информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetSpanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
 С наступающим 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Не знаю 14.12.09 09:44  Число просмотров: 4837
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
Сталкивался только на домашних нотерах, где юзера под админами работают.
Подозреваю что подцепили пока бродили по сети, возможно хотели что-то скачать, но перед скачиванием предлагали что-то установить
Пришла мысль, что пора советовать знакомым на семерку переходить - в ней UAC не допустит установку подобной заразы. Как минимум, предупредит о том, что происходит установка чего-то непонятного
<sysadmin>
iMax Download Manager 12.12.09 17:40  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 12.12.09 17:48  Количество правок: 1
<"чистая" ссылка>
Думаю многие уже столкнулись с подобным трояном. Подключив винт к другой системе убрать заразу несложно.
Собственно, вот как ее удалять без подключения винта:
1. Загрузиться с LiveCD (Infr@ BootCD, NervOS или Windows PE).
2. Запустить Regedite-PE (http://regeditpe.sourceforge.net/), указать диск с системой и подгрузить ветки реестра.
3. Запомнить значение AppInit_DLLs в HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Windows\, найти и потереть эту библиотеку на диске, а затем установить пустое значение ключа ""
4. Потереть файл в каталоге system32\sdra64.exe
5. Убрать ссылку на файл в ключе HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
После можно перегружаться в систему и контрольно пройтись антивирусом по диску, возможно будут найдены дубли удаленным библиотек.
А у кого-нить получилось побороть заразу из под зараженной системы? Ведь при запуске системы невозможно запустить ни один бинарник из-за того, что перед запуском подгружается троянская библиотека, которая вызывает запуск банера, а сам запускаемый бинарник выполнить не удается.
Пробовал переименовать explorer, вместо него подсунуть regedit и загрузиться в безопасном режиме. Но не учел, что троян прописывает запрет запуска regedit- возможно поэтому не получилось.
Я не знаю какая именно модификация там, но я делал следующим... 18.12.09 17:54  
Автор: TRESPASSER[CfK] Статус: Незарегистрированный пользователь
Отредактировано 18.12.09 18:11  Количество правок: 2
<"чистая" ссылка>
> Думаю многие уже столкнулись с подобным трояном. Подключив
> винт к другой системе убрать заразу несложно.
> Собственно, вот как ее удалять без подключения винта:
> 1. Загрузиться с LiveCD (Infr@ BootCD, NervOS или Windows
> PE).
> 2. Запустить Regedite-PE
> (http://regeditpe.sourceforge.net/), указать диск с
> системой и подгрузить ветки реестра.
> 3. Запомнить значение AppInit_DLLs в
> HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Window
> s NT\CurrentVersion\Windows\, найти и потереть эту
> библиотеку на диске, а затем установить пустое значение
> ключа ""
> 4. Потереть файл в каталоге system32\sdra64.exe
> 5. Убрать ссылку на файл в ключе
> HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Window
> s NT\CurrentVersion\Winlogon\UserInit
> После можно перегружаться в систему и контрольно пройтись
> антивирусом по диску, возможно будут найдены дубли
> удаленным библиотек.
> А у кого-нить получилось побороть заразу из под зараженной
> системы? Ведь при запуске системы невозможно запустить ни
> один бинарник из-за того, что перед запуском подгружается
> троянская библиотека, которая вызывает запуск банера, а сам
> запускаемый бинарник выполнить не удается.
> Пробовал переименовать explorer, вместо него подсунуть
> regedit и загрузиться в безопасном режиме. Но не учел, что
> троян прописывает запрет запуска regedit- возможно поэтому
> не получилось.

Я не знаю какая именно модификация там (у знакомых, и не одних уже такое пофиксил, баннер не на весь экран в моем случае), я делал следующим образом. (точнее отправил подруге файлы и она в тел.режиме сделала все что я ей сказал.)
Копируем на винт pskill + pslist предварительно добавив пару символов чтобы имя не оригинальное было.
Грузимся в безопасный режим с поддержкой командной строки.
pslist - смотрим пид/имя
pskill -t pid/ProcessName
Вуаля.
Малвара писалась в качестве параметра в
RegKey:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Value:
C:\WINDOWS\system32\userinit.exe.
где.имя тела.

Тело как обычно в темпе было.

Превентивные меры... не сидеть под админкой *<|=^p
PS -совсем забыл- если нету под рукой пслиста и пскилла... тогда tasklist + taskkill, они стандартные.
Не получится - ни один бинарь даже в безопасном режиме не грузится 21.12.09 10:15  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
то есть консоль тоже не грузится? 25.12.09 13:57  
Автор: TRESPASSER[CfK] Статус: Незарегистрированный пользователь
<"чистая" ссылка>
то есть консоль тоже не грузится?
утилиты консольные без гуи, насколько мне известно, блокируются только процессы с гуи.
pslist/pskill/cmd.exe помимо прочего импортируют функции user32.dll, так что при заявленном механизме подгрузки заразы также имеем полруки. У тебя был явно другой штамм :) 25.12.09 14:30  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 25.12.09 14:41  Количество правок: 5
<"чистая" ссылка>
Неа, не грузится. 25.12.09 14:02  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Переустановка винды поверх еще больше усугубляет проблему. Как уже сказали, катит только загрузка с другого носителя (установочного диска) в режиме консоли и подключение реестра убитой системы.
Подтверждаю - консоль не грузилась 25.12.09 16:25  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
При попытке ее запуска активировался баннер
Сказано же - противодействует запуску бинарников. Вопрос: как запустить tasklist? 19.12.09 15:39  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
Переименовать? 19.12.09 17:41  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Во что? В vbs? :) У меня не получилось 21.12.09 14:50  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
Ох#енно остроумно. 21.12.09 20:15  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Исполняемых файлов больше чем vbs, а кроме расширений у файлов еще и имена есть ;) Если зараза распознает открываемый файл по имени, то достаточно изменить имя.
Зараза распознает не имена файлов 22.12.09 10:12  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
Она активируется при запуске ЛЮБОГО запускаемого (.exe, .com) файла.
Угу. Не думаю, что очень сложно перехватить CreateProcess(Ex) и иже с ними, вися в винлогоне. 22.12.09 11:27  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 22.12.09 11:38  Количество правок: 1
<"чистая" ссылка>
Схема перехвата другая 22.12.09 16:18  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
Прописывается ключ реестра AppInit_DLLs (http://support.microsoft.com/kb/197571)

All the DLLs that are specified in this value are loaded by each Microsoft Windows-based application that is running in the current log on session.
Note This feature may not be available in future versions of the Windows operating system.

The AppInit DLLs are loaded by using the LoadLibrary() function during the DLL_PROCESS_ATTACH process of User32.dll. Therefore, executables that do not link with User32.dll do not load the AppInit DLLs. There are very few executables that do not link with User32.dll

Если я правильно понял, то есть возможность запустить бинари, которые не импортируют функции из user32.dll
Так от тож... но trespasser[cfk] как-то pslist и pskill запускал. может штамм другой был? 22.12.09 14:44  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Скорее всего, таких вымогателей много ща развелось :) 23.12.09 12:19  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
Ок, условия задачи вроде поставили, более того - сам с... 21.12.09 21:10  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> > Ведь при запуске системы невозможно запустить ни один бинарник из-за того, что перед запуском подгружается троянская библиотека, которая вызывает запуск банера, а сам запускаемый бинарник выполнить не удается
> Если зараза распознает открываемый файл по имени, то достаточно изменить имя.
Ок, условия задачи вроде поставили, более того - сам с подобным сталкивался: висит просьба денег в центре экрана, как называется - не помню, тупо не посмотрел, но запустить из-под зараженной машины что бы то ни было, в том числе sethc.exe путём долбления клавиши шифт не получилось (врядли вирь будет запрещать _прям именно_ его) - не слышал даже характерного бзыка из спикера. При этом цифры и буквы для введения кода работали исправно, машина не висела.
Возможно действительно говорю не именно об обсуждаемой заразе, опираюсь на слова исходного поста, так что сорри если задел кого.
Когда я предлагал переименовать по условию ) было известно что pslist и pskill запускаются... 22.12.09 10:09  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> > > Ведь при запуске системы невозможно запустить ни
> один бинарник из-за того, что перед запуском подгружается
> троянская библиотека, которая вызывает запуск банера, а сам
> запускаемый бинарник выполнить не удается
> > Если зараза распознает открываемый файл по имени, то
> достаточно изменить имя.
> Ок, условия задачи вроде поставили, более того - сам с
> подобным сталкивался: висит просьба денег в центре экрана,
> как называется - не помню, тупо не посмотрел, но запустить
> из-под зараженной машины что бы то ни было, в том числе
> sethc.exe путём долбления клавиши шифт не получилось
> (врядли вирь будет запрещать _прям именно_ его) - не слышал
> даже характерного бзыка из спикера. При этом цифры и буквы
> для введения кода работали исправно, машина не висела.
> Возможно действительно говорю не именно об обсуждаемой
> заразе, опираюсь на слова исходного поста, так что сорри
> если задел кого.
Боже упаси )
На РС с сильно устаревшим KAV вылечил после загрузки с... 17.12.09 12:18  
Автор: lazy_anty Статус: Member
<"чистая" ссылка>
> Думаю многие уже столкнулись с подобным трояном. Подключив
> винт к другой системе убрать заразу несложно.
> Собственно, вот как ее удалять без подключения винта:
На РС с сильно устаревшим KAV вылечил после загрузки с Winternals ERD После обновления Каспер узнал в нем Packed.Win32.Krap.w Вот описание и обсуждение лечения: http://virusinfo.info/showthread.php?t=62966
Кстати, Kaspersky Internet Security 2010 качает свой "LiveCD" (rescuecd.iso) и обновляет на нем базы 31.12.09 05:06  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
1  |  2  |  3 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach