Неуловимый мощный РУТКИТ

[Яpоcлaв]

У меня 100% уверенность о наличии на компьютере руткита.

Краткие особенности его работы в Интернете собранны по данным Agnitum Outpost Security Suite Pro 2007(5.0.1252.7915.619).

Обозначается этот процесс как «недоступно» (n/a).
Т.е. внести его в список неразрешенный приложений, блокировать или просто разорвать соединение нельзя. Может пытаться пробиться в Интернет одновременно как более одиннадцати процессов.
Руткит использует десятки сотен портов. Как только какая-то программа выходит в Интернет, руткит пытается пробиться через ее порт, иногда от ее имени при этом не нарушая ее работы. (Например: n/a: разрешить Opera DNS UDP connection или Download Master DNS UDP connection).
Руткит использует протоколы TCP,UDP, IPIIP,EGP,SKIP,TMuX, ICMPv6 (немного обновившись), пытается установить ICMP соединение, посылает широковещательные пакеты NetBIOS, использует IGMP атаку, хотел использовать RAWSOCKET (!) и т.п. Иногда отображается как SYSTEM.
Пытается принять транзитные пакеты
Обновляясь, способен «звонить» в Интернет как dialer (а может вообще взять под контроль модем), может скачивать червей, шпионов и вирусоподобные программы, способен модифицировать Svchost и т.п. Но основные усилия направлены на собственное укоренение в системе.
Руткит «присоединяется» при копировании ЛЮБЫХ данных на ЛЮБЫЕ носители информации.

Дополнительная информация по данным программ AVZ 4.27, GMER 1.0.13 и RootkitUnhooker 3.7.300.509.

1. AVZ видит (сервис «модули пространства ядра») адрес руткита в системе: F7473000. Этот адрес постоянный (т.е. после перезагрузки компьютера не изменяется), копировать в карантин нельзя, но можно снять дамп памяти. Его размер 98304 байт.
Особенно подозрительно, что часто происходит сбой при работе антируткита. Система, защита, др. антируткиты, неправильное обновление или сам avz.exe не причем.
2. GMER раньше обнаруживал руткит как группу (до пяти) спрятанных модулей: name: (noname) value: ***hidden***
Размер модулей от 2944 до 91776 байт.
Теперь он видит его как «добропорядочного руткита» и ничего странного в нем не находит:
name: ______ value:
3. RkU делает откат изменений «unknown module filename» в SSDT, в Shadow SSDT, загруженных кодах (Hooked codes).
В драйверах значится «пустой драйвер» -никакой информации о нем в таблице нет (кроме известного адреса и размера). Есть также и 37 «левых» драйверов. Имя и место загрузки – «unknown_irp_handler». По его данным размер драйверов от 512 до 4064 байт.

Вроде бы все… Ребята, пожалуйста, ну постарайтесь!

PS: Компьютеры, инфицированные руткитом исчисляются десятками, и их число постоянно увеличивается : от тупых ламмеров до целых институтов.

[V_Bond]

virusinfo_syscure.zip - вы прислали карантин(уберите из темы) ... нужен лог получаемый при выполнении стандартного скрипта 3 ....
выполните скрипт...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\098A~1\LOCALS~1\Temp\Rar$EX00.656\pwl\pwlshell.dll','');
QuarantineFile('\SystemRoot\system32\DRIVERS\sd20_nt.sys','');
QuarantineFile('C:\WINDOWS\system32\tsseShrd.dll','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[PavelA]

?
dStringFileInfo@040904E4D
CompanyNameTeknum Systems AS\
FileDescriptionShared Shell Menu Handler4
FileVersion5.4.0.122"

InternalNamev)
LegalCopyri ghtCopyright © 1994-2001, Teknum Systems AS*

LegalTrademarks>
OriginalFilenamessmenu.dllT
ProductNameShared Shell Menu Handler4
ProductVersion1.0.0.0ДV
CommentsContext menu handler for Windows Explorer that can be shared by multiply applicationsDVarFileInfo$Translation дFE2XES.NET_DLL', Res); end.јU”Эи16:217,ґ¬Yґ¬YФPOS1И¬YИ¬YАTroj an.PSW ?д¬Yд¬Y¤H«YH«Y�<*Y ц[hIYPY„�©Yь©Џ
ѓЏ
,P,N�©YЂмLЂмL

- вот это сила. Первый раз такое вижу в логах.

Очень много всякого антивирусного в системе стоит. Чувствую, исследования проводились в большом объеме. Следы всех антируткитеров надо повычищать.

[Яpоcлaв]

Надо же! Я вроде должен был прислать нужный лог. Видимо в спешке что-то перепутал.
Я отослал результат стандартного 3его скрипта и карантин.

Что б вы там голову попусту не ломали, расскажу вам, каких это жуков у меня AVZ нашел.
Officekey.exe или PSWTool.Win32.RAS.a -это мой жучок, одомашненный.
Klister вовсе не Backdoor.Win32.BO2K, а антируткит для windows 2000. (Забыл удалить).
Бедный KnownExt – вполне полезная и безобидная программа для получения информации о расширении файлов.
«sskbfd.sys подозрение на Monitor.Win32.SpySweeper» -действительно. Но ничего страшного я в этом не вижу.
Interceptor.dll -компонент антишпиона. Многие пытаются его грохнуть.
TsseShrd.dll –компонент от HandyBitsFil Shredder. Это программка для удаления файлов без возможности восстановления. По иронии судьбы я его самого удалить не могу.
sd20_nt.sys -файл от какой-то проги, , я уже и не помню какой и где она лежит.
DelDrv – какая-то фигня от моего МР3 плеера.
[Руткит тем временем процветает, а AVZ не может определить перехватчика.]

Насчет конкретных исследований вы правы. После самовключаемого модема и чистого НАГЛОГО издевательства над компами друзей у меня паранойя.
Антивирусник один –DrWeb. Был NOD32, но пришлось удалить. Хотел установить Касперского 7, не получилось. У соседа стоит, обновляется, а вот руткита не видит…

PS:«Сила, брат, за тем, за кем правда стоит»

Добавлено через 6 минут

Кстати, у вас тут путаница - или файлы отправить http://virusinfo.info/upload_virus.php, а может быть сюда. Но я сделал первое. Там же и карантин.

[PavelA]

Файлы логов прикрепляются сюда.
Карантин загружается по ссылке в надежное место, чтобы врагам не достался, да и дуракам тоже.

Добавлено через 2 минуты

Добавлю, что ни карантина, ни логов я не увидел. Сообщение об успешной загрузки было?

З.Ы. Не обижайся. Проверять приходится все и вся, особенно если на машине столько всего наставлено.

[Яpоcлaв]

За что ж мне на вас обижаться? Напротив – спасибо, что вы меня еще терпите. Ну, в принципе, приходиться .
Файлы точно отправились. Думаю, уже все пройдет без приключений.

Но карантин вряд ли поможет. Всё не так плохо как вы думаете, все намного хуже.. .Мне кажется это творение серьезных ребят. Если такой рут попадет в офис (скорее всего это уже произошло) это повлечет непредсказуемые последствия: от серьезного ущерба компании из-за потери данных до шантажа благодаря уже краденой информации. Создатели очень хорошо постарались.
Благодаря моему соседу и мне руткит гуляет уже по десяткам компьютерам –если в ближайшие 3месяца от него не получится избавиться, компы, точнее windows’ы, будут лететь один за другим.
Скажите лично свою точку зрения, с чем я имею дело? Как я его мог подцепить? Какой шанс его загасить?
И меня тут недавно BSODнуло (осенило). Можно ли с другой операционки, таки Windows 3.1 или тот же Linux, найти руткита? На них, по идеи, он не сможет существовать и скрываться. Пошариться по виндовской system32 и найти ранее неотображавшийся драйвер. Как вы думайте?

[anton_dr]

Ярослав, или как вас правильнее назвать? Вам там на руткитс.ру больше заняться нечем, кроме как отбирать время у хелперов?
Не мешайте, пожалуйста, людям работать.

[Яpоcлaв]

А как же руткит? Я уже пытаюсь его полгода прибить! Вот как раз что и помогите. Век буду благодарен.
А вот ваш "выбор" нифига не помог. Кстати, версия последняя.

[anton_dr]

Поехали в юмор.

Добавлено через 1 минуту

А ваш руткит элементарно прибивается приватной версией RKU, вы разве не знали?

Добавлено через 2 минуты

Кстати, этот руткит всяко анриал, раз его ни авз, никто другой не может поймать. Он же неуловимый.

[Яpоcлaв]

Серьезно! Kaspersky Internet Security 7.0.0.124. Руткит обновляется, делает IGMP атаки, а Касперский спит! Вот Agnitum Outpost - это супер!
Просто нигде, кроме как здесь мне спасения не ждать. Поверьте -очень неприятно жить на компьютере с руткитом - от тебя боятся брать диски.

Добавлено через 8 минут

Последняя версия RkU это случайно ни 3.7.300.509?
Неуловимый -ну, около 10 антивирусов, 30анти -шпионов и -троянов. Все возможные антируткиты. Например, GMER 1.0.13. Видит в нете его Outpost (в отличии от касперского), программы осознают лишь факт его присутствия.

Добавлено через 13 минут

Не могу отправить карантин. Ошибка. Еще и интернет тормозит....

[ВодкуГлыть]

Дурь какая-то...

[Muzzle]

на флэшмоб какой-то смахивает

[[500mhz]]

имхо руткит в биосе и работает в режиме супервизора и запускает винду в vmode и простыми методами его не найти

[anton_dr]

имхо руткит в биосе и работает в режиме супервизора и запускает винду в vmode и простыми методами его не найти

ИМХО, руткит в голове и лечится трепанацией

[[500mhz]]

ОМГ!
Джонни Мнемоник с руткитом в голове!

[XP user]

имхо руткит в биосе и работает в режиме супервизора и запускает винду в vmode и простыми методами его не найти

Один из вариантов, да. Пока, возможно, некоторые смеются, но Джоанна Рутковска уже достаточно давно пишет о таких вещах... http://www.antirootkit.com/blog/category/bios-rootkits/ http://theinvisiblethings.blogspot.com/ Paul

[[500mhz]]

Paul
еще во времена мсдоса были такие попуки, запускать дос в вмоде
не помню как вирус назывался, гдето валяется