Про вирусы

[Павел Гарбар]

Коллеги!
У одного из моих клиентов завелся вирус, который блокирует HTTP и FTP доступ к некоторым антивирусным сайтам. Он не меняет файл hosts, как описывается почти во всех рекомендациях по устранению. Брандмауэры выключены или деисталлированы. 3 разных антивируса ничего не нашли. В реестре и файлах в каталогах Program Files и Windows явных ссылок на сайты типа www.kaspersky.ru, www.drweb.com, shop.ca.com нет.
Программ установлено много и сервисов запущено тоже порядочно, но сильно подозрительных я тоже не увидел.
Вопросы. Какой сервис может еще выступать в роли фильтра отдельных сайтов? Что это за зараза? И чем оно лечится, если лечится в принципе?

[Павел Гарбар]

Пока был у людей в офисе разными поисковиками на русском и английском языке, да еще и с разных компьютеров искал сходные симптомы и способы лечения. Лучшим результатом было "полечить испорченный файл hosts"
Пришел домой и теми же словами в тех же поисковиках поискал еще раз. На этот раз обрисовалась проблема с вирусов kido. И куда, спрашивается, смотрели поисковики два часа назад? Проблема-то оказывается не нова...
Но у меня опять появились вопросы - система XP ставилась с SP3, сразу накатавались обновления и ставился антивирус. Как оно пролезло? И почему его свежие антивирусники не видели, когдя я диск переставил в свежеустановленный комп и проверил?

[Михаил Григорьев]

Свежие антивирусы не видят, потому что они его просто не знают, вирус супер-новый видать попался. У меня такое было пару раз, один раз удалось отловить заразу и отправить в лабораторию DrWeb, второй раз пришлось ждать 4 дня пока этот вирус появится в антивирусных базах. Думаю проще всего подождать обновления антивирусных баз, как правило 3-4 дня, возможно антивирусные компании среагируют быстрее.
Либо пытаться отловить вирус вручную, к примеру попробовать утлиту AVZ и GMER

[Timur Kazimirov]

Свежие антивирусы не видят, потому что они его просто не знают, вирус супер-новый видать попался

Или наоборот - слишком старый. Неоднократно сталкивался с такой ситуацией - пролезла какая-то зараза, наши OfficeScan и McCafee ее благополучно пропустили, проверяешь бяку на www.virustotal.com - оказывается для ClamAV это знакомая вещь, роешь историю вирусяки и с удивлением обнаруживаешь, что еще полгода назад те же OfficeScan и McCafee ее отслеживали.

[Clericos]

Программ установлено много и сервисов запущено тоже порядочно, но сильно подозрительных я тоже не увидел.
Вопросы. Какой сервис может еще выступать в роли фильтра отдельных сайтов? Что это за зараза? И чем оно лечится, если лечится в принципе?

Пару раз сталкивался ст тем что зараза прописывала неправильные маршруты к антивирусным сайтам.
Посмотреть можно через

Код: Выделить всё

route print

Ну и неплохо было бы посмотреть

Код: Выделить всё

nslookup www.kaspersky.ru

и

Код: Выделить всё

tracert www.kaspersky.ru

[Павел Гарбар]

Утром съездил проверить - оказался не kido. По крайней мере kido killer от касперыча ничего не нашел, а до этого ночью отработал DrWeb - и тоже ничего.
Маршруты посмотрю в понедельник, а DNS в порядке - еще в прошлый раз проверил.

[Иван Иванов]

Попробуйте в командной строке выполнить netsh winsock reset И перезагрузить. На 98% вероятность покоцан tcp/ip.
Эта же функция есть в avz там на последней вкладке что-то типа поиск ошибок в lpi/spi и нужно поставить птичку на лечение но сначала нужно удалить тело вируса (если оно не удалено раньше).
И это... Касперским проверьте с максимальным уровнем защиты и дрвэб курэит. желательно с лайвсиди. Программы подобного типа некоторые антивирусы в упор не видят принципиально в случае если они не выполняют зловредного кода а только перенаправляют трафик.

