Показано с 1 по 10 из 10.

Вирус MAIBANAN (заявка № 64265)

  1. #1
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    19
    Вес репутации
    30

    Thumbs up Вирус MAIBANAN

    Очень интересный вирус под названием MAIBANAN
    Очень навязчевый.

    Файл, присвоен системе как дривер:
    C:\WINDOWS\System32\Drivers\maibanan.sys

    Не могу открыть.

    NotePad: A device attached to the system is not functioning.


    AkelPad: Невозможно открыть файл.


    Viewrer: Файл не найден.


    Не могу удалить.

    Explorer: Error Deleting File or Folder: Cannot delete mailbanan: Cannot read from the source file ot disk.


    TtlCmdr: Нет доступа или файл уже используется.


    Unlocker: "Не найден блоирующий десскриптор". При попытке удалить - "Удаление объекта невозможно", даже при селдующей загрузки системы.


    Avast: Hidden services - Win32:Rootki-gen [Rtk]. При попытке удалить - ничего не происодит.


    AVPTool: Невозможно удалить при перезагрузке: Rootkit.Win32.Agent.aaba

    Регистр, создает невидимые или неразрешенные ключи:

    Вот невидемые:

    Код:
     
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\maibanan]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\maibanan]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maibanan]
    Regedit выдает: Error Opening Key:Cannot open maibanan: Error while opening key


    Удалить неудается даже утилитой RegDelNull


    А вот неразрешенные ключи:
    Код:
     
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN]
    "NextInstance"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN\0000]
    "Service"="maibanan"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="maibanan"
    "Capabilities"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN\0000\Control]
    "ActiveService"="maibanan"
     
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MAIBANAN]
    "NextInstance"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MAIBANAN\0000]
    "Service"="maibanan"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="maibanan"
    "Capabilities"=dword:00000000
     
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN]
    "NextInstance"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN\0000]
    "Service"="maibanan"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="maibanan"
    "Capabilities"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN\0000\Control]
    "ActiveService"="maibanan"
    Удалить удается после создания рарешений: Permissions... FullControl - Allow


    Но поевляется опяь после перезагруски компютера.


    Вирус отсылает по протоколу TCP спам на 25 порт разных, многих SMTP серверов.
    А также 12025 порт localhost
    Процесцы разные и невидемые. Иногда это - системный services.exe, а иногда - просто, пустая строка.

    Использует email спамлист. Вот пару адрессов:
    Код:
    office@italyline.ro
    office@isb.ro
    antb@vinamit.com
    antb@webservintl.net
    antb@tw-ins.com
    antaya@hoganapps.com
    antaylor@garnethill.com
    antaylor@galco.com
    antay@goelst.net
    c.morgan@furnituresystems.com.au
    c.morris@ntlworld.com
    c.morgan@morgan-motor.co.uk
    antaya@kamusen.org.tr
    cnoadcpzr@chance-it.com
    cno@chance.com
    cno@dvags.ru
    cno@emmausvandring.no
    Использует smtp лист. Вот пару адрессов:
    Код:
     
    mail-in.freeserve.com
    ppagent1.ad.uab.edu
    mail1.bluetie.com
    relay.bc.edu
    p2.nsm.ctmail.com
    mx01.mx-server.net
    server97.appriver.com
    server74.appriver.com
    82.1c.374a.static.theplanet.com
    188.132.196.200
    server41.appriver.com
    kr-inmail.lycos.co.kr
    mail.esat.ie
    wsip-98-174-84-46.ri.ri.cox.net
    sv121.visun.vn
    s6a1.psmtp.com
    mail1.garnethill.com
    email.phoenix.edu
    mail.emecmt.com
    smtp2.thementornetwork.com
    imss01.bes.com.tw
    p2.nsm.ctmail.com
    mail.bfsent.com 
    p2.nsm.ctmail.com
    Avast на высоком уровне email мониторинга находит:
    Код:
     
    There are too many identical e-mails in appointed time
     
    Sender:  VIAGRA © Online Shop <RandomUser@MyRealHost.MyRealDomain>
    Recipient:  <SpamUser>@<SpamDomain>
    Subject:  For <SpamUser> special 80% OFF on Pfizer
    Вот само сообщение:
    В нем много ссылок, но URL один:
    http://profiles.yahoo.com/blog/W45OUR2JTXH2YZ6GQJONUZYKTM
    или
    http://profiles.yahoo.com/u/W45OUR2JTXH2YZ6GQJONUZYKTM

    Если отключится от сети - спит себе спокойно.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\CAMTHWDM.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\maibanan.sys','');
     QuarantineFile('C:\WINDOWS\system32\LogonDll.dll','');
     DeleteFile('C:\WINDOWS\system32\Drivers\maibanan.sys');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\maibanan.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки пришлите попавшие в карантин файлы согласно правилам

    Сделайте новые логи + лог GMER (ссылка у меня в подписи)

  4. #3
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    19
    Вес репутации
    30
    1. Скрипт выполнен.
    2. После перезагруски все также.
    3. Карантин закачан.

    Код:
    Файл сохранён как 091218_201628_virus_4b2bb8ecb8c1a.zip 
    Размер файла 81116 
    MD5 e80c640700fe49097aca1af3aa78e889
    4. Буду делать новые логи и Gmer

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Сделайте новые логи + лог GMER (ссылка у меня в подписи)
    ...

  6. #5
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    19
    Вес репутации
    30

    Next

    Во время сканирования GMER на RootKit произошла китическая ошибка (синий экран).
    Не успел сохранить лог, но коечто запомнил:
    GMER в табе RootKit обнаружил maibanan в трех местах
    GMER в табе Services обнаружил service maibanan при BOOT загрузке.


    Перезагрузился комп.
    Не отссылается никакой спам. Всё тихо.
    Service maibanan - дезактивирован и позволяет удалять себя.

    Файл C:\WINDOWS\System32\Drivers\maibanan.sys стал нулевым [0 байт].
    И позволяет себя удалять без особого труда.
    Регистры остались но уже не скрытны:
    Вот они:
    Код:
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\maibanan]
    "Type"=dword:00000001
    "Start"=dword:00000004
    "ErrorControl"=dword:00000000
    "Group"="Boot Bus Extender"
    "e0p5kRmW6"=hex:33,f1,33,96,34,7a,90,2f
    "xYo8sW2l"=hex:50,99,19,32,3c,53,48,69,5a,51,a9,98,ee,ac,5a,e8,50,85,13,f8,b5,\
      b1,85,f5,5e,c1,2f,dd,80,3b,0d,5e,86,2b,89,9a,fb,f3,28,35,aa,34,be,46,82,0b,\
      c2,17,62,b2,04,93,51,36,fd,57,97,3e,ef,b2
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\maibanan\Enum]
    "0"="Root\\LEGACY_MAIBANAN\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\maibanan]
    "Type"=dword:00000001
    "Start"=dword:00000004
    "ErrorControl"=dword:00000000
    "Group"="Boot Bus Extender"
    "e0p5kRmW6"=hex:33,f1,33,96,34,7a,90,2f
    "xYo8sW2l"=hex:50,99,19,32,3c,53,48,69,5a,51,a9,98,ee,ac,5a,e8,50,85,13,f8,b5,\
      b1,85,f5,5e,c1,2f,dd,80,3b,0d,5e,86,2b,89,9a,fb,f3,28,35,aa,34,be,46,82,0b,\
      c2,17,62,b2,04,93,51,36,fd,57,97,3e,ef,b2
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maibanan]
    "Type"=dword:00000001
    "Start"=dword:00000004
    "ErrorControl"=dword:00000000
    "Group"="Boot Bus Extender"
    "e0p5kRmW6"=hex:33,f1,33,96,34,7a,90,2f
    "xYo8sW2l"=hex:50,99,19,32,3c,53,48,69,5a,51,a9,98,ee,ac,5a,e8,50,85,13,f8,b5,\
      b1,85,f5,5e,c1,2f,dd,80,3b,0d,5e,86,2b,89,9a,fb,f3,28,35,aa,34,be,46,82,0b,\
      c2,17,62,b2,04,93,51,36,fd,57,97,3e,ef,b2
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maibanan\Enum]
    "0"="Root\\LEGACY_MAIBANAN\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001
    
    
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN]
    "NextInstance"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN\0000]
    "Service"="maibanan"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="maibanan"
    "Capabilities"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN\0000\Control]
    "ActiveService"="maibanan"
     
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MAIBANAN]
    "NextInstance"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MAIBANAN\0000]
    "Service"="maibanan"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="maibanan"
    "Capabilities"=dword:00000000
     
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN]
    "NextInstance"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN\0000]
    "Service"="maibanan"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="maibanan"
    "Capabilities"=dword:00000000
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN\0000\Control]
    "ActiveService"="maibanan"
    Мой вопрос:
    Удалить процес сейчас?
    Удалить ключи сейчас?
    Удалить файл сейчас?
    Или для вас еще важны коекакие логи?
    Последний раз редактировалось y.xakep; 19.12.2009 в 00:48.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Сделайте новый лог virusinfo_syscheck.zip

  8. #7
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    19
    Вес репутации
    30

    Новые логи

    Новые логи:
    "Скрипт сбора информации для раздела "Помогите!" virusinfo.info"

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    В логах он больше не виден. Удаляйте

  10. #9
    Junior Member Репутация
    Регистрация
    18.12.2009
    Сообщений
    19
    Вес репутации
    30
    Удалил - [Излечено]
    Огромное спасибо Venus Doom.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) y.xakep, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01138 seconds with 15 queries