Backdoor Lurker

Printable View

24.08.2010, 19:12
Nuka

Backdoor Lurker

В AVZ после проверки написано: Обратите внимание. Порт 1116 UDP - Backdoor.Lurker (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
Данный Backdoor.Lurker появляется только иногда, может появиться в любое время при проверке. Восстановление системы через Акронис ничего не даёт, на какое то время он исчезает, но потом опять появляется, подскажите, почему и что делать? Почему его не видят ни один антивирус и ни одна антивирусная утилита? Где находится само тело вируса? Как закрыть порты 1111 и 1116 в PC Tools Firewall Plus ?
24.08.2010, 19:15
polword

[URL="http://virusinfo.info/pravila_old.html"][COLOR="blue"]Внимательно прочитайте и аккуратно выполните[/COLOR][/URL]
24.08.2010, 20:09
Nuka

Логи сделаны, но уже не появляется этот Lurker, AVZ его не видит. После появления процесс svchost использующий порт 1116 был прибит и логи сделаны уже после перезагрузки. Но порты 1111, 1113 снова появляются, причём после каждой перезагрузки компа, они то открыты, то нет, не понимаю почему.
24.08.2010, 21:18
polword

[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
[/CODE]
В остальном подозрительного нет.

Начинайте обновлять систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

понаблюдайте за проблемой
24.08.2010, 21:42
Nuka

Простите, а можно мне как "чайнику", доступным языком описать что сделать с этим кодом. потому что про обновление системы понятно, и что значит - Откройте файл [URL="http://df.ru/%7Ekad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. Ну, открыла, а что дальше?
24.08.2010, 21:44
polword

дальше копируете все что написано и [URL="http://virusinfo.info/showthread.php?t=7239"]выполняете скрипт в AVZ[/URL]
24.08.2010, 21:57
Nuka

Где написано???? Не понимаю что куда копировать! Это для вас всё так просто, а простым людям ещё надо понять что и куда. Если мне надо скопировать "код" который выше и именно его вставлять в скрипт авз, зачем тогда открывать этот файл [URL="http://df.ru/%7Ekad/ScanVuln.txt"]ScanVuln.txt[/URL] с ним то что делать, я не понимаю, поясните, пожалуйста.
24.08.2010, 22:19
olejah

[QUOTE='Nuka;694368']Данный Backdoor.Lurker появляется только иногда, может появиться в любое время при проверке.[/QUOTE] QIP используете?

[QUOTE='Nuka;694595']Не понимаю что куда копировать![/QUOTE] Открываете файл [B]ScanVuln.txt[/B], там находится скрипт, нажимаете Ctrl+A, должен выделиться весь скрипт, нажимаете копировать, в АВЗ - Файл - Выполнить скрипт, нажимаете вставить, нажимаете выполнить, теперь как?
24.08.2010, 22:22
Nuka

Нет, QIP не использую, а причём тут он?
24.08.2010, 22:28
olejah

Да собственно ни при чём, это я для себя, смысл в том, что не только сам [B]Backdoor.Lurker[/B] слушает данные порты, а также некоторые полезные программы.
24.08.2010, 23:37
Nuka

Поскольку, только Ваша AVZ соизволяет только иногда находить Backdoor. Daodan и Backdoor. Lurker на портах 1111 и 1116, то мне уж очень хотелось бы услышать хоть один вразумительный ответ по поводу местонахождения данного трояна, а также услышать про его поведение, задачи и т.п. А то, если только AVZ это находит и никто ничего вразумительного так и не ответил, начинает складываться впечатление, что AVZ попросту врёт, а здесь на форуме никто ничего про эти Backdoor не знает.
24.08.2010, 23:42
olejah

Да кто Вам сказал, что АВЗ находит бэкдор, АВЗ указывает на то, что открыты порты, присущие той или иной вредоносной программе, что не указывает на прямое наличие вредоносного ПО в системе, эти порты может открыть кто угодно, у меня например QIP периодически открывает рандомные порты для своего сервиса и бывает что 1116 UDP.
24.08.2010, 23:45
pig

[QUOTE='Nuka;694698']начинает складываться впечатление, что ... здесь на форуме никто ничего про эти Backdoor не знает.[/QUOTE]
Я не удивлюсь, если это так и есть. Олег Зайцев, наверное, всё-таки сталкивался, а вот остальные участники в большинстве только подозрения в логах и наблюдали.