Система не тормозит, не проявляет подозрительной сетевой активности, антивирусы/антитрояны и прочие подобные средства не находят ничего подозрительного, кроме утилит, которыми я пользуюсь сам и которые не являются вирусами как таковыми, но я вижу подозрительный драйвер в памяти, без имени и без привязки к файлу на диске. Данный драйвер загружается и в безопасном режиме. При попытке сделать дамп памяти по адресу этого драйвера gmer-ом система (XP.sp3 легальная корпоративная) уходит в BSOD (PAGE_FAULT_IN_NONPAGED_AREA, STOP: 0x00000050), однако мне удалось сделать его дамп с помощью RootkitUnhooker-а, но полученный дамп на первый взгляд не выглядит подозрительным.
Кроме того, некоторые системные функции (NtCreateKey, NtCreateThread, NtDeleteKey, NtDeleteValueKey, NtLoadKey, NtOpenProcess, NtOpenThread, NtReplaceKey, NtRestoreKey, NtSetValueKey, NtTerminateProcess) перехвачены кем-то неопределенным, но указатели ведут не в тот драйвер, о котором я писал выше, а куда-то еще. В безопасном режиме эти хуки не установлены.
Вопрос в том, как выловить откуда грузится описанный выше драйвер и куда ведут хуки?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В логе gmer-а есть ссылки на устройства "\Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3" и "\Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e ", так вот, по крайней мере они создаются сдампленным мною драйвером, по всей видимости, т.к. в его теле я вижу шаблон этих имен. Но драйвер вы пока не просили, поэтому не высылаю. virusinfo_cure.zip выслал по ссылке из шапки.
Вообще, такой драйвер иногда попадается на различных компьютерах. Возможно, его появление связано с работой какого-либо ПО из числа установленных в системе.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Дамп выслал по ссылке из шапки. Возможно, что драйвер и вполне легальный, но методы его внедрения мне не нравятся. Да и перехваченные еще кем-то функции тоже.
Сегодня ко мне обратилась старая знакомая, работающая совсем в другом месте, говорит, что комп тормозит и глючит, подозревает вирусы, но разные антивирусы ничего не находят. Постоянно стоял NOD32, потом его снесли, поставили авиру, потом Symantec endpoint protection, но он конфликтовал с авирой, с ее слов, его тоже снесли. Я попросил ее установить свежий avz и запустить в безопасном режиме стандартные скрипты 2 и 3, потом прислать результаты мне. У меня тоже богатый опыт борьбы с неизвестными вирусами/троянами/червями. В итоге у нее обнаружился тот же самый не опознаваемый драйвер. Ничего общего в софте, кроме, пожалуй, офисных программ (MSO, WinRar, 1С и т.д.) да антивирусов (avira, avz) между компами нет. Логи с ее компа прилагаю (virusinfo_cure.zip пуст). Дамп драйвера с ее компа зашлю по ссылке из шапки. Дампы различаются, разумеется, из-за разной позиции в памяти, но основные сигнатуры общие. Сегодня она будет проверять домашний комп по всем правилам из этого раздела. Я пожалуй тоже проверю свои.
thyrex, смысла переделывать пока нет. Логи я привел только для того, чтобы показать, что данный драйвер запускается не только у меня, причем запускается и в безопасном режиме тоже.
Когда у вас в компе сидит неизвестный драйвер, работающий напрямую с дисковой подсистемой, не имеющий имени, непонятно откуда загружающийся, когда и как, загрузку которого не ловит avzpm, когда системные функции, отвечающие за работу с реестром и запуск и завершение процессов и нитей указывают в неизвестную область памяти, как бы не принадлежащую ни одному процессу, включая систему, то да, конечно же это не заражение, ага. Это просто Большой Брат следит за вами, все так и задумано. Понимаю.
Если серьезно, то это не ответ -- неизвестная причина. Простые зловреды я ловлю сам уже десяток с лишним лет. Часто попадаются вирусы, не определяемые даже самыми свежими антивирусами с самыми свежими базами и они обычно не представляют никакой сложности, ибо прошли те времена, когда вирусы внедрялись в тело исполняемых файлов, современные зловреды обычно очень легко и просто выцепить и обезвредить подручными средствами. Это первый случай, когда я обратился за помощью и конечно я рассчитывал на то, что ответы будут более квалифицированными.
Aleksandra, а что, собственно, вызывает вашу улыбку? Про то, что драйвера dump_WMILIB.sys и dump_atapi.sys являются частью системы, я знаю. Но первый драйвер в списке, который кстати совершенно некоректно назван в логах avz просто как ".sys" (по всей видимости avz по умолчанию добавляет это расширение всем драйверам), а на деле его имя состоит из пробельных символов, и про который я и говорил, что он вызывает мои подозрения, никакого отношения к ним не имеет. Если вы взглянете на упомянутые вами строки еще раз, то увидите, что хотя первые два драйвера имеют одинаковый размер в памяти (кратный размеру страницы), что встречается не столь уж и редко, но они имеют разные базовые адреса. Так что вы увидели такого, что вызвало вашу улыбку? Может там сказано откуда загружается данный драйвер и я это просто не заметил? Судя по тому, что вы процитировали и ответили, вы знаете откуда он грузится. Так может вы и мне это скажете?
Павел, вы читаете невнимательно. Во-первых, я далеко не новичок в работе с компьютерами (опыт работы -- 22 года), сам когда-то занимался низкоуровневым системным программированием, и давно уже работаю системным администратором в достаточно крупных компаниях, с обычными вирусами бороться умею без посторонней помощи. Во-вторых, я не прошу разбираться с тем компом. Я просто показал, что на совершенно другом компьютере, с другим набором ПО, установленным в другой организации, установлен тот же самый драйвер, т.е. это не такая уж и редкость. Вопрос в том, что это такое? На то, чтобы сидеть с ядерным отладчиком и дизассемблером у меня просто нет времени, а не навыков, поэтому я и выслал дампы драйвера профессионалам, как я считаю, в чьих прямых интересах не только рутинная борьба с тривиальными зловредами, но и с такими, которые заставляют наморщить мозг и могут представлять скрытую угрозу для многих компьютеров.
Добавлено через 29 минут
Aleksandra, в том-то и дело, что там не сказано ни откуда грузится этот драйвер, ни какое у него имя. Я это пытаюсь объяснить, это видно и в логах, но видимо лучше показать. Смотрите (первый в списке, выделен курсором):
Последний раз редактировалось ooptimum; 28.09.2009 в 15:46.
Причина: Добавлено
Вообще, такой драйвер иногда попадается на различных компьютерах. Возможно, его появление связано с работой какого-либо ПО из числа установленных в системе.
Вы оказались правы. У меня он загружается драйвером из состава Alcohol 120% (xxxxbus.sys), а у знакомой -- драйвером из состава Daemon Tools (up55bus.sys), похоже, что они пользуются одинаковыми драйверами. Выяснить это удалось при помощи утилиты Kernel Detective и ядерного отладчика. Так что можете занести это в свою базу знаний, если такая есть.
По поводу хуков ситуация очень странная -- они пропали сами-собой еще до того, как я выяснил кем загружается безымянный драйвер. Причем, ни от антивирусов и других аналогичных программ не поступало никаких сообщений о том, что кто-то обезврежен, ни я не делал ничего такого, что могло привести к такому эффекту. Так что, что это было -- я не знаю. Правда, у меня включено автоматическое обновление системы и возможно это как-то связано с этим -- например, обновился уязвимый компонент системы и зловред потерял доступ к компьютеру.
Уважаемый(ая) ooptimum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: