Бот-нет

Printable View

05.02.2007, 18:06
mtgcollect

Вложений: 3

Бот-нет

3 Февраля получил спамбот с одного из сайтов рунета (видимо из взломаных Valuhost-овских).
Руками поубивал что смог (видимо загрузчик, какой-то trojan loader), но бота не достал.
После коннекта попытка smtp рассылки (блокировал explorer.exe Outpost-ом). Попытка флуда/коннекта на prevedltd.net checkip.dyndns.org и ещё несколько (аналогично запер).
Несколько болше обычного процессов svchost.
Бот-сеть долбит меня командой удалённой перезагрузки закрытой Аутпостом (Видимо "за предательство" Ж) пачками по 5-100/мин.

Пробовал Cure-it, AVZ, Anitvir, webroot spy sweeper, norton, spyware doctor, anti-trojan sheild 2. Все свежие все по делу не помогли.

Поскольку содержание писем которые бот пытается слать меняется как и цели/интенсивность флуда похоже я не смог перекрыть входящие команды хозяина ботов.

(А есть в природе шанс найти этого хозяина :? (у нас СБ с тоски дохнет :D ) , сорри за оффтоп).
05.02.2007, 18:17
mtgcollect

Да и ещё в есть некий процесс (Виден в аутлуке, process exp итп) с именем n/a (вырубить себя не даёт, понизить приоритет тоже).
05.02.2007, 18:29
MOCT

выполните следующий скрипт в AVZ, потом пришлите созданный карантин
[code]
begin
QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
QuarantineFile('C:\WINDOWS\Inf\msio32.dll','');
DeleteFile('C:\WINDOWS\Inf\msio32.dll');
DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
end.
[/code]
05.02.2007, 18:43
Geser

c:\windows\explorer.exe Патченый
05.02.2007, 18:53
mtgcollect

Полегчало пока, спасибо. Что с c:\windows\explorer.exe делать? Перезаписать новым с СД-диска?
И есть ли возможность прочитать про функции этой конкретной "вредоносной программы для ЭВМ" или название узнать? Хотелось бы понять нужно ли срочно менять все пароли на удалённые сервисы и т.п.
05.02.2007, 19:09
Geser

Перезаписать новым
05.02.2007, 19:09
Geser

И убедиться что система не восстановила патченный из кеша
06.02.2007, 08:23
Geser

Hello,

msio32.dll - SpamTool.Win32.Agent.u

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.
22.02.2009, 01:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\inf\\msio32.dll - [B]Trojan-Proxy.Win32.Pixoliz.ia[/B] (DrWEB: Trojan.Packed.76)[/LIST][/LIST]