Показано с 1 по 7 из 7.

Ахтунг, спамбот!

  1. #1
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79

    Ахтунг, спамбот!

    Система WinXP Pro SP2 w/o updates. Недавно прогуливался по форумам и набрел-таки на WMF сплоит. Шеллкод отработал очень неплохо стоявший на страже каспер заорал благим матом на прописанную длл-ку, далее было произведено ее убийство ну и вроде как все успокоились...

    Ан нет! Через пару дней наблюдаю нехреновую сетевую активность (да, файрволов никаких не стоит). Через нетстат смотрим на подключения по 25-му порту и слегка охреневаем... далее, сканируем систему:

    Logfile of SystemStable v3.5.7
    Scan saved at 9:53:23, on 25.01.2006
    Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
    MSIE: Internet Explorer build 6.0.2900.2180

    [Run HKLM] [winsysupd] [C:\windows\winsysupd.exe]
    [Shell parameter changed] [Shell parameter changed] [explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"]
    [Riskware] [Service] [ckrpbqspkobztbt] [Packed, possible spyware (C:\DOCUME~1\root\LOCALS~1\Temp\CKRPBQSPKOBZTBT.ex e)]
    Первые две записи благополучно убились Касперским.

    Ну, в логе затесался еще временный файл от RootkitRevealer'a. Им же была выявлена маскировка ключа WinLogon'a (msctl32.dll) и дополнительного драйвера (i386p.sys). Тот и другой файл были невидимы на диске...

    АВЗ с включенными антируткитами молчала...

    Оффтопик: Олег, в менеджерах автозагрузки и т.д. УЖАСНЫЙ интерфейс! А список TCP/UDP connections просто безбожно глючит при отрисовке, уж не знаю почему...

    Проблему решила перезагрузка в безопасный режим. Уже только в нем при мануальной проверке были задетектены SpamTool.Win32.MailBot.k и .z по классификации Бородатого.

    Так что, сохраняем бдительность, товарищи! И помним, что любой антималварный продукт (в особенности KAV и AVZ) далеко не панацея.

    P.S. Сорри за несколько вольный стиль изложения Сей рассказ можно было бы много чем еще дополнить, но по некоторым соображениям я этого делать не стал... да и времени на исследование сабжа практически не было

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    Угу, как раз недавно заметил в другой теме маскировку. Насколько я понял i386p.sys этим занимается.
    А что бы таких приколов в будущем не проишодило запускай ИЕ через dropmyrights, или поставь програмку от rav. Обе отлично блокируют такие вещи.

  4. #3
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Использовалась Опера да и машина стояла за NAT'ом, поэтому на ней был проинсталлен только КАВ. И вот все равно спамбота подхватила

    Так что, резюмируя, перед выходом в инет - защищайтесь по максимуму

  5. #4
    Geser
    Guest
    Ну, Опера так Опера. Совет мой в силе остаётся

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    у нас было уже порядка 5 топиков, в которых фигурировал этот спамбот. во всех случаях мы обнаружили только i386.sys и msctl32.dll. но механизм (источник) появления этих файлов так обнаружен и не был. а это самое интересное.

  7. #6
    Junior Member Репутация
    Регистрация
    12.10.2005
    Сообщений
    1
    Вес репутации
    68
    2Geser можешь объяснить что за программа от rav и как запускать ИЕ через dropmyrights?

  8. #7
    Geser
    Guest
    Цитата Сообщение от Emty
    2Geser можешь объяснить что за программа от rav и как запускать ИЕ через dropmyrights?
    dropmyrights - http://virusinfo.info/showthread.php?t=2852
    DefenseWall - http://virusinfo.info/showthread.php?t=4222

Похожие темы

  1. Ахтунг --вирус
    От ASTART в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 22.02.2009, 03:38
  2. спамбот
    От Gaer в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 22.02.2009, 02:42
  3. Спамбот.
    От YuriJJ в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 07.11.2007, 04:11

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01137 seconds with 19 queries