Подозрение на кейлоггер в системных бибилиотеках RPCLTC1.DLL WINSPOOL.DRV lz32.dll riched32.dll
Добрый день!
У меня есть два старых сервера работающих на WinNT (4.0.1381, Service Pack 6). Пол года назад я стал замечать , что они перезагружаются и появляются странные файлы в корне системного диска. Опытным путем я обнаружил, что кто-то (или что-то) смог подобрать пароли администратора к этим серверам и, видимо, использует их как боты. Тогда я проблему решил удалением этих "странных" файлов и установкой более сложных паролей.
Теперь я решил проверить системы с помощью AVZ.
Обычное сканирование с помощью кнопки "старт" выдало пару ошибок (см. картинки http://ljplus.ru/img4/w/a/wasapl/avz-on-winnt1.gifhttp://ljplus.ru/img4/w/a/wasapl/avz-on-winnt2.gif) (на обоих серверах), сканирование успешно завершилось и в логе я прочел следующее (на обоих серверах)
Код:
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINNT\system32\LZ32.dll --> Suspicion for Keylogger or Trojan DLL
C:\WINNT\system32\LZ32.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\WINNT\System32\winspool.drv --> Suspicion for Keylogger or Trojan DLL
C:\WINNT\System32\winspool.drv>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\WINNT\System32\rpcltc1.dll --> Suspicion for Keylogger or Trojan DLL
C:\WINNT\System32\rpcltc1.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\WINNT\System32\RICHED32.DLL --> Suspicion for Keylogger or Trojan DLL
C:\WINNT\System32\RICHED32.DLL>>> Behavioural analysis
Behaviour typical for keyloggers not detected
Проверив системы с помощью cureIt я обнаружил пять-десять (немного отличающиеся на серверах, но, логи, к сожалению, не сохранил) троянов и ботов. Однако, в список удаленных файлов не попали библиотеки, подозрительные для AVZ. Скопировав обычным far manager'ом эти файлы я проверил с помощью сервиса virustotal.com - ни один из антивирусов не детектирует опасность.
Теперь решил написать в "помогите!" и заново собрал все логи (для одного сервера).
Стоит ли мне опасаться этих подозрительных библиотек, или это "ложное" срабатывание эвристики AVZ?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: