Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

eKAV, sdra64 - через какую дыру идет заражение?

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2010
    Сообщений
    1
    Вес репутации
    30

    eKAV, sdra64 - через какую дыру идет заражение?

    Здравствуйте!

    В последние недели много проблем с различными модификациями СМС-вымогателей. В нескольких последних случаях были найдены и убиты модификации sdra64.exe в windows\system32 или, если пользователь работал с ограниченными правами, в user\Application Data.

    Сообщений "помогите" и советов по лечению компьютеров в интернет более чем достаточно. Мне очень хочется знать, как эта гадость попадает в систему, способ заражения. MSIE8, Opera10, Adobe PDF plugin, Java plugin, Flash plugin - кто виноват, какую дыру по возможности нужно закрыть?

    Вчера специально начал щелкать порностраницы. Opera 10.10, Avast, Adobe Flash плейер обновлялся... ну за последние 30 дней точно, Adobe Reader - не уверен когда именно. Через какое-то время заметил странности в поведении системы, запустил autoruns - sdra64.exe в system32 и неконкретные предупреждения о скрытии процессов в avz.

    Знакомые получили подобный вирус через MSIE8, какой-либо конкретики, как они его хапнули, выяснить не удалось.

    Общее между мной и знакомыми - WinXP SP3 , Adobe Flash и Adobe PDF плагины. Но гадать можно долго, а на этом форуме собрались специалисты. Если можно, ответьте - буду признателен.

    С уважением!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от westward Посмотреть сообщение
    MSIE8, Opera10, Adobe PDF plugin, Java plugin, Flash plugin - кто виноват
    Любое из необновленных (а бывает и полностью обновленных) приложений. Обычно для заражения используется связка сплоитов для распространенных "дыр"
    The worst foe lies within the self...

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    787
    Сталкивался с несколькими кейсами, где заражена была система со всеми обновлениями, кроме.... Adobe

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Не могу утверждать, но похоже уязвимостями ОС он тоже не брезгует. Был случай когда компьютер без firewall постоянно заражался.

  6. #5
    Banned Репутация
    Регистрация
    06.01.2010
    Сообщений
    26
    Вес репутации
    0
    Элементарно преодолевается.

    Ваша ошибка в том, что Вы тратите свое всемя, пытаясь докопаться где на этот раз накосячила фирма Микрософт. Да она в 10.000-ах мест может накосячить.

    У них столько специалистов в фирме, и изучают свои косяки уже столько лет - и то не могут понять. А Вы хотите в одиночку с ними сравниться.

    Спасение - ставить софт сторонних производителей. Скачайте SSM-2 (System Safety Monitor)

    Он будет при заражении вирусом - подробно задавать Вам ряд вопросов. Типа:

    Файл sdjfhjfh.tmp пытается завести новый сервис "aerr25-4r" в системном реестре.
    Разрешить ?

    ... Сервис "aerr25-4r" пытается загрузить неопознанный новый драйвер "pmor.sys"
    Разрешить ?

    И так далее. Кто не поставил себе диспетчер задач, такой как System Safety Monitor или Ghost Security Suite - тот просто живет как слепой.

    Выглядит у вас на экране это так: антивирус ваш пропускает, а далее за долю секунды вирус инсталлирует себя, при этом из за отсутствия SSM-2 у вас на экране не появляется ни единого вопроса !

    Представьте себе человека, который с завязанными глазами собрался переходить оживленную трассу ! Вот это ровно то, чем Вы сейчас занимаетесь.

    А в SSM-2 можно еще и поставить фичи "Блокировать запись в ветку реестра APPinit_Dlls" и в "userinit"

    то есть в данном случае, заблокировать те места, куда прописывает себя eKAV

    На экране, для тех у кого стоит SSM-2, это выглядит так: сначала 15 вопросов, что пошагово вы хотите запретить ?

    А потом, даже если вирус прописывает себя в эти места (а это возможно только если Вы собственными руками 15 раз ответили "Разрешить продолжать инсталлировать вирус")
    то есть Вы - то через секунду всплывает окно SSM-2 с красной строчкой:

    "Эти места реестра заблокированы пользователем. Все возвращено взад "
    И записи из защищенных Вами мест системного реестра убираются за секунду.

