Нетривиальный вирус

[Mak]

Поймал бактерию. Каждые 15 минут выскакивает окошко Symantec AV с сообщением С:\WINDOWS\TEMP обнаружен Infostealer.Notos!gen, удалить удалось. Если соединения с Интернет нет, то не выскакивает. Имя файла каждый раз новое. DrWeb, Symantec AV ничего не находят при сканировании. Зацепка одна: в дереве процессов нашел dll - ку basedkrd32.txt без подписи и опознавательных знаков, похоже левую. Связана с процессами SVCHOST.EXE и СSRSS.EXE
Если сравнить контрольные суммы этих файлов с файлами из дистрибутива - они идентичны. Эти файлы есть только в директории C:\WINDOWS\SYSTEM32. Если удалить dll - ку ОС не стартует ни в каком виде. Не могу понять как стартует вирус. В реестре вроде ничего лишнего нет. У кого есть идеи - поделитесь плиз

[Макcим]

Выполните скрипт в AVZ

Код:

function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
 Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
 If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
  i := Pos(SSS,SS); l := Length(ss);
  If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
  s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
 SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
 SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
 ParseString (SL,SS,' ');
 for i := 0 to SL.Count - 1 do Begin
   SS := SL[i];
   If Pos('ServerDll=base',SS) > 0 Then Begin
     If SS <> 'ServerDll=basesrv,1' Then Begin
	 AddToLog('Infected "SubSystem" value : ' + SS);
	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
     end;
  end;
 end;
 SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
 If SSS <> '' Then Begin
  i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
  SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
  AddToLog('Infection name : ' + SSS + '.dll');
  SetAVZGuardStatus(True);
  If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
  SF.Add('REGEDIT4'); SF.Add('');
  SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
  SSS := '"Windows"=hex(2):';
  for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
  SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
  ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
  SaveLog(GetAVZDirectory + 'SubSystems.log');
  RebootWindows(false);
 end;
SL.Free; SF.Free;
End.

Повторите логи. Прикрепите также SubSystems.log из папки AVZ.

[Mak]

Сейчас этой dll в процессах нет. А вот файлы.
Спасибо, добрый человек.

[Bratez]

Больше ничего подозрительного не видно.

Замечания следующие:
1.

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

С такой системой вернетесь к нам еще не раз! Необходимо установить SP2 + последующие обновления. (Потребуется повторная активация, старый кряк не сработает).

2. Посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

[Mak]

Ок, спасибо. Понимаю, что пора обновиться. Корректно ли будет нактить корпоративную версию ХР поверх существующей при условии совпадения языка?

[Макcим]

Нет.

[Bratez]

Корректно ли будет нактить корпоративную версию ХР поверх существующей при условии совпадения языка?

Работать будет 100%.
Maxim, очевидно, имел ввиду лицензионную корректность .

[Mak]

Где можно подробнее почитать про эту уязвимость или атаку? SP2 точно ее закроет? Пару дней назад на каком-то сайте снова ловил похожую dll.

[Макcим]

Конкретно от этой угрозы защитит только работа с пользовательскими правами.

[Mak]

Информативно. А можно подробнее, что нужно сделать, чтобы не получать больше эту радость?

Добавлено через 4 часа 3 минуты

А, понятно, сразу не осознал, извините. Значит в систему нужно входить по юзером, или запускать эксплорер с ограниченными правами. Ну а если работать под Оперой, скажем под административными правами. При условии, что сам компьютер находится за апаратным файерволом. Это будет безопасно ?

[Макcим]

Нет, лучше всех кого только можно пускать под пользователем.

[pig]

Первое правило безопасности - работать с минимально необходимыми правами.