Только папки Карантин и Инфекция
если та что есть - то естественно
детектит тока "ругается" другими словами
(Нужно исключять из скана Веба)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Есть такой червь - maslan.b с User mode руткитом на борту. Так вот с ним существует одна бяка. Если включить avz guard и попытаться завершить маскируемые червем процессы в памяти через менеджер процессов AVZ, то AVZ выдает какой-то эррор (детали уже не помню), связанный с доступом к файлу и повторяет этот эррор после нажатия на cancel циклически. Т.е. ошибка висит постоянно пока работает менеджер процессов AVZ. А переключиться из менеджера процессов в главное окно AVZ уже нет возможности, как и нет возможности завершить работу менеджера процессов.
Такая ситуация бывала не только с maslan, но и с некоторыми вариантами haxdoor, разве что код ошибки вроде другой возникал...
Теперь к сути пожелания: было бы здорово в случае описанной выше проблемы иметь возможность переключиться в главное окно AVZ, чтобы отключить AVZ guard или иметь возможность это сделать другим образом (из встроенных в AVZ средств мониторинга). Ибо нет ничего хуже зависшего AVZ с включенным AVZ guard...сами понимаете - почему. Приходится перезагружаться и терять время, начиная все по новой.
Код ошибки могу точно посмотреть при случае, если есть в этом необходимость. Да и лог от пребывания червя в системе могу предоставить. Правда, не сразу.
Последний раз редактировалось XL; 27.08.2006 в 22:20.
Олег, господа буржуи очень просят ангельский хелп.
В частности, очень просит вот этот господин:
Mr. David H. Lipman
DLipman at Verizon.Net
David_H_Lipman at Yahoo.Com
(Знакомая фамилия, много раз приходилось видеть его посты в антиспайварных форумах)
=XL=
Это явный баг и его нужно отловить. maslan.b, на котором он проявляется, сохранился ? Если да, то тогда я могу воспроизвести ситуацию и поймать баг. Если нет, то полезно все остальное - код ошибки, логи ... to Alexey P.
Хелп в 4.20 будет включен, можно и раньше - я не против, если отдать и черновой вариант - он на нашем FTP лежит
Угу, насчет хелпа - спасибо, передал.
Этот баг точно есть на haxdoor, встречал на старых.
Сейчас стал пробовать на новом - он, гадюка, вообще закрывает всю AVZ при попытке выгрузить маскируемый процесс виндового explorer-а.
maslan на домашнем компе где-то валялся, пришлю! правда, он у меня в разобранном виде по-моему (уже проинсталенный в system32 в виде нескольких файлов), хотя могу ошибаться. Давно его уже у себя не культивировал. Тут админы на три дня нетбиосные порты между сегментами сети по недосмотру на циске нечаянно открыли, вот и понеслась дремавшая радость по городам и селам... =)
глупый вопрос в качестве оффтопа - а зачем Haxdoor'у маскировать виндусовый эксплорер?
А у него модуль троянский внедрен, плюс в винлогон нотифайером.
Код:
1. Searching for rootkits and programs that intercept API functions
1.1 Searching for user-mode API hooks
Analysis kernel32.dll, export table found in section .text
Analysis ntdll.dll, export table found in section .text
Function ntdll.dll:LdrLoadDll (70) intercepted, method APICodeHijack.JmpTo
Analysis user32.dll, export table found in section .text
Analysis advapi32.dll, export table found in section .text
Analysis ws2_32.dll, export table found in section .text
Analysis wininet.dll, export table found in section .text
Function wininet.dll:InternetConnectA (229) intercepted, method APICodeHijack.JmpTo
Analysis rasapi32.dll, export table found in section .text
Analysis urlmon.dll, export table found in section .text
Analysis netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver is successfully loaded
SDT found (RVA=082B80)
Kernel ntoskrnl.exe located in the memory at the address 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Function ZwCreateProcess (2F) intercepted (805B3543->F9DEB5D1), hook C:\WINDOWS\system32\seppgm.sys
Function ZwCreateProcessEx (30) intercepted (805885D3->F9DEB715), hook C:\WINDOWS\system32\seppgm.sys
Function ZwOpenProcess (7A) intercepted (8057459E->F9DEB356), hook C:\WINDOWS\system32\seppgm.sys
Function ZwOpenThread (80) intercepted (80597C0A->F9DEB2EB), hook C:\WINDOWS\system32\seppgm.sys
Function ZwQueryDirectoryFile (91) intercepted (80574DAD->F9DEB3CF), hook C:\WINDOWS\system32\seppgm.sys
Function ZwQuerySystemInformation (AD) intercepted (8057CC27->F9DEB977), hook C:\WINDOWS\system32\seppgm.sys
Functions checked: 284, intercepted: 6, restored: 0
>>>> Process masking is detected 1780 c:\windows\explorer.exe
2. Scanning the memory
Processes found: 19
Modules loaded: 204
Memory check completed
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors have been detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\seppgs.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\seppgs.dll>>> Behavioral analysis:
Typical for keyloggers behaviour is not registered
C:\Program Files\VMware\VMware Tools\hook.dll --> Suspicion for a Keylogger or Trojan DLL
C:\Program Files\VMware\VMware Tools\hook.dll>>> Behavioral analysis:
1. Reacts to events: keyboard, mouse, window events
C:\Program Files\VMware\VMware Tools\hook.dll>>> Neural network: file with probability 99.91% appears like a typical keyboard/mouse events trap
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hook DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
In the database 319 port description
Opened on this PC 7 TCP ports and 9 UDP ports
>>> Pay attention: Port 16661 TCP - Backdoor.Haxdor.o ()
VMware Tools\hook.dll - это и должно быть, остальное haxdoor-а работа.
Может я что-то пропустил, но мне не понятно почему при попытке выполнить скрипт, сформированные на странице "исследования системы" выдается ошибка типа:
---
Ошибка скрипта: Undeclared identifier: 'DeleteFile', позиция [4:12]
---
в том случае, если были заданны файлы для удаления. Например:
---
DeleteFile('c:\test.txt');
---
P.S. Кстати, пробежал глазами английский вариант справки AVZ. Там на странице General Information - Technical support как и в русском варианте говорится о разделе Помогите на этом сайте. То, что ссылка дана через слова "UNREGISTERED EVALUATION VERSION", наверное, получилось не нарочно. Но смогут ли в принципе англоязычные товарищи хотя-бы зарегестрироваться на сайте? Есть ли вообще смысл упоминать его в переводе?
Что-то не нашел - а удалить отложенным способом известные мне, но невидимые из поиска файлов в AVZ файлы никак нельзя ?
Как в Avenger-е - вводишь для него скрипт с указанием имен файлов, перезагружаешься и ладушки.
ЗЫ: Файлы для этого haxdoor я вижу в отчете adinf32, а вот удалить их из AVZ не могу. Видимо, надо Avenger.
Угу, насчет хелпа - спасибо, передал.
Этот баг точно есть на haxdoor, встречал на старых.
Сейчас стал пробовать на новом - он, гадюка, вообще закрывает всю AVZ при попытке выгрузить маскируемый процесс виндового explorer-а.
Да, я изучил новый Haxdoor - он детектирует AVZ и блокирует загрузку его драйвера. Плюс убиение процесса, пытающегося что-то сделать с маскируемыми процессами. Новый антируткит AVZ его давит без проблем, он войдет в версию 4.20. to AndreyKa
DeleteFile не поддерживается в 4.19, это мой недосмотр... Просто в генератор в HTML логе я внес эту команду, а в публичный скрипт-движок - забыл. А левая подпись на ссылке virusinfo - это кривизна сборки хелпа, я исправлю ее. Просто хелп собирался не мной, и применялась триальная версия редактора - вот отсюда и глюки
Что-то не нашел - а удалить отложенным способом известные мне, но невидимые из поиска файлов в AVZ файлы никак нельзя ?
Как в Avenger-е - вводишь для него скрипт с указанием имен файлов, перезагружаешься и ладушки.
ЗЫ: Файлы для этого haxdoor я вижу в отчете adinf32, а вот удалить их из AVZ не могу. Видимо, надо Avenger.
Можно - вставить файл в текстовое поле в диалоге выбора файла. Кстати, диалог отложенного удаления в 4.20 я перелаю - вместо системного диалога будет свой, с полем ввода любого умени файла вручную.
Немного юмора - AVZ, оказывается, умудряется собирать данные с GoldSpy на зараженной машине:
Код:
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\pasksa.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\pasksa.dll>>> Behavioral analysis:
Typical for keyloggers behaviour is not registered
C:\WINDOWS\system32\obbf115.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\obbf115.dll>>> Behavioral analysis:
1. Reacts to events: keyboard
2. Passes data to the process: 364 C:\avz4\avz.exe (window = "Antivirus utility. Zaytsev Oleg, 2003 -2006")
3. Works with the file: \\.\obbf117
4. Works with the file: c:\windows\system32\obbf115.dll
5. Works with the file: c:\windows\system32\drivers\dxr7.is49
6. Works with the file: c:\windows\system32\dx0.is49
7. Works with the file: c:\windows\system32\drivers\dxr8.is49
8. Works with the file: \\.\obbf117
9. Works with the file: c:\windows\system32\obbf115.dll
10. Works with the file: c:\windows\system32\drivers\dxr7.is49
11. Works with the file: c:\windows\system32\dx0.is49
12. Works with the file: c:\windows\system32\drivers\dxr8.is49
13. Determines the window that has the input focus
14. Polls the keyboard state
15. Polls active keyboard layout
16. Polls the key name
17. Determines ASCII codes by key codes
C:\WINDOWS\system32\obbf115.dll>>> Neural network: file with probability 1.65% appears like a typical keyboard/mouse events trap
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hook DLLs
Явно тырит награбленное у разбойников . Али-Баба.
Последний раз редактировалось Alexey P.; 29.08.2006 в 02:54.
Глюк АВЗ ? Исследовал ноутбук, нашёл вот этот руткит - http://virusinfo.info/showpost.php?p=78465&postcount=94
удалил, но остался странный модуль пространства ядра из прилагаемого avz_sysinfo - у него нет файла, нет имени, но есть длинна.
Это не остатки ли руткита?
Глюк АВЗ ? Исследовал ноутбук, нашёл вот этот руткит - http://virusinfo.info/showpost.php?p=78465&postcount=94
удалил, но остался странный модуль пространства ядра из прилагаемого avz_sysinfo - у него нет файла, нет имени, но есть длинна.
Это не остатки ли руткита?
Это который по базовому адресу F8704000, вместо имени прочерк, размер в памяти 98304 байт ? Да, это странный модуль - модуль в памяти есть, а имени у него нету ... (это длина занимаемой области памяти, а не файла на диске). Варианты такие:
1. Глюк AVZ
2. В списке видно два драйвера от StarForce - может, это они шалят
3. C:\WINDOWS\System32\drivers\EABFiltr.sys - тоже не понятно, что за зверь (клавиатурный фильтр ?)
4. В исследовании можно выбрать "показывать все службы и драйверы" - может быть, тогда всплывет информация о звере
Олег , я тут посмотреть решил ревизор диска твой . не работает . Создаёт файл , однако когда жмёшь на проверку , говорит ошибка , файла нет (указывает путь к файлу , но его не видит .)
Версия английская .4.19
Олег , я тут посмотреть решил ревизор диска твой . не работает . Создаёт файл , однако когда жмёшь на проверку , говорит ошибка , файла нет (указывает путь к файлу , но его не видит .)
Версия английская .4.19
Должен видеть - в поле File нужно указать полное имя FRZ файла (т.е. типа C:\avz4en\Revizor\2006-08-29.frz). Тогда все должно сработать ... (выбор файла производится при нажатии кнопки в поле ввода имени файла, по умолчанию в этом поле только путь по умолчанию)
Это который по базовому адресу F8704000, вместо имени прочерк, размер в памяти 98304 байт ? Да, это странный модуль - модуль в памяти есть, а имени у него нету ... (это длина занимаемой области памяти, а не файла на диске). Варианты такие:
1. Глюк AVZ
Нет, это не глюк, его все утилиты так "показывают". Это на самом деле драйвер atapi.sys (если мне не изменяет память).
3. C:\WINDOWS\System32\drivers\EABFiltr.sys - тоже не понятно, что за зверь (клавиатурный фильтр ?)
Ага, именно клавиатурный фильтр от какой-то из поставляемых вместе с ноутом утилит от HP (ведь речь идет о ноуте, насколько мне помнится?). Да, уточнил - действительно, это компонента утилиты 'Quick Launch Buttons'.
PS. Кстати, информацию о ...\System32\Drivers\dump_atapi.sys и ...\System32\Drivers\dump_WMILIB.SYS тоже, видимо, не стоит показывать пользователю в неопознанных "Модулях простанства ядра" - это ведь на самом деле ...\System32\Drivers\atapi.sys и ...\System32\Drivers\WMILIB.SYS соответственно.
Последний раз редактировалось aintrust; 29.08.2006 в 16:34.
aintrust, Олег - спасибо за разьяснения. Это, видимо, DaemonTools так блокирует atapi.sys ? Дома проверю на Алкоголь 120 %, может это так и есть.
А про dump_ драйверы - это полезное уточнение, тоже спасибо.