    Проще один раз увидеть на экране эффективные технологии, чем всю жизнь читать про уязвимости микрософт

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от uuu99950 Посмотреть сообщение
    Проще один раз увидеть на экране эффективные технологии, чем всю жизнь читать про уязвимости микрософт
    Проще работать под юзером, чем ставить пицот "защищалок"
    The worst foe lies within the self...

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nerimash
    Регистрация
    27.09.2009
    Адрес
    Ternopil
    Сообщений
    258
    Вес репутации
    134
    ограничения юзера обходятся более-менее грамотными вирусописателями, так же как и ограничения UAC.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Nerimash, да? Пример привести можете?
    Так, чтобы под ограниченным юзером в системе с NTFS-ным системным диском что-то ставилось так, что потом и под админом система "заблокирована" и т.д.
    The worst foe lies within the self...

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    361
    вопрос был об установке и работе вируса на ограниченной учетке..
    а борьба с вирусом и влияние на другие учетки - отдельный вопрос
    или не?

    смс-вирус download master, неплохо ставится и работает под юзером
    под админом система хотя и не блокирована но запускаемые файлы частично "заблокированы" шифрованием

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от Юльча Посмотреть сообщение
    вопрос был об установке и работе вируса на ограниченной учетке..
    Не-ет))
    Цитата Сообщение от Nerimash Посмотреть сообщение
    ограничения юзера обходятся
    Ограничения - это то, что операционная система не позволяет выполнить пользователю.
    The worst foe lies within the self...

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    361
    не, ну как бы раз зашел разговор..

    sdra64.exe у меня ставилась под ограниченной учеткой.. правда удалить эту "сдру" не составило проблем..
    Ограничения - это то, что операционная система не позволяет выполнить пользователю.
    угу, и насколько админ урезал учетку юзера чтобы ос не позволяла юзеру "лишнего": можно было ограничить на запись юзеру ключи реестра run и иже с ними )

    вобщем на каждого грамотного вирусописателя продумавшего обход ограничений учетки, найдутся более-менее эффективные способы защиты..
    и наоборот ))
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от Юльча Посмотреть сообщение
    можно было ограничить на запись юзеру ключи реестра run и иже с ними
    Run-ов в системе не одно место:
    есть общесистемный в HKML, запись в который разрешена только админу
    есть пользовательский в HKCU. В него юзер может писать. Но и работает этот ключ только для юзера.


    Цитата Сообщение от Юльча Посмотреть сообщение
    sdra64.exe у меня ставилась под ограниченной учеткой..
    Куда? в %WINDIR%\system32 ?
    А кто эт разрешил юзеру писать в системную папку?
    The worst foe lies within the self...

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    112
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Куда? в %WINDIR%\system32 ?
    А кто эт разрешил юзеру писать в системную папку?
    Скорее всего в "Application Data".
    http://yandex.ru/yandsearch?text=app...20sdra64&lr=35

    Добавлено через 4 минуты

    Цитата Сообщение от gjf Посмотреть сообщение
    Сталкивался с несколькими кейсами, где заражена была система со всеми обновлениями, кроме.... Adobe
    В Adobe Reader-е дыр много.
    У меня долгое время была версия 6, но подхватив Winlock (файл из именем из случайных пяти букв в папке Application Data, прописан в HKCU\Run как "winsock") (это было уже давно), поставил 9 и регулярно обновляю.
    И главная дыра - это IE! Сам своими глазами видел (и открывал на виртуальном компьютере) страницу, которая установила на Windows XP SP2 Trojan.Winlock (C:\WINDOWS\media\sound.exe). Конечно, возможно, установив бы я все обновления, такого не произошла, но куда проще обновлять альтернативный браузер и программы-плагины (типа Adobe Reader), чем всю ОС - многие не используют Windows Update.
    Последний раз редактировалось bolshoy kot; 22.01.2010 в 22:39. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    13.01.2010
    Сообщений
    5
    Вес репутации
    30
    Цитата Сообщение от Nerimash Посмотреть сообщение
    ограничения юзера обходятся более-менее грамотными вирусописателями, так же как и ограничения UAC.
    Цитата Сообщение от Nerimash Посмотреть сообщение
    Nerimash, да? Пример привести можете?
    а разве во время атаки эксплойтом уязвимой службы не перехватывается учетная запись SYSTEM, под которой собсно и прописывается руткит? если так, то уже становиться все равно админы вы или юзеры...

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от bolshoy kot Посмотреть сообщение
    Скорее всего в "Application Data".
    Так это и не обход ограничения.
    Установка в AppData на других юзеров не влияет


    Цитата Сообщение от timson Посмотреть сообщение
    а разве во время атаки эксплойтом уязвимой службы
    Эксплоит - это действительно обход ограничения, но если вовремя ставить патчи...
    The worst foe lies within the self...

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    361
    Цитата Сообщение от bolshoy kot Посмотреть сообщение
    Скорее всего в "Application Data".
    вы правы


    Цитата Сообщение от bolshoy kot Посмотреть сообщение
    В Adobe Reader-е дыр много.
    У меня долгое время была версия 6, но подхватив Winlock (файл из именем из случайных пяти букв в папке Application Data, прописан в HKCU\Run как "winsock") (это было уже давно), поставил 9 и регулярно обновляю.
    И главная дыра - это IE! Сам своими глазами видел (и открывал на виртуальном компьютере) страницу, которая установила на Windows XP SP2 Trojan.Winlock (C:\WINDOWS\media\sound.exe). Конечно, возможно, установив бы я все обновления, такого не произошла, но куда проще обновлять альтернативный браузер и программы-плагины (типа Adobe Reader), чем всю ОС - многие не используют Windows Update.
    ...не пойму, кого-то заставляют ставить этот монстроподобный adobe reader или есть какая-то особая необходимость?
    по-моему выбор альтернативных pdf-просмотрщиков достаточно велик, можно что-то выбрать - foxit pdf reader, sumatra pdf (бесплатная, состоящая из одного exe-файла, русский в комплекте), PDFXViewer и др.
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  18. #17
    Junior Member Репутация
    Регистрация
    22.03.2009
    Сообщений
    4
    Вес репутации
    33
    Цитата Сообщение от Юльча Посмотреть сообщение
    ...не пойму, кого-то заставляют ставить этот монстроподобный adobe reader или есть какая-то особая необходимость?
    по-моему выбор альтернативных pdf-просмотрщиков достаточно велик, можно что-то выбрать - foxit pdf reader, sumatra pdf (бесплатная, состоящая из одного exe-файла, русский в комплекте), PDFXViewer и др.
    Ни один альтернативный просмотрщик не поддреживает цветовые профайлы. Для людей с мониторами с широким цветовым охватом (а таких все больше и больше) это важно.

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    361
    Цитата Сообщение от Rucha Посмотреть сообщение
    Ни один альтернативный просмотрщик не поддреживает цветовые профайлы. Для людей с мониторами с широким цветовым охватом (а таких все больше и больше) это важно.
    вы уверены что в большинстве случаев причина именно в этом?

    по теме sdr'ы. когда sdra64 ставится под ограниченной учеткой возникает ключик вида
    [HKEY_USERS\S-хх\Software\Microsoft\Windows\CurrentVersion\Run]
    "userinit"="C:\\Documents and Settings\\User\\Application Data\\sdra64.exe"
    "FileSystem"="C:\\WINDOWS\\system32\\f2e34b72.exe"
    подскажите пожалуйста, что это за параметр такой FileSystem?


    в гугл не отсылать, я только что оттуда)
    Последний раз редактировалось Юльча; 09.03.2010 в 11:12.
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Юльча Посмотреть сообщение
    подскажите пожалуйста, что это за параметр такой FileSystem?
    Это произвольное имя. Оно просто должно отличатся от уже имеющихся параметров в этом ключе.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Запускает троян.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Идет постоянное заражение (заявка №26995)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 16.08.2010, 17:00
  2. Киберпреступники атакуют через "дыру" в продуктах Adobe
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 26.02.2009, 14:00
  3. идет спам через 25 порт
    От Dron696 в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 11.06.2008, 16:02
  4. Ответов: 10
    Последнее сообщение: 05.10.2007, 14:49

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00993 seconds with 16 queries