-
Junior Member
- Вес репутации
- 67
Peace2P.exe
Взломали аську одного из контактов моего сотрудника. Прислали ссылку ( Trojan.MulDrop.3990), естественно, он не удержался, и нажал (соответствующая работа проведена, больше не будет... ), файлик был благополучно прибит из процессов (однако попытался что-то отослать - http://217.160.73.73/llgs/mail5.php), поиск стандартными методами (autoruns от SysInternal, поиск по знакомым ключикам реестра) ничего не дал. Решил доверить дело профессионалам...
Последний раз редактировалось AVE; 16.09.2007 в 15:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
AVE
поиск стандартными методами (autoruns от SysInternal, поиск по знакомым ключикам реестра) ничего не дал. Решил доверить дело профессионалам...
включите противодействие руткитам, поищите из AVZ и пришлите файлики:
SMAgent.exe
c:\winnt\system32\msnw32.dll
-
-
Junior Member
- Вес репутации
- 67
Сообщение от
MOCT
включите противодействие руткитам, поищите из AVZ и пришлите файлики:
SMAgent.exe
c:\winnt\system32\msnw32.dll
Противодействие руткитам включил, посканировал, с логином администратора AVZ ничего не нашел, с логином сотрудника (установлены права пользователя) режим противодействия руткитам не срабатывает, что вполне логично. Следуя действиям из "Приложения 2" правил, ввел названия именно так, как предложено Вами (SMAgent без путей, msnw32.dll с полным путем), AVZ ничего в карантин не положил. Однако поиск по диску файла SMAgent увенчался успехом, это "SoundMAX service agent component", прислал его руками, предварительно заархивировав (т.к. AVZ не смог), однако остались подозрения, что их может быть несколько, чуть позже, когда сотрудник закончит работу, выдерну винт и поищу эти файлы поиском по винту с другого компьютера (думаю, что тут уж руткит не справится ).
Снял галку с msnw32.dll в ShellObjectDelayLoad с помощью AVZ, после перезагрузки галка не появилась, чуть позднее прогоню все тесты еще раз и перевыложу логи, если это необходимо.
Вот результат загрузки файла:
Код:
Файл сохранён как SMAgent_44c85b4933fb6.zip
Размер файла 13765
MD5 d7f1144c3ef5cea1f4d4267e19dff0dd
P.S. Спасибо за оперативный ответ.
-
Сообщение от
AVE
Скорее всего это были пароли. Так что этому пользователю следует поменять все пароли (ICQ, почта и т.д.)
-
-
Сообщение от
AVE
однако остались подозрения, что их может быть несколько, чуть позже, когда сотрудник закончит работу, выдерну винт и поищу эти файлы поиском по винту с другого компьютера (думаю, что тут уж руткит не справится
).
да, все правильно. я тоже думаю, что их может быть парочка.
а проявления похожи на спамерский бот.
-
-
Junior Member
- Вес репутации
- 67
Выдернул винт, поглядел, вроде все нормально. SMAgent оказался безопасной вещью в 1 экземпляре - это компонент драйвера для встроенной звуковухи, можете заносить в безопасные. msnw32.dll так и не нашлась, но дальнейших появлений в логах не заметил. На каталог /miranda/ и его внутренности можно не обращать внимания, это клиент ICQ. Могу выслать файлы для отметки как безопасные по вашему требованию. Если все нормально, то топик можно и закрывать, большое спасибо за оперативность.
P.S. Да, конечно же, все пароли были заменены еще на стадии первичной проверки.
Последний раз редактировалось AVE; 16.09.2007 в 15:03.