информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?Все любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Мой компутер рассылает спам... @#$!!! Дожился -)))) 08.04.08 18:06  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Сразу после подключения к инету венда что-то скачивает. Потом антивирь говорит, что файло Vci05.sys is a trojan downloader. На что говорим "прибить". Прибивает. Потом запускается SVCHOST.EXE, стандартный, виндовозный. Без параметров. Новых служб не добавляется. И вот этот svchost.exe, сцукко, создаёт подключение на порт 1907 некоего хоста в инете. И начинает лезть на 25 всяких мыльных серваков...

Имя Локальный адрес Внешний адрес Состояние PID
TCP x.x.x.x:1051 208.72.169.244:1907 ESTABLISHED 3016
TCP x.x.x.x:1054 194.67.23.20:25 ESTABLISHED 0
TCP x.x.x.x:1055 72.14.215.27:25 TIME_WAIT 0
TCP x.x.x.x:1056 64.233.183.27:25 TIME_WAIT 0
TCP x.x.x.x:1062 216.157.145.27:25 TIME_WAIT 0

После прибития svchost.exe с PID по первому соединению вирусная активность прекращается. До ледующей перезагрузки.

Похоже, что-то сидит в ядре. Никто с таким не сталкивался?
Антивири даже при полном сканировании винта ничего плохого не говорят.
Заранее всем спасибо за советы.
Где лежит этот свцхвост? Правильный должен лежать в систем32. Также загрузись с ердкоммандера и запусти (с флехи) авторанс руссиновича. Похоже что то висит или в сервисах или нетлогоне. 09.04.08 11:56  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Также пройдись нодом со свежими базами с флехи (туда можно скопировать папку нода с чистого компа)
Свцхвост виндовозный, подписанный. Этот вирь запускает его как зомби для своих чёрных действий :) Ещё про этого виря: 09.04.08 13:28  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Основные признаки:
1) как уже сказал, создаётся svchost.exe, который лезет на 25 порты крупных мыловарен;
2) Постоянно мониторится значение ключа реестра HKLMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, значение там такое: C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, если убрать строку с ntos.exe, оно тут же появляется снова, причём файла этого в юзер моде не видно. Перехват апишных функций в ядре?
3) После подключения в инет антивирь может задетектить файл со случайным именем с расширением .sys
Был у меня такой вир. Там еще ИЕ в "качелях" - стартует один, затем запускает второй. Второй выгружает первый и запускает третий. Цепочку разорвал только загруз с ЕРД (или аналог) и переименовав (временно) исполняемый файл ИЕ. stfw ntos - много результ :) 09.04.08 14:00  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Причем запуск вира идет, вроде, сервисом.
Грузись с альтенативного диска с ВИН РЕ и чисть реестр. И Др вебом, если он умеет сканить без инсталяции.
О да, там целый зоопарк их был, всё вычистил... Остался последний -)) 09.04.08 15:10  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
А про ntos.exe я читал, там в советах рекомендуют изменить значение ключа, добавив что-нить к пути в этой строке, но это видимо новая модификация, если не находит "свой" путь, просто его ещё раз дописывает в конец, и совет с дописыванием не помог.
ntos.exe разные бывают... Лично мне на юзверьских машинах три встречалось. 09.04.08 22:44  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 09.04.08 22:47  Количество правок: 1
<"чистая" ссылка> <обсуждение закрыто>
Помогает профилактика - заставить работать пользователей максимум с правами "Опытные пользователи" и закрыть им возможность записи в ветки реестра HK__\Software\Microsoft\Windows\CurrentVersion\Run
и тому подобных.
+хороший антивирь.

Лечение:
Обычно легко лечаться ручками, если запускаются с ограниченными правами (User, Power Users). При этом, редактор реестра нужно запускать через run as с правами администратора. Затем ставиться запрет записи для Users, Power Users на ключ реестра, в котором вирь прописывает себя для запуска и спокойненько вычищается.
Я всё-таки вытащил эту гадость на свет, и убил её -)) 11.04.08 08:05  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Нашёл процесс, который постоянно мониторит значение userinit в реестре. Это был Winlogon. Ключ мониторился примерно 2 раза в секунду.
Нашёл поток в Winlogon'е, который постоянно проявлял подобную активнусть. Убил поток. Восстановил значение ключа. Перезагрузился. В папке System32 наконец-то объявился виновник торжества — ntos.exe.
Дрвеб с последними обновлениями его не видит.

Слава Руссиновичу с его ProcessExplorer'om! -))

Ща отошлю эту мерзость вирусологам.
Слышал, что 7 апреля вышла какая-то модификация троян-даунлоадера. Так что свежее обновление может помочь. 09.04.08 09:38  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.04.08 18:45  Количество правок: 2
<"чистая" ссылка> <обсуждение закрыто>
Точно это какой-то модифицированый.
На той такчке (в моем парке :-) похоже что-то подобное было. Я не стал так долго мучится - проклонировал с соседней тачки системный раздел, завел юзера, восстановил ему в зад "рабочий стол" и "мои документы". Тачки были почти одинаковые, но винда сразу не стартанула. Ничего, благо в сэйфмоде загрузилась, поменял драйвер ИДЕконтроллера на стандартный, дальше все как по маслу, саму машину еще переименовал в ее оригинальное (старое) имя. ГХОСТ еще глючил - не хотел на этот раздел клонировать, благо посекторная копия прошла (разделы были абсолютно одинаковые). Из-за этого больше получаса убил. Жаль в винде нельзя безболезненно проги вынести на отдельный раздел, при перестановки винды все равно переинсталять придется. А то было бы еще легче.
Нефиг работать под аккаунтом Администратора! 08.04.08 19:09   [HandleX, Heller, Den]
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Это ты разработчикам сред программирования скажи... 10.04.08 04:56  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 10.04.08 04:59  Количество правок: 1
<"чистая" ссылка> <обсуждение закрыто>
У меня Симатик иначе, как под ЛокалАдмином работать не желает, и, похоже, через это я че-то похожее уже словил... Причем, он, падла, ставит злодырявый IIS и как-то по-своему изжеванный Мелкомягкий SQL, юзает RPC и без них жить не может! Вот и объясните, как со всем этим букетом жить с
в Тырнете?
run as? 10.04.08 08:26  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
> У меня Симатик иначе, как под ЛокалАдмином работать не
> желает, и, похоже, через это я че-то похожее уже словил...

Что именно из Symantec?

> Причем, он, падла, ставит злодырявый IIS и как-то по-своему
> изжеванный Мелкомягкий SQL, юзает RPC и без них жить не
> может! Вот и объясните, как со всем этим букетом жить с
> в Тырнете?

Естественно, проги надо ставить под админом и желательно запускать установку через "run as..."
Чтобы разобраться надо время, а его нет - надо программировать и соправождать то, что уже написано. 11.04.08 05:21  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach