Новая тема   Ответить

 infest
A d u l t, с какого момента то?

 Sortunity
A d u l t писал:
спокойно. разлогинил я, посмотреть: ты ли это.

 SmoG
VESTAL писал:
+1 То же самое мне выдал. Процесс wuauclt.exe

Добавлено: Вру... процесс - services.exe

Последний раз редактировалось: SmoG (10/10/06 в 16:33), всего редактировалось 1 раз

 A d u l t
VESTAL писал:
Забыл добавить - данная ветка обязательно будет, если был запущен cure.reg - так как если комп не инфицирован, то вышеобозначенная ветка реестра создается.
VESTAL писал:
Это нормально
\BaseNamedObjects\SvcctrlStartEvent_A3752DX существует в services.exe на нормальных машинах.
Было бы ненормально, если бы что-то было найдено в процессе winlogon.exe

 VESTAL
SmoG писал:
точно высветилось это имя другим цветом, я запомнила, минуту спустя его уже нет, не вижу сейчас.
А вообще всё это дело действительно winlogon.exe-services.exe-wuauclt.exe

Последний раз редактировалось: VESTAL (10/10/06 в 16:36), всего редактировалось 1 раз

 A d u l t
SmoG писал:
В нашем случае опасный event - это SessionUpdateDoneEventA3752DX
SvcctrlStartEvent_A3752DX в services.exe неопасен.
Просто как-то глюкаво работает поиск по длинным строкам в Process Explorer. Поэтому я сказал искать короткую строку A37

 VESTAL
Ну значит всё чисто, больше ничего нет:-)
А вообще сам по себе антипионер вреден или нет, может я не успела ничего подхватить до него?
просто меня очень смущает найденный вчера wsp2update(2).* и особенно цифра 2 в имени, типа где то есть 1, но найти я его не могу

Последний раз редактировалось: VESTAL (10/10/06 в 16:42), всего редактировалось 1 раз

 A d u l t
VESTAL писал:
wuauclt.exe - это сервис Windows Update, который проверяет новые обновления на узле, и если они есть, выкачивает их. Этот процесс периодически то появляется в системе, то исчезает. Иногда может постоянно висеть. Иногда под этот процесс маскируются вирусы, но к нашей проблеме отношения не имеет. Наш загрузчик трояна работал как DLL, загружаемый процессом winlogon.exe

 SmoG
A d u l t писал:
Ну значит можно спать спокойно. Спасибо, Adult, успокоил параноика

 A d u l t
VESTAL писал:
Код антипионера был зашифрован EXEcypter'ом. В принципе мне удалось снять защиту, но на сколько полностью - я не уверен. С 90% вероятностью утверждаю, что антипионер делает следующее:
1. Кладет загрузчик трояна с модулем сокрытия в папку windows\system32.
2. Прописывает ключи реестра.
3. Врубает перезагрузку компьютера.

Может быть он делает еще что-то, но мне это найти не удалось.

 A d u l t
Мое видение событий

Задача злоумышленника была установить на компьютеры жертв загрузчик ядра трояна с сайта, после чего в нужный момент выложить само вредоносное ядро на сайт для достижения некой цели. После того, как ключи реестра и вредоносные файлы были обнаружены, злоумышленник предпринимает вторую попытку - добавляет в загрузчик функцию сокрытия ключей реестра и вредоносных файлов.
Поскольку на некоторых пораженных машинах еще оставался загрузчик, который грузил пока еще несуществующее ядро, то злоумышленник с определенного момента выложил в качестве ядра новую версию загрузчика с функцией сокрытия. Это было сделано для того, чтобы сокрылись ключи реестра и файлы на инфицированных машинах тех, кто заходил на masster, но не запускал antipioner.
Скорее всего общей задачей злоумышленника было инфицировать определенную аудиторию сайта загрузчиком, после чего в определенный момент выложить на сайте вредоносное ядро, которое совершило бы определенные действия. В такой ситуации жертвам не удалось бы установить, какие вредоносные действия были произведены на компьютере.
Есть вероятность того, что злоумышленник сдался по причине блокирования домена updates-microsoft.com, откуда грузилось ядро трояна. Поскольку домен был заблокирован во второй половине дня в понедельник, а топик "пионерский привет" был создан во вторник в 00:20 по Москве. Тоесть через несколько часов после блокирования домена.

 VESTAL
Вот ещё что- в хранилище Нода у меня вчера обнаружилось два новых вируса, по весу, один в один совпадающими с антипионером- этo DC25.exe - я вчера про него писала, что он самоудалился в карзину(причём антипионер был запущен 8 октября, а этот удалился спустя сутки-9 октября, и ещё кто-то писал что тоже нашёл такой), а также некий A0022120.exe (также тот же вес, что и у пионера) -он был в папке System Volume Information, в которую у меня почему то теперь нет доступа
Инфopмaция
AMON файл C:\System Volume Information\_restore{9B95298B-DA88-402B-8B93-27A7414678E7}\RP89\A0022120.exe
Пользователь- NT AUTHORITY\SYSTEM (я пользователь VESTAL-администратор) -Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe.
Пойман он был как то неожиданно, я вобще ничего не делала, вдруг появилось сообщение о вирусе
зы если нужно, могу их оба восстановить и выложить

 A d u l t
VESTAL писал:
Размер виндовых EXEшников и DLL кратен 4096 байтам.
Так что размеры вполне могли совпасть.

 VESTAL
И что это значит? Просто ещё кто то писал про этот DC25.exe (и всё это было вчера, то есть после запуска пионера, а не до)

 VESTAL
потёрто

Последний раз редактировалось: VESTAL (10/10/06 в 19:59), всего редактировалось 1 раз

 moniker4
Эхх, ну и как создавать новый раздел? Там только key, string value, binary value и т.д.

A d u l t писал:

 VESTAL
A d u l t писал:
так что всё нормуль, без паники!:-)))

 A d u l t
moniker4 писал:
Слева на разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
нажимаем правой кнопкой и выбираем Создать->Раздел

 moniker4
У меня аглицкая винда. Нет там "раздел".


A d u l t писал:

 A d u l t
moniker4 писал:
тогда самый первый элемент в появившемся контекстном меню

 moniker4
Ну создал Файлов которые ты упоминал в system32 не нашел. Письмо от массссстера открывал, на линк ходил, антипионера не запускал. Есть Агнитум Аутпост файрвол. Все connections филтьруются правилами. Ишаку разрешены только хттп и хттпс connections. Может это помогло незнаю.

Но вообще у меня сейчас параноя пиздец. Боюсь залогиниться в любой свой акк где-либо. Не могу работать. Просто **************.

До сих пор не дано достоверного способа:

1) Определения наличия трояна
2) Его удаления

Только какие то догадки. Заебался ждать уже когда кто то расставит все на свои места с технической точки зрения.

A d u l t писал:

 A d u l t
moniker4 писал:
1. На этой странице чуть выше способ определения с помощью Process Explorer'а
2. Процесс удаленияс помощью cure.reg на предыдущей странице.

 moniker4
Process Explorer тоже дряни не показал. Просто из твоих слов, я понимаю что ты не совсем уверен в своих рецептах. Но, все равно спасибо.

A d u l t писал:

 Tapakah2001
moniker4, Что значит "до сих пор не дано"? Тебе никто ничего не должен. Если тебя волнует вопрос трояна, просто сформати диск, и переставь винду. Вот самый простой и совершенно безотказный способ. Потом поменяй пароли и спи спокойно.

 A d u l t
moniker4 писал:
Вот тебе пример - ты подцепил троян, после чего прошелся по диску Нортоном, Каспером и НОДом. Кто-то из них что-то там нашел и удалил. Ты после этого уверен, что троян у тебя вычистился? Полностью я буду уверен, что троянов у тебя нет только после того, как ты мне принесешь свой системник и я его проверю.