-
Ахтунг, спамбот!
Система WinXP Pro SP2 w/o updates. Недавно прогуливался по форумам и набрел-таки на WMF сплоит. Шеллкод отработал очень неплохо стоявший на страже каспер заорал благим матом на прописанную длл-ку, далее было произведено ее убийство ну и вроде как все успокоились...
Ан нет! Через пару дней наблюдаю нехреновую сетевую активность (да, файрволов никаких не стоит). Через нетстат смотрим на подключения по 25-му порту и слегка охреневаем... далее, сканируем систему:
Logfile of SystemStable v3.5.7
Scan saved at 9:53:23, on 25.01.2006
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer build 6.0.2900.2180
[Run HKLM] [winsysupd] [C:\windows\winsysupd.exe]
[Shell parameter changed] [Shell parameter changed] [explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"]
[Riskware] [Service] [ckrpbqspkobztbt] [Packed, possible spyware (C:\DOCUME~1\root\LOCALS~1\Temp\CKRPBQSPKOBZTBT.ex e)]
Первые две записи благополучно убились Касперским.
Ну, в логе затесался еще временный файл от RootkitRevealer'a. Им же была выявлена маскировка ключа WinLogon'a (msctl32.dll) и дополнительного драйвера (i386p.sys). Тот и другой файл были невидимы на диске...
АВЗ с включенными антируткитами молчала...
Оффтопик: Олег, в менеджерах автозагрузки и т.д. УЖАСНЫЙ интерфейс! А список TCP/UDP connections просто безбожно глючит при отрисовке, уж не знаю почему...
Проблему решила перезагрузка в безопасный режим. Уже только в нем при мануальной проверке были задетектены SpamTool.Win32.MailBot.k и .z по классификации Бородатого.
Так что, сохраняем бдительность, товарищи! И помним, что любой антималварный продукт (в особенности KAV и AVZ) далеко не панацея.
P.S. Сорри за несколько вольный стиль изложения Сей рассказ можно было бы много чем еще дополнить, но по некоторым соображениям я этого делать не стал... да и времени на исследование сабжа практически не было
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Угу, как раз недавно заметил в другой теме маскировку. Насколько я понял i386p.sys этим занимается.
А что бы таких приколов в будущем не проишодило запускай ИЕ через dropmyrights, или поставь програмку от rav. Обе отлично блокируют такие вещи.
-
-
Использовалась Опера да и машина стояла за NAT'ом, поэтому на ней был проинсталлен только КАВ. И вот все равно спамбота подхватила
Так что, резюмируя, перед выходом в инет - защищайтесь по максимуму
-
Ну, Опера так Опера. Совет мой в силе остаётся
-
-
у нас было уже порядка 5 топиков, в которых фигурировал этот спамбот. во всех случаях мы обнаружили только i386.sys и msctl32.dll. но механизм (источник) появления этих файлов так обнаружен и не был. а это самое интересное.
-
-
Junior Member
- Вес репутации
- 68
2Geser можешь объяснить что за программа от rav и как запускать ИЕ через dropmyrights?
-
Сообщение от
Emty
2Geser можешь объяснить что за программа от rav и как запускать ИЕ через dropmyrights?
dropmyrights - http://virusinfo.info/showthread.php?t=2852
DefenseWall - http://virusinfo.info/showthread.php?t=4222
-