Trojan.Popuper.6943(Dr.Web) и вероятно что-то ещё...
Нашел через исохант(isohunt.com) торрент с "Real.VNC.Enterprise.Edition.v4.4.1.WinAll", как в последствии оказалось сам установочный файл программы RealVNC из этого торрента(вообще там находится 2 торрента с одинаковым названием, тут речь ведётся о том, который по весу чуть больше) оказался зараженным(о чём я узнал только после того, как запустил его, насколько я помню я даже проверил его на virustotal.com).
Через некоторое время после запуска зараженного файла я получил вот такой вот попап:
---------------------------
System Error!
---------------------------
Attention, [USERNAME]! Some dangerous trojan horses detected in your system. Microsoft Windows Server 2003 files corrupted.
This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!
Click OK to download the antispyware. (Recommended)
---------------------------
Yes No
---------------------------
Где [USERNAME] было имя на которое зарегана венда(в "System Properties > General > Registered to:" которое отображается).
Естественно на кнопочки я тут не жал...
Окошко это имело табу в таскбаре с эконкой обычной папки... И судя всему этот вирь каким-то образом прикрутился к эксплореру, т.к. в списке процессов ничего не обычного не было, а при попытке убить именно это окошко(оно отображалось в Applications) вместе с ним помер эхплорер.
В общем после этого я пошел качать "Dr.Web Cure-It!", avz и HiJack This...
Dr.Web при скане системы в сэйф моде собственно и нашел дллку или сиску(уже забыл, что именно) которую он обозвал "Trojan.Popuper.6943"(пара циферок могут быть перепутаны, но маловероятно) и благополучно удалил её, больше ничего подозрительного он не нашел, полную проверку проводить не стал, т.к. это заняло бы несколько дней.
Так же имеются подозрения, что не только эта гадость сидела в вышеупомянутом файлике, о том, что она не до конца убилась и что до неё в системе могло уже что-то ещё сидеть.
Update: P.S. Попытался отправить эту гадость Dr.Web'овцам, но через веб форму не проходит, т.к. файл больше 5 метров весом, а как по другому прислать им вирус инфу найти не смог, даже поском по их форуму быстренько пробежался... =\
Последний раз редактировалось Rene-gad; 27.06.2008 в 20:09.
[RIGHT][I]Холодильник тоже космос...[/I][/RIGHT]
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-ну, если честно, то в логах особо в глаза ничего не кинулось... скачал vnc-E4_4_1-x86_x64_win32.exe сейчас попробую посмотреть какой в нём зверь сидит, а пока, если лишний раз перегружать систему не влом, выполните в AVZ
Перезагружаться конечно не хочется, ко как-то с вирями и троянами ползающими внутри системы жить хочется ещё меньше...
Карантин:
Код:
Файл сохранён как 080627_113616_2008-06-27_48651700d5c44.zip
Размер файла 639606
MD5 12bb2051df5271d3e517057be40a85e1
C:\WINDOWS\system32\drivers\Maestro1.sys - Файлик от экранной клавиатуры, насколько я помню...(точно не уверен)
C:\WINDOWS\system32\Drivers\sptd.sys - это, насколько я помню, драйвера виртуальных сидюков от Daemon Tools
C:\RivaTuner\RivaTuner32.sys - собсвтенно какой-то драйвер рива тюнера, насколько я помню он нужен для разгона видюхи не через драйвера самой видюхи или для более точного определения текущих частот.
C:\WINDOWS\system32\ckldrv.sys - насколько я помню драва от звуковухи...
Что есть остальные два не припоминаю...
Kuzz, спасибо за информацию, про то, что им можно почтой присылать я наю, как-то раз присылал, но было очень давно, а вот сейчас инфу эту найти не смог и не был уверен, что у них ещё работает этот сервис.
Update: Отправил им этот файл, с кратким описанием, ссылкой на торрент, на вирусинфо и сюда.
Update2: Этот Trojan.Popuper.6943 изменил по крайней мере 2 настройки эксполрера(не тот который ie):
1) Folder Options > General > Browse Folders (установил на "Open each folder in its own window")
2) Folder Options > View > Advanced Options (убрал галку с "Display the full path in the title bar")
Как я подозреваю делал он спои "попапы" из обычных окон эксплорера, и в новых окнах он их мог показывать только с условием изменения первой настройки, а без второй он видимо никак не мог сделать заголовок окна более-менее похожим на сообщение об ошибке.
Последний раз редактировалось Shadow[13]; 27.06.2008 в 21:01.
Причина: memory x_x
-ну, если помните и уверены... остаётся только tscupgrd.exe остальное можно из лога исключить, ну, а если и это вспомните, то тогда и перегружать нечего
-ваша софтина добавляет в Автозапуск C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 C:\DOCUME~1\USER\LOCALS~1\Temp\IXP000.TMP\ и надстройку IE C:\WINDOWS\system32\f_system.dll
Последний раз редактировалось Alex Plutoff; 27.06.2008 в 21:01.
Причина: добавил
Спасибо, а вот в логах avz ещё кучка обнаруженных процессов без имени файла, описания, копирайта, мд5, только с PID'ом и
Код:
?,ошибка получения информации о файле
Командная строка:
в информации
Это что может быть?
И система времянами подозрительно много памяти кушает, вроде как процессов нет которые особо сильно память кушают, а система постоянно свопится, если верить таск мэнэджеру то система кушает где-то 200 метров оперативки(хотя убита большая часть ненужных сервисов, отключена всякая анимация, эффекты и прочее, используется классический вид десктопа), процессы ещё 120, свободно 180, а венда постоянно свопится...
Спасибо, а вот в логах avz ещё кучка обнаруженных процессов без имени файла, описания, копирайта, мд5, только с PID'ом и
Код:
?,ошибка получения информации о файле
Командная строка:
в информации
Это что может быть?
Если включен AVZPM, то на Windows2003 такое очень часто наблюдается.
Это особенности обработки хендлов процессов данной системой.
Бывает чаще всего при наличии веб-сервера (драйвера некоторых принтеров могут также содержать такие компоненты)
И система времянами подозрительно много памяти кушает, вроде как процессов нет которые особо сильно память кушают, а система постоянно свопится, если верить таск мэнэджеру то система кушает где-то 200 метров оперативки(хотя убита большая часть ненужных сервисов, отключена всякая анимация, эффекты и прочее, используется классический вид десктопа), процессы ещё 120, свободно 180, а венда постоянно свопится...
-в этой связи очень хотелось на acrchs1w.SYS посмотреть, а он как на зло в карантин не попал... а вот f_system.dll имеет все шансы на удаление, тот который выудился у меня выглядит не очень респектабельным http://www.virustotal.com/ru/analisi...a2ab2bd69a6906
по сему выполнить в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\system32\f_system.dll','');
end.
..и перешлите карантин, Вы уже знаете, по красной ссылке, той что вверху страницы
Если включен AVZPM, то на Windows2003 такое очень часто наблюдается.
Это особенности обработки хендлов процессов данной системой.
Бывает чаще всего при наличии веб-сервера (драйвера некоторых принтеров могут также содержать такие компоненты)
принтера у меня нет, драйверов для него тоже нет, мало того, даже запрещено добавлять новые принтеры, запуск принт спулера и прочего связанного с принетом в сервисах и через gpedit.msc
никаких веб-серверов у меня так же нет.
Сообщение от Alex Plutoff
-в этой связи очень хотелось на acrchs1w.SYS посмотреть, а он как на зло в карантин не попал...
Гмм... может быть ещё раз логи сделать? По какой причине он не попал в карантин я не знаю :(
...
Гмм... может быть ещё раз логи сделать? По какой причине он не попал в карантин я не знаю
-пожалуй, но не меню Файл > Стандартные скрипты, а так: AVZPM > Установить драйвер расширенного мониторинга процессов и затем Файл > Исследование системы
Сообщение от Shadow[13]
...
...
-попробуйте вручную: AVZ > Сервис > Поиск файлов на диске и поищите в C:\WINDOWS\system32 файл f_*.dll
-пожалуй, но не меню Файл > Стандартные скрипты, а так: AVZPM > Установить драйвер расширенного мониторинга процессов и затем Файл > Исследование системы
AVZPM в принципе был и так установлен... выгрузил и удалил драйвер, ещё раз обновил базы AVZ, по новой установил драйвер и сделал лог(со всеми подробностями на всякий случай).
Сообщение от Alex Plutoff
-попробуйте вручную: AVZ > Сервис > Поиск файлов на диске и поищите в C:\WINDOWS\system32 файл f_*.dll
-наверно нужно поспать
...от лога к логу
C:\WINDOWS\System32\Drivers\acrchs1w.SYS
C:\WINDOWS\System32\Drivers\a6eajsph.SYS
C:\WINDOWS\System32\Drivers\an6re4yy.SYS
P.S. -все єти надстройки IE C:\WINDOWS\system32\f_*.dll именуются, как WinView plugin... наверное есть смысл посмотреть в IE > Сервис > Свойства обозревателя > Программы > Надстройки на предмет наличия оных
-наверно нужно поспать :>
...от лога к логу :O
C:\WINDOWS\System32\Drivers\acrchs1w.SYS
C:\WINDOWS\System32\Drivers\a6eajsph.SYS
C:\WINDOWS\System32\Drivers\an6re4yy.SYS
Насчёт поспать - хорошая идея...
Эти файлы кстати не находятся поиском... :)
Что всётаки с этим делать?
Сообщение от Alex Plutoff
P.S. -все єти надстройки IE C:\WINDOWS\system32\f_*.dll именуются, как WinView plugin... наверное есть смысл посмотреть в IE > Сервис > Свойства обозревателя > Программы > Надстройки на предмет наличия оных
Никаких f_*.dll поиском(разумеется поиск ищет и среди "скрытых" файлов и среди системных и пр.) в папке windows найдено не было...
Вот паззл-скриншот из настрое IE: http://img134.imageshack.us/img134/7512/iefj9.png
Пришлось из 4 скринов собирать =)
P.S. Версия IE на всякий случай: 6.0.3790.3959
В принципе я им вообще не пользуюсь и если буду переставлять ОС я скорее всего предварительно удалю его из дистрибутива(кстати, как тогда быть при создании логов для этого раздела?)...
P.P.S. Кстати, можно логи сравнить с логами сделанными пол года назад, у меня тогда с beagle были проблемы: http://virusinfo.info/showthread.php?t=14828
систему я не переставлял, особо сильно в системе по идее тоже не изменилось(ну несколько заплаток новых и пара софтин)...
-в старых логах тоже фигурируют очень похожие объекты
\SystemRoot\System32\Drivers\az59ahmt.SYS
\SystemRoot\System32\Drivers\arlh3k23.SYS
...нужно полагать, что это так DAEMON изголяется
-ну, а по поводу отсутствия надстройки WinView plugin C:\WINDOWS\system32\f_*.dll, думаю, тоже особо париться нечего, возможно это именно её Cure-It! прихлопнул...
Добавлено через 1 час 29 минут
-теперь немного об самом VNC Setup (vnc-E4_4_1-x86_x64_win32.exe)... это SFX CAB контейнер, содержащий два исполняемых модуля, вредоносный - explorer.exe и чистый - vnc-E4_4_1-x86_x64_win32.exe
-после распаковки контейнера запускается explorer.exe, стараниями которого и получаем IE-надстройку WinView plugin, которая в свою очередь помогает показать окошко 'System Error!'(ещё что-то и подгружать может), ну и наконец, скрывает всё это безобразие, порожденный всё тем же explorer.exe cmd-сценарий
:loop
del "C:\Documents and Settings\[USERNAME]\Local Settings\Temp\IXP001.TMP\explorer.exe"
if exist "C:\Documents and Settings\[USERNAME]\Local Settings\Temp\IXP001.TMP\explorer.exe" goto loop
del C:\DOCUME~1\[USERNAME]\LOCALS~1\Temp\dcp.cmd
...и уже только после этого запускается VNC Setup
P.S.-для того что бы безопасно установить RealVNC, достаточно распаковать SFX-архив в отдельную папку и удалить вредоносный - explorer.exe, и запустить желанный VNC Setup
Последний раз редактировалось Alex Plutoff; 28.06.2008 в 05:21.
Причина: Добавлено
-в старых логах тоже фигурируют очень похожие объекты
\SystemRoot\System32\Drivers\az59ahmt.SYS
\SystemRoot\System32\Drivers\arlh3k23.SYS
...нужно полагать, что это так DAEMON изголяется :)
В прицнипе вполне вероятно, что это действительно демонтулс изгаляется, но смысла я в этом не вижу, от чего он таким образом ныкается?
Сообщение от Alex Plutoff
-ну, а по поводу отсутствия надстройки WinView plugin C:\WINDOWS\system32\f_*.dll, думаю, тоже особо париться нечего, возможно это именно её Cure-It! прихлопнул...
Вероятно оно так и есть, Cure-It! убил только 1 файл, это была ДЛЛка, вот названия я, к сожалению, уже даже примерно вспомнить немогу...
Сообщение от Alex Plutoff
-теперь немного об самом VNC Setup (vnc-E4_4_1-x86_x64_win32.exe)... это SFX CAB контейнер, содержащий два исполняемых модуля, вредоносный - explorer.exe и чистый - vnc-E4_4_1-x86_x64_win32.exe
-после распаковки контейнера запускается explorer.exe, стараниями которого и получаем IE-надстройку WinView plugin, которая в свою очередь помогает показать окошко 'System Error!'(ещё что-то и подгружать может), ну и наконец, скрывает всё это безобразие, порожденный всё тем же explorer.exe cmd-сценарий...и уже только после этого запускается VNC Setup
P.S.-для того что бы безопасно установить RealVNC, достаточно распаковать SFX-архив в отдельную папку и удалить вредоносный - explorer.exe, и запустить желанный VNC Setup 8)
Ну после запуска зараженного файла он собственно только куша оперативку, пока я его не пребил, никакой установки он не запустил...
Спасибо, но я уже успел скачать такой же торрент, только без этого попапера(кстати у зараженного и чистого файла отличаются только небольшие куски в начале), ещё более новую версию с оф.сайта, заодно более старую бесплатную версию и версию от "ZWT" с кейгеном, если хотите могу прислать кейген, а вдруг в нём тоже сидит что-то?.. :)
Просканился RootkirRevealer'ом из Sysinternals Suite, он нашел 8 подозрительных записей в реестре > 12 KB <.
FileMon и RegMon, из того же Sysinternals Suite, за несколько минут работы, тоже не показали ничего особо бросающегося в глаза...
По поводу открытых портов, мне кажутся подозрительными:
Ещё попозже сниффером гляну что у меня на сетевых интэрфейсах творится... Сейчас там слишком много флуда от торрентов...
Эх... надо уходить под никсы... x_x
Проблема только в том, что некоторый софт будет очень проблематично заменить на никсовые аналоги и на освоение никсов уйдёт несколько месяцев, если не лет(под вендами я сижу уже больше 10 лет и до сих пор многого про них не знаю), да ещё моё полудохлое железо как-то странно себя ведёт под никсами... =\
Видимо пока придётся ограничиться очередной переустановкой системы, а так нехочется... =\
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: