Перейти к содержанию
Dmitr_M

Вирус требует отправить смс

Recommended Posts

Dmitr_M

940225.jpg

программы не запускаются, диспетчер задач тоже. Можно ли как нибудь от этого избавиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
...

программы не запускаются, диспетчер задач тоже. Можно ли как нибудь от этого избавиться?

Проверьте, пожалуйста, наблюдается ли такая картина, если загрузиться в Безопасном режиме (F8 при старте Windows)? Если нет, то сделайте, пожалуйста, лог программы HijackThis (кнопка Do a system scan and save a log file) и полученный лог прикрепите здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
в безопасном режиме тоже самое... :(

Тогда имеет смысл загрузиться с LiveCD (того же Dr.Web Live CD) и просканировать им диски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

загрузился с Dr.Web Live CD. Дальше просто запускать сканнер и ждать? обновлять его не надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
загрузился с Dr.Web Live CD. Дальше просто запускать сканнер и ждать? обновлять его не надо?

Обновить базы и запустить сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

запустил сканирование без обновления, не могу понять как интернет настроить. Что то долго очень сканирует уже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
запустил сканирование без обновления, не могу понять как интернет настроить. Что то долго очень сканирует уже

Есть рез-ты сканирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

теперь виндоус не запускается... черный экран и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
теперь виндоус не запускается... черный экран и все

Лихо, однако!... :(

При сканировании Dr.Web LiveCD были ли обнаружены вредоносные объекты? Загружается ли компьютер в Безопасном режиме?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

При сканировании было что то обнаружено. Потом запустил виндоус, а там черный экран только с мышкой. В безопасном режиме тоже черный экран, только написано безопасный режим по бокам. Через LiveCD скопировал все, отформатировал жесткий диск и переустановил виндоус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
При сканировании было что то обнаружено. Потом запустил виндоус, а там черный экран только с мышкой. В безопасном режиме тоже черный экран, только написано безопасный режим по бокам. Через LiveCD скопировал все, отформатировал жесткий диск и переустановил виндоус.

Понятно. =/

Жаль, что не сохранились имена найденных объектов, можно было бы попробовать воспроизвести ситуацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Вчера несколько часов потратил на то, чтобы с одного заражённого компьютера dll добыть. Сейчас должны детектировать. Нашему сканеру запускаться даёт. А вот при попытке запустить многие утилиты, которые могут помочь в деле выковыривания этих сэмплов, они либо не запускались, либо компьютер отправлялся в шатдаун.

Вообще, особенностей много, это основная.

AVZ не запускается ни обычный, ни полиморфный. Hijackthis запускается переименованный, но если нажать кнопку, которая сканирует и показывает лог в Блокноте, то система после сканирования отправляется в шатдаун. Если провести только сканирование, можно видеть строчку типа такой:

O20: AppInit_DLLs: c:\Windows\system32\абракадабра.dll

Фиксить с помощью хайджека это не получается - при очередном сканировании видно, что прописывается новая dll (с новым сгенерированным именем).

Так что качайте свежий Dr.Web CureIt! и сканируйте. Там окно не на весь экран, а на тех полях, что остаются, вполне можно сканером рулить.

Правда, есть сведения, что CureIt! не запускается, я сам не пробовал. Пробовал обычный сканер, входящий в состав Dr.Web ES - работает.

Этот вчерашний геморрой аналитики добавили как Trojan.Winlock.514.

Был добавлен вчера около 17 вечера.

Если будет новая модификация, надеюсь, доступно объяснил, что делать.

Да, если у кого-то есть дроппер, выложите где-нить и дайте ссылку в личку. Ну, или дайте ссылку на страницу, откуда раздаётся. Если пострадавших много, может, кто-нибудь вспомнит, после какого сайта начало появляться окно. Спасибо.

P.S. Пострадавших на самом деле приличное количество:

http://search.otvet.mail.ru/?q=ubest+netspeed+pro

При сканировании было что то обнаружено.

Да, кстати. Припоминаю, что перед тем как заниматься этим компьютером, приходили сообщения от ES-сервера, что спайдер на этом компьютере находил куски этого винлокера. Но это ситуацию не спасало на тот момент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
O20: AppInit_DLLs: c:\Windows\system32\абракадабра.dll

А если прописать LoadAppInit_DLLs=0?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А если прописать LoadAppInit_DLLs=0?

Не знаю такого слова в этой букве. Где и как прописывается?

Кстати, в активном состоянии этой бяки Редактор реестра и Диспетчер задач блокируются.

Правда, можно создать reg-файл, конечно.

Если бяка не мониторит соответствующий ключ реестра (а может вполне), то может и сработать.

Ещё создаются временно exe-шники типа таких:

O4 - HKLM\..\Run: [708AF5] C:\WINDOWS\system32\CDB8A6\708AF5.EXE

(когда с LiveCD по dll-ки загрузился, папка CDB8A6 оказалась пустой).

upd. Нагуглил, где прописывается, вместе с другой интересной инфой:

For security reasons, Windows Vista does not support AppInit_DLLs, which is a registry key that specified a DLL to load into every process (a popular feature with spyware writers). The complete key is HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Instead, there’s a new key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs, which can only be set by administrator-level applications.

Правильно ли понял, что ключ LoadAppInit_DLLs появился только в Windows Vista?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Дроппер тоже нашёлся. Добавлен под тем же именем - Trojan.Winlock.514. Всем спасибо, все свободы. И берегите себя :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Есть линки с вирустотал?

Линки не сохраняю. Только в текстовике детект.

Файл bqag.dll получен 2009.12.02 12:56:05 (UTC)Результат: 7/40 (17.5%)Антивирус	 Версия	 Обновление	 Результатa-squared	4.5.0.43	2009.12.02	-AhnLab-V3	5.0.0.2	2009.12.02	-AntiVir	7.9.1.92	2009.12.02	-Antiy-AVL	2.0.3.7	2009.12.02	-Authentium	5.2.0.5	2009.12.02	-Avast	4.8.1351.0	2009.12.02	-AVG	8.5.0.426	2009.12.02	-BitDefender	7.2	2009.12.02	-CAT-QuickHeal	10.00	2009.12.02	-ClamAV	0.94.1	2009.12.02	-Comodo	3103	2009.12.01	Heur.Packed.UnknownDrWeb	5.0.0.12182	2009.12.02	-eSafe	7.0.17.0	2009.12.01	-eTrust-Vet	35.1.7152	2009.12.02	-F-Prot	4.5.1.85	2009.12.01	-F-Secure	9.0.15370.0	2009.11.29	-Fortinet	4.0.14.0	2009.12.02	-GData	19	2009.12.02	-Ikarus	T3.1.1.74.0	2009.12.02	-K7AntiVirus	7.10.906	2009.11.27	-Kaspersky	7.0.0.125	2009.12.02	-McAfee	5819	2009.12.01	-McAfee+Artemis	5819	2009.12.01	Artemis!4247DC236926McAfee-GW-Edition	6.8.5	2009.12.02	-Microsoft	1.5302	2009.12.02	-NOD32	4654	2009.12.02	-Norman	6.03.02	2009.12.02	-nProtect	2009.1.8.0	2009.12.02	-Panda	10.0.2.2	2009.12.02	-PCTools	7.0.3.5	2009.12.02	HeurEngine.MaliciousPackerPrevx	3.0	2009.12.02	Medium Risk MalwareRising	22.24.02.09	2009.12.02	-Sophos	4.48.0	2009.12.02	Sus/UnkPack-CSunbelt	3.2.1858.2	2009.12.02	Trojan.Win32.Bredolab.Gen.1 (v)Symantec	1.4.4.12	2009.12.02	Packed.Generic.269TheHacker	6.5.0.2.083	2009.12.01	-TrendMicro	9.100.0.1001	2009.12.02	-VBA32	3.12.12.0	2009.12.02	-ViRobot	2009.12.2.2068	2009.12.02	-VirusBuster	5.0.21.0	2009.12.01	-Дополнительная информацияFile size: 88608 bytesMD5...: 4247dc236926bdeac95ba9c33c3878b9SHA1..: 958d5e2ab998325fd75a1caaa15ebbc74f0704b8SHA256: 655e03ec7563a908d1e3364f803a6b7b6bbc00740e6aa6029a8f21c14c88f001
Файл mrgn3vzpxmpl.exe получен 2009.12.03 07:51:16 (UTC)Результат: 9/41 (21.96%)Антивирус	 Версия	 Обновление	 Результатa-squared	4.5.0.43	2009.12.03	-AhnLab-V3	5.0.0.2	2009.12.03	-AntiVir	7.9.1.92	2009.12.02	-Antiy-AVL	2.0.3.7	2009.12.03	-Authentium	5.2.0.5	2009.12.02	-Avast	4.8.1351.0	2009.12.03	-AVG	8.5.0.426	2009.12.02	SHeur2.BWFEBitDefender	7.2	2009.12.03	-CAT-QuickHeal	10.00	2009.12.03	(Suspicious) - DNAScanClamAV	0.94.1	2009.12.03	-Comodo	3103	2009.12.01	Heur.Packed.UnknownDrWeb	5.0.0.12182	2009.12.03	-eSafe	7.0.17.0	2009.12.02	-eTrust-Vet	35.1.7154	2009.12.03	Win32/Bredolab!genericF-Prot	4.5.1.85	2009.12.02	-F-Secure	9.0.15370.0	2009.12.03	Suspicious:W32/Malware!GeminiFortinet	4.0.14.0	2009.12.03	-GData	19	2009.12.03	-Ikarus	T3.1.1.74.0	2009.12.03	-Jiangmin	13.0.900	2009.12.02	-K7AntiVirus	7.10.910	2009.12.02	-Kaspersky	7.0.0.125	2009.12.03	Trojan.Win32.Obfuscated.aiunMcAfee	5819	2009.12.01	-McAfee+Artemis	5819	2009.12.01	Artemis!180E312FC93AMcAfee-GW-Edition	6.8.5	2009.12.03	-Microsoft	1.5302	2009.12.03	-NOD32	4656	2009.12.02	-Norman	6.03.02	2009.12.02	-nProtect	2009.1.8.0	2009.12.03	-Panda	10.0.2.2	2009.12.03	-PCTools	7.0.3.5	2009.12.03	-Prevx	3.0	2009.12.03	Medium Risk MalwareRising	22.24.03.03	2009.12.03	-Sophos	4.48.0	2009.12.03	Sus/UnkPack-CSunbelt	3.2.1858.2	2009.12.03	-Symantec	1.4.4.12	2009.12.03	-TheHacker	6.5.0.2.083	2009.12.01	-TrendMicro	9.100.0.1001	2009.12.03	-VBA32	3.12.12.0	2009.12.03	-ViRobot	2009.12.3.2069	2009.12.03	-VirusBuster	5.0.21.0	2009.12.02	-Дополнительная информацияFile size: 131584 bytesMD5...: 180e312fc93aacbea6bf9bf82ec12f0aSHA1..: fbd8fd550bf7bad4e7712ca70f9f3764a24113e6SHA256: 1b0030e3e170da78263ba0f06c5fedc3c06208af968ca7d86d935492386ab7ce

Это на момент, когда я обнаружил dll и, соответственно, дроппер.

К сожалению, по отзывам пользователей, данный винлокер ставился по крайней мере при активном КАВ/КИС, Dr.Web и NOD32.

По поводу последнего как раз повод задуматься, так ли спасает проактивка и так ли не нужно организовывать лечение.

Для таких вредоносных программ, как Trojan.Winlock в последнее время это может требоваться достаточно часто.

Как видим, эвристики сработали только на пакер.

Если б оно было незапакованное или запакованное новым типом пакера, то не было бы даже такого детекта.

Эвристик на такие программы настраивать весьма сложно, насколько понимаю.

На мой взгляд, здесь очень тонкая грань между винлокерами и легальными программами.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
upd. Нагуглил, где прописывается, вместе с другой интересной инфой:

Правильно ли понял, что ключ LoadAppInit_DLLs появился только в Windows Vista?

Неправильно. Это связка. В 7&2008R2 добавился ещё RequireSignedAppInit_DLLs.

LoadAppInit_DLLs (REG_DWORD) globally enables or disables AppInit_DLLs.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

dr_dizel, понятно, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
К сожалению, по отзывам пользователей, данный винлокер ставился по крайней мере при активном КАВ/КИС, Dr.Web и NOD32.

По поводу последнего как раз повод задуматься, так ли спасает проактивка и так ли не нужно организовывать лечение.

Для таких вредоносных программ, как Trojan.Winlock в последнее время это может требоваться достаточно часто.

Как видим, эвристики сработали только на пакер.

Если б оно было незапакованное или запакованное новым типом пакера, то не было бы даже такого детекта.

Эвристик на такие программы настраивать весьма сложно, насколько понимаю.

На мой взгляд, здесь очень тонкая грань между винлокерами и легальными программами.

Дак отправте в техподержку Исета и этим вы многим поможете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Дак отправте в техподержку Исета и этим вы многим поможете.

Кого куда отправить? Отправьте пострадавших пользователей НОДа в техподдержку НОДа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Кого куда отправить? Отправьте пострадавших пользователей НОДа в техподдержку НОДа.

Чтобы Исет детектил этот троян.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Чтобы Исет детектил этот троян.

MD5 я выложил. Думаю, несложно будет сэмплы найти. Кстати, virustotal.com вроде бы уже не спрашивая рассылает сэмплы вендорам, не так ли? Если честно, у меня не хватит времени, чтобы устраивать мир во всём мире. Пострадавших много, сэмплы без труда можно найти. Вендоров тоже много.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Правда, есть сведения, что CureIt! не запускается, я сам не пробовал.

не запускается, факт!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×