Вчера, в 15:00 по гмт +2 подцепили в офисе малварь на машинку с нодом 2.7 с сайта ukr.net.
Зараза имитировала работу нового антивируса, показывала фейковый букет малвари, которую она нашла и предлагала удалить. Завершением процессов она ушла. Тут же, без ребута был заинстален смарт секьюрити 4, обновлен и прошла проверочка. После ребута все вроди чисто и опрятно, кроме стремных записей в авторане в реестре, что любезно давал смотреть AVZ. Пробовал удалять - они опять появляются. ComboFix вроди как исправил эту траблу частично. Далее на центральном мониторе появились варнинги, что писали, будто кто-то из запущеных процессов пытается ломиться на левые сайты. Хттп фильтр нода позволял блокировать эти запросы. Сайт, на которые ломился руткит:
и аналог на файл c5.exe
Сам нод находит и убивает c*.exe в случаях, когда он уже есть на машине, но руткит остается внутри.
Нетривиальность состоит в том, что ботоводы меняют загружаемую малварь очень активно, а руткит остается незамеченым.
Правила прочитал, приложил необходимые логи АВЗ и хайджек.
а теперь посмотрел на соседние темы. у нас стряслось нечто вроди http://virusinfo.info/showthread.php?t=52486
но автор той темы поздно отпостил. к тому времени мы уже ехали домой с работы. Возможно, он скачал новую версию псевдоантивируса, а мы уже заблокировали подозрительные ресурсы на уровне ipfw.
Соль в том, что описываемые им траблы были и у нас, но фишку с фейком антивируса уже порешили. нод просто не дает ему развернуться. Но руткит остался и он очень любит "патчить" свхостик, либо запускать его со своей библиотекой.
ЗЫ
вопрос на форуме эсета задал, но их форум, наверняка, под ддосом.
Последний раз редактировалось Rene-gad; 20.08.2009 в 15:13.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Удалите Bonjour.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог GMER
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: