информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Spanning Tree Protocol: недокументированное применениеГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Я всё-таки вытащил эту гадость на свет, и убил её -)) 11.04.08 08:05  Число просмотров: 1975
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Нашёл процесс, который постоянно мониторит значение userinit в реестре. Это был Winlogon. Ключ мониторился примерно 2 раза в секунду.
Нашёл поток в Winlogon'е, который постоянно проявлял подобную активнусть. Убил поток. Восстановил значение ключа. Перезагрузился. В папке System32 наконец-то объявился виновник торжества — ntos.exe.
Дрвеб с последними обновлениями его не видит.

Слава Руссиновичу с его ProcessExplorer'om! -))

Ща отошлю эту мерзость вирусологам.
<sysadmin>
Мой компутер рассылает спам... @#$!!! Дожился -)))) 08.04.08 18:06  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Сразу после подключения к инету венда что-то скачивает. Потом антивирь говорит, что файло Vci05.sys is a trojan downloader. На что говорим "прибить". Прибивает. Потом запускается SVCHOST.EXE, стандартный, виндовозный. Без параметров. Новых служб не добавляется. И вот этот svchost.exe, сцукко, создаёт подключение на порт 1907 некоего хоста в инете. И начинает лезть на 25 всяких мыльных серваков...

Имя Локальный адрес Внешний адрес Состояние PID
TCP x.x.x.x:1051 208.72.169.244:1907 ESTABLISHED 3016
TCP x.x.x.x:1054 194.67.23.20:25 ESTABLISHED 0
TCP x.x.x.x:1055 72.14.215.27:25 TIME_WAIT 0
TCP x.x.x.x:1056 64.233.183.27:25 TIME_WAIT 0
TCP x.x.x.x:1062 216.157.145.27:25 TIME_WAIT 0

После прибития svchost.exe с PID по первому соединению вирусная активность прекращается. До ледующей перезагрузки.

Похоже, что-то сидит в ядре. Никто с таким не сталкивался?
Антивири даже при полном сканировании винта ничего плохого не говорят.
Заранее всем спасибо за советы.
Где лежит этот свцхвост? Правильный должен лежать в систем32. Также загрузись с ердкоммандера и запусти (с флехи) авторанс руссиновича. Похоже что то висит или в сервисах или нетлогоне. 09.04.08 11:56  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Также пройдись нодом со свежими базами с флехи (туда можно скопировать папку нода с чистого компа)
Свцхвост виндовозный, подписанный. Этот вирь запускает его как зомби для своих чёрных действий :) Ещё про этого виря: 09.04.08 13:28  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Основные признаки:
1) как уже сказал, создаётся svchost.exe, который лезет на 25 порты крупных мыловарен;
2) Постоянно мониторится значение ключа реестра HKLMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, значение там такое: C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, если убрать строку с ntos.exe, оно тут же появляется снова, причём файла этого в юзер моде не видно. Перехват апишных функций в ядре?
3) После подключения в инет антивирь может задетектить файл со случайным именем с расширением .sys
Был у меня такой вир. Там еще ИЕ в "качелях" - стартует один, затем запускает второй. Второй выгружает первый и запускает третий. Цепочку разорвал только загруз с ЕРД (или аналог) и переименовав (временно) исполняемый файл ИЕ. stfw ntos - много результ :) 09.04.08 14:00  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Причем запуск вира идет, вроде, сервисом.
Грузись с альтенативного диска с ВИН РЕ и чисть реестр. И Др вебом, если он умеет сканить без инсталяции.
О да, там целый зоопарк их был, всё вычистил... Остался последний -)) 09.04.08 15:10  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
А про ntos.exe я читал, там в советах рекомендуют изменить значение ключа, добавив что-нить к пути в этой строке, но это видимо новая модификация, если не находит "свой" путь, просто его ещё раз дописывает в конец, и совет с дописыванием не помог.
ntos.exe разные бывают... Лично мне на юзверьских машинах три встречалось. 09.04.08 22:44  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 09.04.08 22:47  Количество правок: 1
<"чистая" ссылка> <обсуждение закрыто>
Помогает профилактика - заставить работать пользователей максимум с правами "Опытные пользователи" и закрыть им возможность записи в ветки реестра HK__\Software\Microsoft\Windows\CurrentVersion\Run
и тому подобных.
+хороший антивирь.

Лечение:
Обычно легко лечаться ручками, если запускаются с ограниченными правами (User, Power Users). При этом, редактор реестра нужно запускать через run as с правами администратора. Затем ставиться запрет записи для Users, Power Users на ключ реестра, в котором вирь прописывает себя для запуска и спокойненько вычищается.
Я всё-таки вытащил эту гадость на свет, и убил её -)) 11.04.08 08:05  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Нашёл процесс, который постоянно мониторит значение userinit в реестре. Это был Winlogon. Ключ мониторился примерно 2 раза в секунду.
Нашёл поток в Winlogon'е, который постоянно проявлял подобную активнусть. Убил поток. Восстановил значение ключа. Перезагрузился. В папке System32 наконец-то объявился виновник торжества — ntos.exe.
Дрвеб с последними обновлениями его не видит.

Слава Руссиновичу с его ProcessExplorer'om! -))

Ща отошлю эту мерзость вирусологам.
Слышал, что 7 апреля вышла какая-то модификация троян-даунлоадера. Так что свежее обновление может помочь. 09.04.08 09:38  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.04.08 18:45  Количество правок: 2
<"чистая" ссылка> <обсуждение закрыто>
Точно это какой-то модифицированый.
На той такчке (в моем парке :-) похоже что-то подобное было. Я не стал так долго мучится - проклонировал с соседней тачки системный раздел, завел юзера, восстановил ему в зад "рабочий стол" и "мои документы". Тачки были почти одинаковые, но винда сразу не стартанула. Ничего, благо в сэйфмоде загрузилась, поменял драйвер ИДЕконтроллера на стандартный, дальше все как по маслу, саму машину еще переименовал в ее оригинальное (старое) имя. ГХОСТ еще глючил - не хотел на этот раздел клонировать, благо посекторная копия прошла (разделы были абсолютно одинаковые). Из-за этого больше получаса убил. Жаль в винде нельзя безболезненно проги вынести на отдельный раздел, при перестановки винды все равно переинсталять придется. А то было бы еще легче.
Нефиг работать под аккаунтом Администратора! 08.04.08 19:09   [HandleX, Heller, Den]
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Это ты разработчикам сред программирования скажи... 10.04.08 04:56  
Автор: Zef <Alloo Zef> Статус: Elderman
Отредактировано 10.04.08 04:59  Количество правок: 1
<"чистая" ссылка> <обсуждение закрыто>
У меня Симатик иначе, как под ЛокалАдмином работать не желает, и, похоже, через это я че-то похожее уже словил... Причем, он, падла, ставит злодырявый IIS и как-то по-своему изжеванный Мелкомягкий SQL, юзает RPC и без них жить не может! Вот и объясните, как со всем этим букетом жить с
в Тырнете?
run as? 10.04.08 08:26  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
> У меня Симатик иначе, как под ЛокалАдмином работать не
> желает, и, похоже, через это я че-то похожее уже словил...

Что именно из Symantec?

> Причем, он, падла, ставит злодырявый IIS и как-то по-своему
> изжеванный Мелкомягкий SQL, юзает RPC и без них жить не
> может! Вот и объясните, как со всем этим букетом жить с
> в Тырнете?

Естественно, проги надо ставить под админом и желательно запускать установку через "run as..."
Чтобы разобраться надо время, а его нет - надо программировать и соправождать то, что уже написано. 11.04.08 05:21  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach