PDA

Просмотр полной версии : Backdoor.Win32.HacDef.b



MadRat
11.01.2006, 15:12
Доброго времени суток.
На прокси-сервере win2k стоит кав4.0.5.13 (это не МОЙ выбор, он уже 2 года стоит) со свежими и расширенными базами. Как-то после проверки всплыл кусок Backdoor.Win32.HacDef.b (файл isplogger.sys). Как и ожидалось, файл спокойно удаляется и так же спокойно обнаруживается после перезагрузки. АВЗ обнаружил только скрытые процессы (isplog.exe, UpDate.exe, dmclih.exe). Если кто знает, как эту заразу вылечить - скинте рецептик. Если готового рецепта нет, то через пару дней скину логи. Через пару, т.к. перегружать сервак довольно сложно. И еще один пункт, не понял, как создать нормальный протокол, т.к. после во время проверки АВЗ счастливо закрывается (на пункте 3 при проверке папки WINNT, и похоже что аварийно). Базы, естественно, обновлял.

Geser
11.01.2006, 15:19
Не нужно перегружать. Сделай то что написано после "Если проблема не исчезла, то:" начиная с пункта 5

MadRat
11.01.2006, 15:43
Не нужно перегружать. Сделай то что написано после "Если проблема не исчезла, то:" начиная с пункта 5

тогда такой вопрос, какие программы закрывать? только те, что в приложениях, или те что в процессах (прокси, фаир, управление питанием, резервное копирование и т.д.)?

Geser
11.01.2006, 15:47
тогда такой вопрос, какие программы закрывать? только те, что в приложениях, или те что в процессах (прокси, фаир, управление питанием, резервное копирование и т.д.)?
Те что в прилажениях

MadRat
11.01.2006, 16:10
и еще момент - все делаю из под RAdmin2.2

Geser
11.01.2006, 16:29
Угу, короче так, на серваке похоже таки сидит руткит. Удалить его без перегрузки, насколько я понимаю, невозможно.

Нужно сделать следующее:
АВЗ->Параметры поиска->Поставить обе птички "Блокировать работу руткит" после этого вернуться в окно "Область поиска" и ничего не отмечая нажать "Пуск". По окончанию сканирования нужно не закрывая АВЗ
1. Еще раз сделать лог исследованя системы.
2. Пойти в Сервис->диспетчер процессов и прибить там процессы:
C:\WINNT\system32\UpDate.exe
C:\WINNT\system32\isplog.exe
C:\WINNT\system32\dmclih.exe
3. Эти файлы, обязательно при помощи АВЗ, найти и поместить в карантин, после чего выслать нам. Как искать файлы написано в правилах.

Правда, после всего нужно сделать перегрузку. Так что или перегрузка, или жизнь с руткитом.

MOCT
11.01.2006, 17:06
в дополнение к перечисленным пришлите еще файл C:\WINNT\system32\isplogger.sys

MadRat
12.01.2006, 09:20
АВЗ выдает ошибка в работе антируткита[List index out of bounds (39)]

после чего, что характерно, в процессах эти файлы не наблюдаются :(

что забавно, аутпост поймал update.exe, при попытке вылезти в инет, но как этот файл выцарапать из под аутпоста я не знаю, поместил пока в блокированные

Xen
12.01.2006, 10:01
полный аксес выолейшын ;-)))

Да давайте уже отключайте винт или грузитесь с компакта и грохайте файлы вручную. Система скомпрометирована. Чего ждем?

Geser
12.01.2006, 10:14
АВЗ выдает ошибка в работе антируткита[List index out of bounds (39)]

после чего, что характерно, в процессах эти файлы не наблюдаются :(

что забавно, аутпост поймал update.exe, при попытке вылезти в инет, но как этот файл выцарапать из под аутпоста я не знаю, поместил пока в блокированные
1. Лог с ошибкой просьба запостить, возможно это поможет разработчику АВЗ.
2. Попробый включить только блокировку работы user-mode rootkit. Если и это не поможет, то по совету от Xen. ПОдключай хард к другому компу или грузись с загрузочного диска. Только большая просьба файлы перед удалением выслать нам.

MadRat
12.01.2006, 10:24
полный аксес выолейшын ;-)))

Да давайте уже отключайте винт или грузитесь с компакта и грохайте файлы вручную. Система скомпрометирована. Чего ждем?

это win2000serv
на нем
1 контроллер домена (второго нет)
2 прокси сервер
3 программный мост на 3 сетевухи
4 ВСЕ рабочие файлы всей конторы (договора, перемещаемые профили, просто "мои документы" (без профилей), и т.д. распиханные по разным папкам так, что без бутылки не разобраться).
5 все это стоит на зеркале.
6 образ системы есть но двухгодичной давности
7 я работаю тут только второй месяц, заражение произошло еще до меня
8 на этом "крутом компе" стоит не серверное а игровое железо, плюсом всякий дурной софт от CDклона, до снифферов (прошлый админчик любил хакерством побаловаться).

Geser
12.01.2006, 10:29
это win2000serv
на нем
1 контроллер домена (второго нет)
2 прокси сервер
3 программный мост на 3 сетевухи
4 ВСЕ рабочие файлы всей конторы (договора, перемещаемые профили, просто "мои документы" (без профилей), и т.д. распиханные по разным папкам так, что без бутылки не разобраться).
5 все это стоит на зеркале.
6 образ системы есть но двухгодичной давности
7 я работаю тут только второй месяц, заражение произошло еще до меня
8 на этом "крутом компе" стоит не серверное а игровое железо, плюсом всякий дурной софт от CDклона, до снифферов (прошлый админчик любил хакерством побаловаться).
Ну и? Ждешь пока хозяин руткита дистанционно сделает format c: ?:)

MadRat
12.01.2006, 10:40
1. Лог с ошибкой просьба запостить, возможно это поможет разработчику АВЗ.
2. Попробый включить только блокировку работы user-mode rootkit. Если и это не поможет, то по совету от Xen. ПОдключай хард к другому компу или грузись с загрузочного диска. Только большая просьба файлы перед удалением выслать нам.


господа! простите ламера, но я никогда не работал с зеркалами.
скинте ссылочку - как это работает.
т.е. принцип действия я знаю и как поставить новое зеркало тож знаю (хоть и теоретически), но как на него накатить НОВУЮ систему (сверху, без форматирования) или образ системы, если массив еще и разделен на два логических диска.
и как файлы из зеркала добыть? какой загрузочный диск нужен? стандартной дискеты хватит?

лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло

MOCT
12.01.2006, 10:44
господа! простите ламера, но я никогда не работал с зеркалами.

дааа... лечить зеркала на другом компе - это кирдык

а компик что - никогда-никогда не перезагружается? у Вас контора круглосуточно работает?



лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
файл пока не пришел - надеюсь, отправляли с паролем?

p.s. а не связана ли возникающая ошибка с работой из-под радмина?

Geser
12.01.2006, 10:47
но как на него накатить НОВУЮ систему (сверху, без форматирования)Винда ставится как обычно. Можно поставить вторую на второй логический диск. Единственное что нужно - драйвер от DAID на дискетке который нужен будет в процессе инсталляции

RiC
12.01.2006, 10:47
это win2000serv
на нем ...
5 все это стоит на зеркале.

Это несколько неудобнее, винт посто так не вытащишь, придётся тащить из инета ERD или собирать LiveCD с BartPE (http://virusinfo.info/showpost.php?p=48970&postcount=3).
Если Raid конечно софтовый, а если железный ещё наверное пригодится дискета с его драйверами.

Xen
12.01.2006, 11:13
Ага, вот сам говоришь, что вся документация хранится на инфицированной системе. Еще доводы нужны?

pig
12.01.2006, 11:43
Всю информацию срочно скинуть на резервные носители. Не дай бог, и в самом деле отформатируют.

Xen
12.01.2006, 11:46
Да не отформатируют. А будут и дальше оставаться в курсе всех дел в конторе... Просто так что ли руткит зафигачили.

MOCT
12.01.2006, 13:33
лог от АВЗ прицепил и архив от него тоже (архив сделан после исследования с "блокированием руткитов") единственный файл, коорый удалось выцепить - isplogger.sys. выслал на мыло
пришел. троян. убивайте его AVZ из списка драйверов, возможно после этого полегчает с убиением процессов экзешников

Geser
12.01.2006, 13:38
пришел. троян. убивайте его AVZ из списка драйверов, возможно после этого полегчает с убиением процессов экзешников
Вряд ли простое удаление поможет. А вот если в АВЗ пойти в диспетчер служб и драйверов, найти его там и попробовать остановить, вот это может и даст что-то.

MadRat
12.01.2006, 13:52
А вот если в АВЗ пойти в диспетчер служб и драйверов, найти его там и попробовать остановить, вот это может и даст что-то.

сорри, а можно чуть поподробнее?

Geser
12.01.2006, 13:56
сорри, а можно чуть поподробнее?
АВЗ->Диспетчер драйверов и сервисов-> вкладка драйверов отметить дтайвер нажать кнопку "остановить". После чего проверить не стали ли видны остальные файлы. Но скорее всего не поможет

MadRat
12.01.2006, 14:35
Но скорее всего не поможет

не помогло.
пошел йбаццца с сервером. фсе файлы вышлю, как только достану из сервака.
всем спасибо, всем пока.

Sanja
12.01.2006, 19:36
Надо найти спрятанный сервис руткита.. и зделать ему стоп - HaxDef при остановке сервиса - сам снимит хуки и удалит сервис.... сервис предпологаю тоже как "isp????" будет называтся

Естесно все это надо делать при включенном противодействии руткитам!

SDA
12.01.2006, 20:03
а руткит похоже бывший админ оставил :type_2: чтобы контору не забывать

MadRat
13.01.2006, 07:27
а руткит похоже бывший админ оставил :type_2: чтобы контору не забывать

неее. он для этого туповат был.
этот супермегакулхацкер, когда уходил, оставил юзергейту разрешение работать со своим (т.е. его домашним) IP. Т.е. не только не скрывал своих похождений через нашу проксю (даже логи юзергейта поленился затирать), но и домашний адрес оставил. а че, типа низзя чели? он же "хороший человек", сын соседа сына друга директора (это не шутка). его и простили не глядя. а щаз этот чувак в армию ушел.
я раньше думал, что такие идиоты только в анекдотах встречаются, но, видимо, ошибался.
такие дела...

MadRat
16.01.2006, 09:25
И еще один момент. Раньше файл isplogger.sys вылазил ПОСЛЕ перезагрузки. Сегодня после проверки КАВ обнаружил еще один SYS (с другим названием) c этим же трояном. О чем это может говорить? И еще вопрос - если это прокси, то могут ли его заразит вирусы, которые качает клиент из инета со своей рабочей машины?

MOCT
16.01.2006, 09:40
И еще один момент. Раньше файл isplogger.sys вылазил ПОСЛЕ перезагрузки. Сегодня после проверки КАВ обнаружил еще один SYS (с другим названием) c этим же трояном. О чем это может говорить?

что остался активный кусок трояна



И еще вопрос - если это прокси, то могут ли его заразит вирусы, которые качает клиент из инета со своей рабочей машины?
нет

MadRat
16.01.2006, 09:47
Троян цел и невредим. Я за него еще и не брался. Только раньше КАВ видел этот троян в одном файле, который появлялся ПОСЛЕ ПЕРЕЗАГРУЗКИ, а теперь этот троян всплыл в файле, которого раньше КАВ не видел.
А не может этот троян сам себя по локальной сети распространять? Я кусок от трояна вам посылал, по нему нельзя определить?

MOCT
16.01.2006, 09:56
Троян цел и невредим. Я за него еще и не брался. Только раньше КАВ видел этот троян в одном файле, который появлялся ПОСЛЕ ПЕРЕЗАГРУЗКИ, а теперь этот троян всплыл в файле, которого раньше КАВ не видел.
А не может этот троян сам себя по локальной сети распространять? Я кусок от трояна вам посылал, по нему нельзя определить?
в каких файлах всплыл?
hkrnlrdv.sys
hxdefdrv.sys

по локалке не распространяется

AndreyKa
13.03.2006, 16:25
Из присланных файлов:
dmclih.exe - инфицирован BackDoor.RemoteShell
isplogger.sys - инфицирован BackDoor.HackDef
isplog.exe - инфицирован BackDoor.HackDef.100
Их следует удалить, используя отложенное удаление AVZ. Перезагрузить компьютер и сделать новые логи начиная с 11 пункта правил.

PS Правила изменились. http://virusinfo.info/showthread.php?t=1235
Файлы отправлять через форму, ссылку на тему следует давать в таком виде:
http://virusinfo.info/showthread.php?t=4428

MOCT
13.03.2006, 19:25
а что за файлики JAcheck.dll и JAstat.dll? если есть на диске - пришлите.

MadRat
15.03.2006, 09:40
увы, нормальный лог от авз получить не удалось. после работы скрипта архива не остается. сохранил "в процессе".

MOCT
15.03.2006, 09:56
пришли файлы JAcheck.dll, JAstat.dll - куски от FTP-сервера SERV-U.
поскольку в логах нигде SERV-U не фигурирует, сделан вывод что это куски трояна. в частности, известны случаи когда эти файла распространялись вместе с hxdef (он же HacDef).

поэтому ищите файлы:
servu*.*
search.bat
scan.bat
scan500.exe
pulist.exe
JAcheck.ini
hidden32.exe
csc.exe
ip.exe
sec.exe
pwdump32.exe
sc.exe
samdump.dll
uptime.exe
psinfo.exe
kill0103.exe
psloggedon.exe
fport.exe
hxdefdrv.sys
wzcdla.dll
wmguick.dll
updater.dll
msnet.dll
если что-то из этого найдется - присылайте.
да, и не плохо было бы получить новый лог исследования системы программой AVZ (новая версия - 4.15).

MadRat
15.03.2006, 11:43
не остается логов после скрипта