлы системы и доступные расшаренные диски, возможно и расшаренные ресурсы на других компах. Недавно была аналогичная ситуация. Файлы расшаренных ресурсов на машинах (присоединенные как диски), защищенных Нод32 2.7 были вылечены. Так же тройка Нода и CureIt (несколько недель назад) вылечивали зараженные файлы. Кстати, а общий ресурс защищен антивирусом, или это smb-раздел Линукс-машины для общего пользования?
---
т.е., если на всех машинах установлен Нод и есть сервер RAS, то через консоль RAC можно в логах увидеть, с какой машины был запуск. По идее, на данной машине должен сработать монитор, и возможно он срабатывает, но Sality "успевает" заразить расшаренные, незащищенные ресурсы. Как гипотеза.

----------


## Skye

Общий ресурс защищен тем же НОД32 (2.7). Нет, это Win2k Server sp4 со всеми обновлениями. Нод по-прежнему лечить отказывается, как и CureIt. 

Настроил политику аудита на папку. Жду.

----------


## santy

т.е. он прибивает  эти файлы и все? или вообще не реагирует на заражение файлов общего ресурса?
---
Skye, можно у вас попросить несколько зараженных файлов из карантина?

----------


## Skye

Да. Оба запихивают все пораженные "*.ехе" в карантин.

----------


## evglap

день добрый !
в тему:
обнаружил вирус - детектируется DrWeb как "Модификация Win32.Sector.5 ", но ни Касперский, ни Nod32 ничего не находят....

проверка файла через VirusTotal показала что из 36 антивирусов опознают эту гадость только 7  :Sad: 
http://www.virustotal.com/ru/analisi...ede868f15b322a


отправил файл в пятницу в Касперский - пока ноль....

----------


## borka

> По описанию Sality.NAS/Sector.5 если запустился на системе заражает exe-файлы системы и доступные расшаренные диски, возможно и расшаренные ресурсы на других компах. Недавно была аналогичная ситуация. Файлы расшаренных ресурсов на машинах (присоединенные как диски), защищенных Нод32 2.7 были вылечены. Так же тройка Нода и CureIt (несколько недель назад) вылечивали зараженные файлы.


Фишка в том, что это не "Sector.5", а "модификация Sector.5". То есть этот вирус очень похож на "Sector.5", но точно не он. Поэтому модификацию лечить нельзя...

----------


## priv8v

я не знаю, что у вас за организация, но в гос. организациях все проще - при обнаружении заражения файлов все компы отключать от сети и начинать действовать.
попробуйте найти откуда все пошло - прогоните авптулом все компы, например....

----------


## borka

> обнаружил вирус - детектируется DrWeb как "Модификация Win32.Sector.5 ", но ни Касперский, ни Nod32 ничего не находят....
> проверка файла через VirusTotal показала что из 36 антивирусов опознают эту гадость только 7 
> http://www.virustotal.com/ru/analisi...ede868f15b322a


К сожалению, эти Секторы мутируют.  :Sad:  Причем достаточно активно. Образцы, которые я засылал Доктору, теперь детектятся как Win32.Sector.9, в базах уже есть Win32.Sector.10, говорят, что на подходе Win32.Sector.11...  :Sad: 

*Добавлено через 3 минуты*




> при обнаружении заражения файлов все компы отключать от сети и начинать действовать.


+1. С Сектором и ему подобными - только так. Иначе бороться бесполезно, он восстанавливается, как Феникс...

----------


## Shu_b

> прогоните авптулом все компы, например....


Опять же, предварительно проверив, лечит ли корректно авпстул его... 
иначе ждать пока или нод или доктор добавят в базы алгоритмы лечения.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Skye

Уважаемые, если так можно выразиться, коллеги. Я заметил в консоли НОДа очень интересный факт. Перед каждым появлением в системах Sality (будь то АВ, AD, NAS), у меня появлялся в логах Win32/KillAV.NE. При таком раскладе возможны 2 структурных действия: либо он качает Салити, либо его генерит. Изменений по трафику я не вижу, следовательно сошлюсь на то, что он его генерирует...

----------


## priv8v

> Опять же, предварительно проверив, лечит ли корректно авпстул его


извините за то, что я не расшифровал слово "прогоните". 
Под этим словом я имел в виду "просканируйте компьютеры и найдите где сидит зловред", т.е я не советовал АВПТулом лечить компы - т.к ТС просил не говорить как ему лечить - просил только помочь обнаружить с какого компа лезет зараза - т.е я посоветовал с помощью АВПТула просто найти на каком компе есть еще такая зараза - т.о выяснить откуда зараза попадает на расшаренные ресурсы.
а как лечить заразу автор знает и сам. и это хорошо описано на ресурсе др.веба и на других форумах. 
да и самому несложно догадаться как лечить если знать, что он делает.

----------


## santy

> ...Нод по-прежнему лечить отказывается, как и CureIt.


Имеет смысл отправить зараженные файлы в Eset. Возможно, лечение со временем будет выпущено через обновление баз.

----------


## kps

> Уважаемые, если так можно выразиться, коллеги. Я заметил в консоли НОДа очень интересный факт. Перед каждым появлением в системах Sality (будь то АВ, AD, NAS), у меня появлялся в логах Win32/KillAV.NE. При таком раскладе возможны 2 структурных действия: либо он качает Салити, либо его генерит. Изменений по трафику я не вижу, следовательно сошлюсь на то, что он его генерирует...


По одному случаю из раздела "Помогите!" могу сказать, что тогда судя по всему Салити (Сектор) подгружал в память троян, который боролся с антивирусами, причем троян был в памяти, но на диске его не было. М.б. часть Салити, созданная для его защиты.

----------


## Skye

> извините за то, что я не расшифровал слово "прогоните". 
> Под этим словом я имел в виду "просканируйте компьютеры и найдите где сидит зловред", т.е я не советовал АВПТулом лечить компы - т.к ТС просил не говорить как ему лечить - просил только помочь обнаружить с какого компа лезет зараза - т.е я посоветовал с помощью АВПТула просто найти на каком компе есть еще такая зараза - т.о выяснить откуда зараза попадает на расшаренные ресурсы.
> а как лечить заразу автор знает и сам. и это хорошо описано на ресурсе др.веба и на других форумах. 
> да и самому несложно догадаться как лечить если знать, что он делает.


Я правильно трактовал Ваши слова, будем надеяться, что другие пользователи так же дочитают до этой страницы прежде, чем начнут борьбу не с того конца.  :Wink: 

Все равно за совет - спасибо, он обязательно кому нибудь поможет  :Wink: .

Может быть (раз уж я стал центром эксперимента), я могу еще чем нибудь помочь, или попробовать различными методами погонять данную модификацию?

----------


## borka

> По одному случаю из раздела "Помогите!" могу сказать, что тогда судя по всему Салити (Сектор) подгружал в память троян, который боролся с антивирусами, причем троян был в памяти, но на диске его не было. М.б. часть Салити, созданная для его защиты.


Салити ака Сектор содержит код, противодействующий антивирусам - вынос баз, убийство процессов и т. д.  :Sad:

----------


## kps

> Салити ака Сектор содержит код, противодействующий антивирусам - вынос баз, убийство процессов и т. д.


Угу, я так и подумал, что это его драйвер - это часто единственная зацепка, по которой по логам AVZ можно определить наличие этого файлового вируса в системе.

----------


## priv8v

> Может быть (раз уж я стал центром эксперимента), я могу еще чем нибудь помочь, или попробовать различными методами погонять данную модификацию?


Попробуйте Антивирус Калинина. С его эвристикой и кроссплатформенностью он должен помочь. Про то, что его автор несет людям истину - тоже не следует забывать. Поэтому все вышеперечисленные факторы должны оказать благотворное влияние на решение Вашей проблемы.


(это шутка, у меня аж слезы на глазах, не надо воспринимать этот совет всерьез - я просто шучу :Cheesy:  :Smiley: )

PS: если одна модификация данного вируса по функционалу не сильно отличается от другой, то можете на других компах поискать в реестре куда он себя в исключения системного фаера добавил - как я понял система какая-то заражена и заражает при этом файлы на расшаренном ресурсе на другом компе и решение проблемы сводится лишь к нахождению данной системы, которая заражает файлы на расшаренном ресурсе...

----------


## AndreyKa

> Система девственно чиста, поражен только пошареный ресурс.





> Я заметил в консоли НОДа очень интересный факт. Перед каждым появлением в системах Sality (будь то АВ, AD, NAS), у меня появлялся в логах Win32/KillAV.NE.


Простите, уважаемый, но вы сами себе противоречите.

----------


## Skye

> Простите, уважаемый, но вы сами себе противоречите.


Эм. Не так выразился.  :Smiley:  Система действительно чистая, проблема только в пошареной папке. Смотрю другие машины - пошареных ресурсов нет, но есть Win32/KillAV.NE и вместе с ним модифицированный Сектор.5 (на одной машине), или чистый Сектор.5 (вторая машина), или Сектор.4 на третьей (Салити NAS, AD, AB соотвественно). Похоже, опасения оправдались (что к трояну КиллАВ идет в комплекте Сектор.*, который генерится на машине непосредственно или загружается с инета, и пытается поразить открытые ресурсы в сети). При таких раскладах я б предложил его переквалифицировать в "Червя", но кто ж мне даст (с).  :Stick Out Tongue:

----------


## AndreyKa

> Похоже, опасения оправдались (что к трояну КиллАВ идет в комплекте Сектор.*, который генерится на машине непосредственно или загружается с инета, и пытается поразить открытые ресурсы в сети).


Нет, наоборот, при запуске зараженного фирусом Sality EXE или .SCR файла создаётся троянская библиотека KillAV (она уже находится в теле вируса и не откуда не скачивается).

----------


## kps

> Нет, наоборот, при запуске зараженного фирусом Sality EXE или .SCR файла создаётся троянская библиотека KillAV (она уже находится в теле вируса и не откуда не скачивается).


Точнее троянский драйвер. В логах AVZ виден в Модулях пространства ядра.

----------


## Skye

Тогда получается, что троянская библиотека КиллАВ пытается поразить пошареные ресурсы? Или я чего то недопонимаю?..

----------


## Shu_b

Присланные экземпляры стали детектироваться и лечиться доктором как Win32.Sector.4

----------


## evglap

> Присланные экземпляры стали детектироваться и лечиться доктором как Win32.Sector.4


прочитал - скачал последний CureIt - ан нет .... все по прежнему... :Sad: 

Shu_b, подскажите куда можно отправить зараженный "модификацией Win32.sector.5" - мой файл к сожалению так и определяется и  не лечится  :Sad:

----------


## pig

http://support.drweb.com/sendnew/

----------


## evglap

> http://support.drweb.com/sendnew/


 

 :Cheesy:   уже !  ждем-с...

и в Каспер, и в Нод, и в ДрВеб отправил   :Roll Eyes (Sarcastic):

----------


## Shu_b

> уже !  ждем-с...
> 
> и в Каспер, и в Нод, и в ДрВеб отправил


если можете, поделитесь номером запроса.

----------


## Groft

И, если можно, ссылочку на вирустотал с детектом этого вируса  :Smiley:

----------


## evglap

> И, если можно, ссылочку на вирустотал с детектом этого вируса


 
VirisTotal:

http://www.virustotal.com/ru/analisi...ede868f15b322a

*Добавлено через 7 минут*




> если можете, поделитесь номером запроса.


 
Ответа с номером запроса пока нет- появится, обязательно выложу

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## priv8v

> VirisTotal:
> www.virustotal.com/ru/analisi...ede868f15b322a


Касперский молчит :Shocked: 
 :Sad:

----------


## evglap

> Касперский молчит


 
молчит !  :Sad: 


что меня честно говоря несколько удивило... 

даже при максимальных настройках эвристики KIS 2009 ничего пока не находит    :Cool:

----------


## ALEX(XX)

> Касперский молчит


Как-то один раз он крикнул... Я чуть седым не стал...  :Cheesy:

----------


## santy

Eset Russia ответили сегодня на повторную отправку.
"Присланный Вами файл отправлен в лабораторию ESET для добавления в антивирусные базы."
Это на файл, который детектируется (и лечится) как Sector.4 Cureit от 19августа.

----------


## Maximus_1982

Я у себя лечил такую заразу  :Smiley:  гадина еще та - зашел к шефу сказал надо вырубить сеть - 2-3 суток максимум (почти 200 машин)  :Smiley:  он дал добро  :Smiley:  тока и бегал что от машины к машине (лечение только с диска)  штук 20 нарезал  :Smiley:  тока спать домой ходил а куда деваться  :Smiley:  поставил симантек центр и клиенты.. плюс на все расшареное доступ по логину-паролю - так центр симантека говорил с какой именно машины зараза в расшареную папку шла.. вот так вот.. при этом обнаружил бессилие и касперского и дрвеба (но куреит лечил исправно) они не показывают откуда берется зараза.. нет ничего совершенного только МОЗГ  :Smiley:  и ставьте файрволы хотя бы тем кто в инет лазит  :Smiley:

----------


## Skye

Ну вот, вроде победил. Во всяком случае на Threat Log Nod'а больше ничего не попадает. Лечение производил на тех машинах, на которых был когда - либо зафиксирован КиллАВ.НЕ и Салити.всех_модификаций. Доступ на все сетевые ресурсы пришлось ограничить по доменной политике (Админ-Всё, Юзер - чтение), что немного мешает, но ето мелочи. 

Ув. Тов. Maximus_1982, мозг тоже не совершенен)

----------


## victor_16_87

Здравствуйте, я сдесь впервые! Естественно сайт посетил из за вируса! "Virus.Win32.Sality.z"- Штука страшная, что она вытворяет ужас! был в организации, ставил антивирус Панду! Он нащел все вирусы, вылечил, будто бы и спросил перезагрузку! Все комп не включается больше! Потом в нете почитал про него, в общем он заражает все exeшники и загрузчик Винды, распостраняется очень быстро, лечить трудно! Антивирус может превратить в разносчика, если его ставить на зараженную машину!

----------


## AndreyKa

> Все комп не включается больше!


Антивирус удалил блок питания?  :Wink: 
Читайте как правильно лечить файловые вирусы:
http://virusinfo.info/showpost.php?p=166807&postcount=1

----------


## santy

Кстати, проверил, что НОД должен нормально лечить Sector.5/Sality.NAO. crc-32,md5,sha1 у пролеченного файла совпадает с файлом, пролеченным CureIt. На *Sector.4/Sality.NAS?* нет реакции.

----------


## evglap

сегодня получил ответ (virus [KLAB-6079581]) от "Лаборатории Касперского" на файл определяемый Drweb как "модификация win32.sector.5", цитирую:

--------------------------------------------------
Здравствуйте.
В присланном Вами файле не найдено ничего вредоносного.
---------
С уважением, Андрей Ладиков
Вирусный аналитик
ЗАО "Лаборатория Касперского" 
--------------------------------------------------

вот так !  :Smiley: 


жду, что ответит DrWeb   :Cheesy:

----------


## Shu_b

> жду, что ответит DrWeb


Номером тикета от vms доктора поделитесь... pls.

----------


## evglap

> Номером тикета от vms доктора поделитесь... pls.


рад бы - да только нету его у меня......  :Sad: 

отправлял через http://support.drweb.com/sendnew/

пока ответа нет....

----------


## Shu_b

> рад бы - да только нету его у меня...... 
> 
> отправлял через http://support.drweb.com/sendnew/
> 
> пока ответа нет....


Значит не доехал, и ответа не дождётесь.
Если есть возможность, поделитесь экземпляром, туда - http://virusinfo.info/upload_virus.php?tid=28287

----------


## evglap

> Значит не доехал, и ответа не дождётесь.
> Если есть возможность, поделитесь экземпляром, туда - http://virusinfo.info/upload_virus.php?tid=28287


отправил:   :Smiley: 

Файл сохранён как *080901_031814_mod_sector5_48bba54620784.zip*
Размер файла *924750*
MD5 *5e88b901cd711ff9e191e9213236d501*


пароль: *virus*

----------


## Groft

Вируснуй аналитик ВирусБлокАды мне тоже ответил, что вредоносный код отсутствует  :Smiley:

----------


## evglap

> Вируснуй аналитик ВирусБлокАды мне тоже ответил, что вредоносный код отсутствует


 
 :Smiley:   может действительно ложное срабатывание ?

----------


## Groft

> может действительно ложное срабатывание ?


 а может файл битый, а тут уж все зависит от политики вендора  :Smiley:

----------


## Shu_b

> отправил:





> Ваш запрос был проанализирован. Это был разрушенный файл.


вот такой ответ...

----------


## evglap

тогда все более-менее проясняется......

shu_b - спасибо !

----------


## santy

Да, уж... Sector можно победить только с помощью ВирЛаб-ов антивирусных компаний.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## santy

как победить Sality/Sector

http://aborche.livejournal.com/1300.html

----------

