Симтомы: на всех сайтах появляется AD с иероглифами. Скорее всего этот вирус делает инъект в http трафик и в каждую загружаемую страницу "вписывает" в начало код для загрузки с [BLOCKED] жаваскрипта. Также был обнаружен порт который "слушает" 195.108.95.30 и возможно использует его для загрузки "остальных" частей.
С помошью AVZ была найдена "служба" runtime2.sys
Файл из карантина который создал 3-й скрипт был загружен на сервер: Файл сохранён как080118_083446_virus_4790b90623832.zipРазмер файла1639MD54f860e2faf828af7562540ddf81822b7
через http://virusinfo.info/upload_virus.php
Пока что выполняю пункты правил - вложения чуть позже
В качестве временного решения и для того чтобы не заразится повторно сайты внес в блеклист на прокси и в блокировщик содержимого MYIE
Последний раз редактировалось MAG; 18.01.2008 в 18:17.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
да установлены для мобилки. Я сейчас сканирую рабочие станции чтобы найти "живой" вирус. Он точно есть ...
не совсем понятно как избежать повторного заражения. Пока успел просканировать 18/70 рабочих станций. Попутно АVZ нашел и удалил несколько других троянов. Была ситуация когда уже пролеченный комп "цепляет" из интернета этот вирус снова
с помошью system repair ingineer был найден странный active-x
{33564D57-0000-0010-8000-00AA00389B71}
Последний раз редактировалось MAG; 18.01.2008 в 20:06.
Опять фиксируются попытки доступа на этот сайт с 2-х машин. И мой сервер опять его поймал
Теперь вирус идет с другого поддомена этого сайта и теперь адшка всплывает слева. Забавно когда слева адшка и справа
Логи с 1-й машины
Скачайте Process Explorer. Нажмите на значок прицела, потом на окно "AD". Что покажет программа? Действительно ли окно принадлежит браузеру? Логи делали с запущенным браузером?
Да с запущенным. При постановке на закачку зип архива эта зараза подставила свой setup.exe
По видимому вирус инъектится в http трафик и делает что хочет
Скачал процесс експлорер.. Дождался пока высветится ад нажимаю на прицел, на ад и процесс експлорер показывает что это окно интернет експлорера
Может стоит сделать скан с интернет експлорером у которого высвечена АД?
Последний раз редактировалось MAG; 23.01.2008 в 12:55.
трафик по локалке через прокси. Прокси ИИС вроде но у меня доступа туда нет. Если б вирус был там тут бы вся организация орала, т.к была зараженной. А так у кого-то есть у кого-то нет этого вируса. Единственное решение которое я вижу это переустановить свой сервер, и на нем для той части локалки которую я обслуживаю запретить ТОТ сайт.
Вопрос а есть шанс этот сайт прикрыть? SmartWhois показывает что эта этот сервер находится в китае провинция Sichuan.
CHINANET Sichuan province network
China Telecom
A12,Xin-Jie-Kou-Wai Street
Beijing 100088
Все началось вероятно еще в декабре:
(нод32 всегда с последними базами)
28.12.2007 15:14:39 IMON модифицированный Win32/TrojanDropper.Agent.NHB троян -пользователь нажал блокировать
15.01.2008 11:07:28 ТОТ сайт IMON вероятно модифицированный Win32/Genetik троян - блокировано.
16.01.2008 11:12:22 ТОТ сайт путь тотже модифицированный Win32/Xorer вирус
17 утром появилась адшка. Нашел в инете что это вирус попытался удалить с помошью System Repair Engineer 2.5 - нашел службу RUNTIME2.SYS
при попытке удалить высветило:
17.01.2008 15:12:36 AMON файл C:\WINNT\SYSTEM32\DRIVERS\RUNTIME2.SYS Win32/Rootkit.Agent.EY троян Ошибка при очистка - действие недоступно для этого типа объекта VT-SERVER\vt-admin Событие при попытке доступа к файлу приложением C:\3\SREngPS.EXE.
Поискал в инете ссылки про RUNTIME2.SYS нашел что вирус нашел что есть АВз и какие-то скрипты (незнал что они уникальные). Выполнил. Служба сейчас не видна
Ад есть не на всех сайтах (появляется редко).
поиск на дисках tga.sys с помошью AVZ - результатов 0
В реестре найдены ключи. Файл с ключами :
Файл сохранён как 080124_020520_virus_479846c099808.zip
Размер файла 269
MD5 68523d8bd90311af000a3ef927631e67
Добавлено через 7 минут
Сделал поиск по RUNTIME2.SYS в реестре - куча хвостов осталось - высылать результаты поиска?
Последний раз редактировалось MAG; 24.01.2008 в 11:13.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: