-
Junior Member
- Вес репутации
- 59
Модификация Win32.Sector.5
Доброго времени суток.
Столкнулся с такой проблемкой: в пошареном ресурсе обнаружил такую вот фигню. Установлен корпоративный НОД32 (2.7 версия), определяет все .ехе как Win32/Sality.NAS. Др.Вэб определяет его как Модификация Win32.Sector.5. По всем симптомам похоже на действие обычного Сектора 5, однако утилитка CureIt отказывается его лечить, просто перемещая .ехе в карантин.
Я не ищу решения "как вылечить", по-етому пишу в этот раздел, интересует вопрос только "Как определить, откуда эта зараза ломится?".
Заранее благодарен, Skye.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 61
Локальная сеть/диски/дискеты/флешки/сайты/файлообменники
По воздуху точно не передается.
-
Если nod у вас корпоративный не проще ли администратора попросит полную проверку ПК в сети сделать?
Последний раз редактировалось zerocorporated; 18.08.2008 в 10:56.
-
-
Я не ищу решения "как вылечить", по-етому пишу в этот раздел, интересует вопрос только "Как определить, откуда эта зараза ломится?".
Возможно, я неверно понял Вашу проблему, поэтому прошу меня извинить, опишу ее так, как я ее понял. Если понял неверно - поправьте:
...на компьютере(ах) к которому(ым) Вы имеете какое-то отношение (допустим, это Ваш компьютер) появился файловый вирус, поражающий ЕХЕ-файлы. Антивирус нод 2.7 его лечить не может CureIt тоже.
Лечить Вы его, в принципе, не собираетесь, и подсказывать Вам как его лечить тоже не нужно. Нужно лишь помочь определить откуда этот вирус взялся на компьютере.
Так?..
Тогда выскажу свои пару мыслей по этому поводу:
1).
Посмотрите имя файла вот в этом месте реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List
(и тут поищите имя незнакомое (адрес))
Возможно это как-то упросит дальнейшие поиски.
2). Посмотрите имена файлов вот в этом разделе:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
Тоже может помочь...
3). В IE (и в других браузерах если они установлены и используются) посмотрите "Журнал", последние посещенные url, куки.
4). Проверьте все вставленные за последнее время в ПК сьемные накопители и др. (диски, флешки, внешние харды, дискеты и т.д)
5). Подумайте какие дыры в безопасности присутствуют в системе (комп+юзер) и предположите как через них мог проникнуть зловред.
и т.д...
надо подумать еще...
PS: извините за повторения - когда я начинал писать свой пост, других постов выше еще не было.
Последний раз редактировалось priv8v; 18.08.2008 в 11:01.
-
Если есть возможность, поделитесь экземпляром, туда - http://virusinfo.info/upload_virus.php?tid=28287
-
-
Если есть возможность, поделитесь экземпляром, туда
зараженным файлом или "прародителем" ?..
-
Сообщение от
priv8v
зараженным файлом или "прародителем" ?..
все что не жалко, а особенно тем, что определяется как "модификация"
Последний раз редактировалось Shu_b; 18.08.2008 в 13:46.
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
polimorf
Локальная сеть/диски/дискеты/флешки/сайты/файлообменники
По воздуху точно не передается.
Эм, да, похоже
Нужно лишь помочь определить откуда этот вирус взялся на компьютере.
Да, именно это и требуется.
zerocorporated, ставлю проверку всех машин по фильтру "ежедневно, после 17.00. Если машина выключена - при первом включении". Проблема имеется на одной машине с пошареным ресурсом. Доступ к ресурсу организован по принципу "Все-Только чтение, Администратор (домена) - полный".
Shu_b, никаких проблем, сейчас спакую пару файлов.
З.Ы. Система девственно чиста, поражен только пошареный ресурс. Повторюсь, проблема в том, как понять, с какого компа в ЛС оно лезет.
Добавлено через 11 минут
Хм. К сожалению не могу спаковать в "Zip" - формат. Точнее вообще не дает спаковать файлик "отказано в доступе". Другие способы?
Последний раз редактировалось Skye; 18.08.2008 в 11:49.
Причина: Добавлено
-
Skye, извините за то, что я стал давать Вам глупые советы ... я не обратил внимание на слово "пошаренные". Т.е я подумал, что заражена система целиком.
Т.е видимо речь идет про расшаренные ресурсы.
Повторюсь, проблема в том, как понять, с какого компа в ЛС оно лезет.
А фаер/сниффер/проверка других компов/полный запрет на запись/закрыть доступ вообще/экспериментально(оставлять включенными только штуки три компа (этот и еще два - и так прошарить всю сеть - с выключенных компов лезть никто т.к не может)
???
Хм. К сожалению не могу спаковать в "Zip" - формат. Точнее вообще не дает спаковать файлик "отказано в доступе". Другие способы?
просто затереть расширение ЕХЕ и написать там ZIP - у скрипта загрузчика наверняка нету проверки на истинность расширения.
Должно получиться.
Последний раз редактировалось priv8v; 18.08.2008 в 11:52.
Причина: Аналогично: добавлено
-
Junior Member
- Вес репутации
- 59
priv8v, тут есть множество проблем. Если я разверну фаервол на рабочем контроллере домена - мне надо будет н-ное время для его настройки (даже примитивного базового ZoneAlarm), а на это время прекратится раздача адресов, что будет критично для работоспособности предприятия. Предприятие работает по графику 24/7/12/365, то есть компы работают постоянно (минимум 20 штук), провести эксперименты не удается. =( Сейчас поменял права доступа на "Все- чтение, Администратор - чтение". Правда, сложно сказать, даст ли это эффект, ибо когда я ловил Салити.Б (просто Сектор.5), он проявлялся раз в 2-3 дня.
Добавлено через 6 минут
Код:
Файл сохранён как 080818_030504_Quarantine_48a92d30aeaa2.zip
Закачал. Это из Карантина др.Вэба.
Последний раз редактировалось Skye; 18.08.2008 в 12:06.
Причина: Добавлено
-
Антивирус Касперского детектирует данные файлы как Virus.Win32.Sality.v. Он же сумел их вылечить.
Добавлено через 13 минут
Сообщение от
Skye
проблема в том, как понять, с какого компа в ЛС оно лезет.
Читайте в справке Windows что такое "Аудит файлов и папок".
Последний раз редактировалось AndreyKa; 18.08.2008 в 12:54.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
AndreyKa
Антивирус Касперского детектирует данные файлы как Virus.Win32.Sality.v. Он же сумел их вылечить.
http://virusinfo.info/showthread.php?t=17668 тут описание аналогичной проблемы. Как я понял, решить ее не реально. К сожалению, не имею физической возможности поставить КАВ (лицензия, все такое).
Других советов, наверно, нет...
-
По описанию Sality.NAS/Sector.5 если запустился на системе заражает exe-файлы системы и доступные расшаренные диски, возможно и расшаренные ресурсы на других компах. Недавно была аналогичная ситуация. Файлы расшаренных ресурсов на машинах (присоединенные как диски), защищенных Нод32 2.7 были вылечены. Так же тройка Нода и CureIt (несколько недель назад) вылечивали зараженные файлы. Кстати, а общий ресурс защищен антивирусом, или это smb-раздел Линукс-машины для общего пользования?
---
т.е., если на всех машинах установлен Нод и есть сервер RAS, то через консоль RAC можно в логах увидеть, с какой машины был запуск. По идее, на данной машине должен сработать монитор, и возможно он срабатывает, но Sality "успевает" заразить расшаренные, незащищенные ресурсы. Как гипотеза.
Последний раз редактировалось santy; 18.08.2008 в 13:23.
-
-
Junior Member
- Вес репутации
- 59
Общий ресурс защищен тем же НОД32 (2.7). Нет, это Win2k Server sp4 со всеми обновлениями. Нод по-прежнему лечить отказывается, как и CureIt.
Настроил политику аудита на папку. Жду.
-
т.е. он прибивает эти файлы и все? или вообще не реагирует на заражение файлов общего ресурса?
---
Skye, можно у вас попросить несколько зараженных файлов из карантина?
Последний раз редактировалось santy; 18.08.2008 в 13:52.
-
-
Junior Member
- Вес репутации
- 59
Да. Оба запихивают все пораженные "*.ехе" в карантин.
-
Junior Member
- Вес репутации
- 59
день добрый !
в тему:
обнаружил вирус - детектируется DrWeb как "Модификация Win32.Sector.5 ", но ни Касперский, ни Nod32 ничего не находят....
проверка файла через VirusTotal показала что из 36 антивирусов опознают эту гадость только 7
http://www.virustotal.com/ru/analisi...ede868f15b322a
отправил файл в пятницу в Касперский - пока ноль....
-
Сообщение от
santy
По описанию Sality.NAS/Sector.5 если запустился на системе заражает exe-файлы системы и доступные расшаренные диски, возможно и расшаренные ресурсы на других компах. Недавно была аналогичная ситуация. Файлы расшаренных ресурсов на машинах (присоединенные как диски), защищенных Нод32 2.7 были вылечены. Так же тройка Нода и CureIt (несколько недель назад) вылечивали зараженные файлы.
Фишка в том, что это не "Sector.5", а "модификация Sector.5". То есть этот вирус очень похож на "Sector.5", но точно не он. Поэтому модификацию лечить нельзя...
-
я не знаю, что у вас за организация, но в гос. организациях все проще - при обнаружении заражения файлов все компы отключать от сети и начинать действовать.
попробуйте найти откуда все пошло - прогоните авптулом все компы, например....
-
Сообщение от
evglap
обнаружил вирус - детектируется DrWeb как "Модификация Win32.Sector.5 ", но ни Касперский, ни Nod32 ничего не находят....
проверка файла через VirusTotal показала что из 36 антивирусов опознают эту гадость только 7
http://www.virustotal.com/ru/analisi...ede868f15b322a
К сожалению, эти Секторы мутируют. Причем достаточно активно. Образцы, которые я засылал Доктору, теперь детектятся как Win32.Sector.9, в базах уже есть Win32.Sector.10, говорят, что на подходе Win32.Sector.11...
Добавлено через 3 минуты
Сообщение от
priv8v
при обнаружении заражения файлов все компы отключать от сети и начинать действовать.
+1. С Сектором и ему подобными - только так. Иначе бороться бесполезно, он восстанавливается, как Феникс...
Последний раз редактировалось borka; 18.08.2008 в 14:16.
Причина: Добавлено
---
С уважением,
Borka.