Вирус пытался украсть деньги через iBank [Trojan.Win32.Genome.agfrd ]

Здравствуйте!

Произошло заражение компьютере бухгалтера, способ неизвестен, но скорее всего через броузинг.
Через систему IBank мошенники сформировали платежное поручение и отправили его в банк.
Банк сообщил нам о необычном платеже и о том, что они видят некую вирусную активность на нашей стороне. Подробности они сообщить не смогли.

На компьютере вирус себя никак не проявляет.

TrndMicro OfficeScan, установленный на компе, не обнаруживает ничего.
Dr. Web CureIt и его USB вариант, Kaspersky Rescue ничего не находят.

В логах proxy заметили, что троян постоянно соединяется по http/80 на хост sja94hl35b.com (64.79.71.43, ptr> 2b.47.4f.static.xlhost.com).

2012-09-17 09:27:41 581 10.32.70.20 AA - - OBSERVED "none" - 200 TCP_NC_MISS POST text/html http sja94hl35b.com 80 / - - - 172.1.1.32 476 522 - "none" "none"

Сегодня уже этот адрес добавлен в категорию Malware/Botnet.

После сканирования AVZ стали видны 4 выполняемых файла из TEMP, которые загружаются как процессы.

Пожалуйста подскажите как все вычитсить.

Спасибо!

Уважаемый(ая) [B]Gostan[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\Users\MT\AppData\Local\Temp\X.exe','');
QuarantineFile('C:\Users\MT\AppData\Local\Temp\QYAVYTNF.exe','');
QuarantineFile('C:\Users\MT\AppData\Local\Temp\IT.exe','');
QuarantineFile('C:\Users\MT\AppData\Local\Temp\DVQJCGKXNUJIJDUEN.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи.

- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

AVZ скрипты выполнил, архив загрузил.

Подозрительные файлы в temp директории пока на месте.

MBAM ничего не находит.

[quote="Gostan;926071"]Подозрительные файлы в temp директории пока на месте.[/quote]
Файлы оказались чистыми...

[quote="Gostan;926071"]Подозрительные файлы в temp директории пока на месте.[/quote]
это легальные файлы похоже от Sysinternals Rootkitrevealer

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

и почистите темпы браузера, вирус скорей всего осел там.

К сожалению, поиск уязвимостей ничего не дал.

В autoruns обнаружил C:\Windows\System32\theme.dll
Он якобы подписан Microsoft, но подвись не верифицируется.
Дата создания - 11/09/2012 совпадает со временем заражения, которое сообщили в банке.
Снял AVZ-ом в карантин и загрузил Вам по ссылке.

Скорее всего это и есть вирус.

Спасибо!

Каким браузером пользуетесь?

IE 9 / Windows 7 32-bit

Воздержитесь от его использования до завтра.
В нем найдена серьезная уязвимость. Завтра выйдет накопительное обновление, Вам нужно будет обновить систему и после этого можете снова им пользоваться.
[url]http://virusinfo.info/showthread.php?t=124764[/url]

Спасибо за помощь.

И ещё - после удаления theme.dll из system32, вурусная активность прекратилась, компьютер перестал хаотично пытаться соединиться с разными подозрительными IP по http / https.

Странно, что ни один антивирус эту штуку так и не ловит -- вероятно это какая то адресная атака ...

Комп переустанавливаем.

[quote="Gostan;926270"]Странно, что ни один антивирус эту штуку так и не ловит -- вероятно это какая то адресная атака ...[/quote]
скорей всего свежая модификация троян маячок,отправил в вирлабы. Через пару дней максимум начнут видеть :).

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

dr. Web уже ответил Угроза: [COLOR="#FF0000"]Trojan.Inject1.9104[/COLOR]
[QUOTE]Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении. [/QUOTE]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\theme.dll - [B]Trojan.Win32.Genome.agfrd[/B] ( DrWEB: Trojan.Inject1.9104 )[/LIST][/LIST]