eKAV, sdra64 - через какую дыру идет заражение?

[westward]

Здравствуйте!

В последние недели много проблем с различными модификациями СМС-вымогателей. В нескольких последних случаях были найдены и убиты модификации sdra64.exe в windows\system32 или, если пользователь работал с ограниченными правами, в user\Application Data.

Сообщений "помогите" и советов по лечению компьютеров в интернет более чем достаточно. Мне очень хочется знать, как эта гадость попадает в систему, способ заражения. MSIE8, Opera10, Adobe PDF plugin, Java plugin, Flash plugin - кто виноват, какую дыру по возможности нужно закрыть?

Вчера специально начал щелкать порностраницы. Opera 10.10, Avast, Adobe Flash плейер обновлялся... ну за последние 30 дней точно, Adobe Reader - не уверен когда именно. Через какое-то время заметил странности в поведении системы, запустил autoruns - sdra64.exe в system32 и неконкретные предупреждения о скрытии процессов в avz.

Знакомые получили подобный вирус через MSIE8, какой-либо конкретики, как они его хапнули, выяснить не удалось.

Общее между мной и знакомыми - WinXP SP3 , Adobe Flash и Adobe PDF плагины. Но гадать можно долго, а на этом форуме собрались специалисты. Если можно, ответьте - буду признателен.

С уважением!

[Kuzz]

MSIE8, Opera10, Adobe PDF plugin, Java plugin, Flash plugin - кто виноват

Любое из необновленных (а бывает и полностью обновленных) приложений. Обычно для заражения используется связка сплоитов для распространенных "дыр"

[gjf]

Сталкивался с несколькими кейсами, где заражена была система со всеми обновлениями, кроме.... Adobe

[Макcим]

Не могу утверждать, но похоже уязвимостями ОС он тоже не брезгует. Был случай когда компьютер без firewall постоянно заражался.

[uuu99950]

Элементарно преодолевается.

Ваша ошибка в том, что Вы тратите свое всемя, пытаясь докопаться где на этот раз накосячила фирма Микрософт. Да она в 10.000-ах мест может накосячить.

У них столько специалистов в фирме, и изучают свои косяки уже столько лет - и то не могут понять. А Вы хотите в одиночку с ними сравниться.

Спасение - ставить софт сторонних производителей. Скачайте SSM-2 (System Safety Monitor)

Он будет при заражении вирусом - подробно задавать Вам ряд вопросов. Типа:

Файл sdjfhjfh.tmp пытается завести новый сервис "aerr25-4r" в системном реестре.
Разрешить ?

... Сервис "aerr25-4r" пытается загрузить неопознанный новый драйвер "pmor.sys"
Разрешить ?

И так далее. Кто не поставил себе диспетчер задач, такой как System Safety Monitor или Ghost Security Suite - тот просто живет как слепой.

Выглядит у вас на экране это так: антивирус ваш пропускает, а далее за долю секунды вирус инсталлирует себя, при этом из за отсутствия SSM-2 у вас на экране не появляется ни единого вопроса !

Представьте себе человека, который с завязанными глазами собрался переходить оживленную трассу ! Вот это ровно то, чем Вы сейчас занимаетесь.

А в SSM-2 можно еще и поставить фичи "Блокировать запись в ветку реестра APPinit_Dlls" и в "userinit"

то есть в данном случае, заблокировать те места, куда прописывает себя eKAV

На экране, для тех у кого стоит SSM-2, это выглядит так: сначала 15 вопросов, что пошагово вы хотите запретить ?

А потом, даже если вирус прописывает себя в эти места (а это возможно только если Вы собственными руками 15 раз ответили "Разрешить продолжать инсталлировать вирус")
то есть Вы - то через секунду всплывает окно SSM-2 с красной строчкой:

"Эти места реестра заблокированы пользователем. Все возвращено взад "
И записи из защищенных Вами мест системного реестра убираются за секунду.

Проще один раз увидеть на экране эффективные технологии, чем всю жизнь читать про уязвимости микрософт

[Kuzz]

Проще один раз увидеть на экране эффективные технологии, чем всю жизнь читать про уязвимости микрософт

Проще работать под юзером, чем ставить пицот "защищалок"

[Nerimash]

ограничения юзера обходятся более-менее грамотными вирусописателями, так же как и ограничения UAC.

[Kuzz]

Nerimash, да? Пример привести можете?
Так, чтобы под ограниченным юзером в системе с NTFS-ным системным диском что-то ставилось так, что потом и под админом система "заблокирована" и т.д.

[Юльча]

вопрос был об установке и работе вируса на ограниченной учетке..
а борьба с вирусом и влияние на другие учетки - отдельный вопрос
или не?

смс-вирус download master, неплохо ставится и работает под юзером
под админом система хотя и не блокирована но запускаемые файлы частично "заблокированы" шифрованием

[Kuzz]

вопрос был об установке и работе вируса на ограниченной учетке..

Не-ет))

ограничения юзера обходятся

Ограничения - это то, что операционная система не позволяет выполнить пользователю.

[Юльча]

не, ну как бы раз зашел разговор..

sdra64.exe у меня ставилась под ограниченной учеткой.. правда удалить эту "сдру" не составило проблем..

Ограничения - это то, что операционная система не позволяет выполнить пользователю.

угу, и насколько админ урезал учетку юзера чтобы ос не позволяла юзеру "лишнего": можно было ограничить на запись юзеру ключи реестра run и иже с ними )

вобщем на каждого грамотного вирусописателя продумавшего обход ограничений учетки, найдутся более-менее эффективные способы защиты..
и наоборот ))

[Kuzz]

можно было ограничить на запись юзеру ключи реестра run и иже с ними

Run-ов в системе не одно место:
есть общесистемный в HKML, запись в который разрешена только админу
есть пользовательский в HKCU. В него юзер может писать. Но и работает этот ключ только для юзера.

sdra64.exe у меня ставилась под ограниченной учеткой..

Куда? в %WINDIR%\system32 ?
А кто эт разрешил юзеру писать в системную папку?

[bolshoy kot]

Куда? в %WINDIR%\system32 ?
А кто эт разрешил юзеру писать в системную папку?

Скорее всего в "Application Data".
http://yandex.ru/yandsearch?text=app...20sdra64&lr=35

Добавлено через 4 минуты

Сталкивался с несколькими кейсами, где заражена была система со всеми обновлениями, кроме.... Adobe

В Adobe Reader-е дыр много.
У меня долгое время была версия 6, но подхватив Winlock (файл из именем из случайных пяти букв в папке Application Data, прописан в HKCU\Run как "winsock") (это было уже давно), поставил 9 и регулярно обновляю.
И главная дыра - это IE! Сам своими глазами видел (и открывал на виртуальном компьютере) страницу, которая установила на Windows XP SP2 Trojan.Winlock (C:\WINDOWS\media\sound.exe). Конечно, возможно, установив бы я все обновления, такого не произошла, но куда проще обновлять альтернативный браузер и программы-плагины (типа Adobe Reader), чем всю ОС - многие не используют Windows Update.

[timson]

ограничения юзера обходятся более-менее грамотными вирусописателями, так же как и ограничения UAC.

Nerimash, да? Пример привести можете?

а разве во время атаки эксплойтом уязвимой службы не перехватывается учетная запись SYSTEM, под которой собсно и прописывается руткит? если так, то уже становиться все равно админы вы или юзеры...

[Kuzz]

Скорее всего в "Application Data".

Так это и не обход ограничения.
Установка в AppData на других юзеров не влияет

а разве во время атаки эксплойтом уязвимой службы

Эксплоит - это действительно обход ограничения, но если вовремя ставить патчи...

[Юльча]

Скорее всего в "Application Data".

вы правы

В Adobe Reader-е дыр много.
У меня долгое время была версия 6, но подхватив Winlock (файл из именем из случайных пяти букв в папке Application Data, прописан в HKCU\Run как "winsock") (это было уже давно), поставил 9 и регулярно обновляю.
И главная дыра - это IE! Сам своими глазами видел (и открывал на виртуальном компьютере) страницу, которая установила на Windows XP SP2 Trojan.Winlock (C:\WINDOWS\media\sound.exe). Конечно, возможно, установив бы я все обновления, такого не произошла, но куда проще обновлять альтернативный браузер и программы-плагины (типа Adobe Reader), чем всю ОС - многие не используют Windows Update.

...не пойму, кого-то заставляют ставить этот монстроподобный adobe reader или есть какая-то особая необходимость?
по-моему выбор альтернативных pdf-просмотрщиков достаточно велик, можно что-то выбрать - foxit pdf reader, sumatra pdf (бесплатная, состоящая из одного exe-файла, русский в комплекте), PDFXViewer и др.

[Rucha]

...не пойму, кого-то заставляют ставить этот монстроподобный adobe reader или есть какая-то особая необходимость?
по-моему выбор альтернативных pdf-просмотрщиков достаточно велик, можно что-то выбрать - foxit pdf reader, sumatra pdf (бесплатная, состоящая из одного exe-файла, русский в комплекте), PDFXViewer и др.

Ни один альтернативный просмотрщик не поддреживает цветовые профайлы. Для людей с мониторами с широким цветовым охватом (а таких все больше и больше) это важно.

[Юльча]

Ни один альтернативный просмотрщик не поддреживает цветовые профайлы. Для людей с мониторами с широким цветовым охватом (а таких все больше и больше) это важно.

вы уверены что в большинстве случаев причина именно в этом?

по теме sdr'ы. когда sdra64 ставится под ограниченной учеткой возникает ключик вида

[HKEY_USERS\S-хх\Software\Microsoft\Windows\CurrentVersion\Run]
"userinit"="C:\\Documents and Settings\\User\\Application Data\\sdra64.exe"
"FileSystem"="C:\\WINDOWS\\system32\\f2e34b72.exe"

подскажите пожалуйста, что это за параметр такой FileSystem?


в гугл не отсылать, я только что оттуда)

[AndreyKa]

подскажите пожалуйста, что это за параметр такой FileSystem?

Это произвольное имя. Оно просто должно отличатся от уже имеющихся параметров в этом ключе.

[AndreyKa]

Запускает троян.