[Павел Гарбар]

Это я уже проделывал.
А лечить уже не буду - поеду в понедельник сносить...
Надо только не забыть маршруты проверить.

[Андрей Старков]

уже может не важно, уже понедельник и Павел уже поехал сносить
но может пригодиться, если я не ошибаюсь Kido, это то что TrendMicro обзывает WORM_DOWNAD
вариации разные, но в общем случае прописывается как сервис, один из generic host process запускаемых svchost
алгоритм искоренения такой:
смотрим реестр HKLM\Software\Microsoft\WindowsNT\CurrentVersion\svchost\netsvcs - от машины к машине может чуть отличаться, но наметанный взгляд увидит. Если в списке после WmdmPmSN еще что то есть - скорее всего зараза - запоминаем это имя (бывает уже 2 а то и 3 разных) и ищем в реестре. везде где находим необходимо дать самому себе права - они убраны и безжалостно удаляем - при этом изучив параметры и узнав какие конкретно файлы отвечают за эти сервисы. так же записываем. Потом, загрузившись с MiniPE их удалим.

еще в реестре смотрим HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon - что там с шеллом и и параметрами запуска explorer.exe

вобщем лечится эта зараза даже просто ручками.

У меня OfficeScan эту фигню прибивает, но она живет у меня в сети. проблема в том что в логически одной сети несколько предприятий (привет РАО ЕЭС) и не все мне подконтрольны полностью. и не могу придумать как победить раз и навсегда полностью...

[Павел Гарбар]

Спасибо Clericos!
Посмотрел маршруты - да, много IP-Сетей (листа 3 на распечатке) были завернуты статическими маршутами в никуда.
Снес все и доступ к антивирусным сайтам восстановился.
С shell и svchost был порядок.

А теперь мои предположения.
Когда-то зараза проникла и испортила таблицу маршрутизации. Этого было незаметно, пока не понадобилось обновить свежеустановленный антивирус.
А заразу таки антивирус когда-то убил, поэтому ее и не находил ничем! Но след от нее остался в виде испорченной таблицы маршрутизации, которую антивирусы не лечат.

Компьютер решили не сносить, так как все остальное нормально работало.
Еще раз спасибо за наводку! А то я на станции как-то и не подумал маршруты проверить - все на серверах да на серверах
Одна голова - хорошо, а много - хороших голов - лучше!

[Timur Kazimirov]

если я не ошибаюсь Kido, это то что TrendMicro обзывает WORM_DOWNAD

А WORM_DOWNAD разве не Confliker?

У меня OfficeScan эту фигню прибивает, но она живет у меня в сети. проблема в том что в логически одной сети несколько предприятий (привет РАО ЕЭС) и не все мне подконтрольны полностью. и не могу придумать как победить раз и навсегда полностью...

Эта бяка распространяется через незакрытые дырки в системе. Конкретно - через MS08-065, MS08-067 и MS09-001. Поэтому выход один - разворачивать WSUS, или Patch Management, если имеется ZEN. Ну или, как вариант - качать проверялку с http://www.ptsecurity.ru, сканировать свои сети на предмет выявления компов с этими незакрытыми дырками и ручками ставить на них конкретные обновления (само собой, что в случае крупного предприятия - успех в чемпионате мира по легкой атлетике гарантирован).
Минус OfficeScan'а в данном случае в том, что смысла его ставить на машину, куда эта бяка уже просочилась, никакого (он эффектно определяет и пресекает только попытку заражения), а выявить зараженную машину очень сложно, особенно, если нет домена MS. В домене сам факт нахождения такой машины выявляется моментально , и очень выручает, если в сети стоит Management server, который тебе вовремя сообщит с какого компьютера блокируются доменные учетки...

[on-lite]

В LAN развернута WSUS, Антивирус в актуальном состоянии, маршруты не сбились, т.к. обновление антивируса через прокси(squid), прокся на линуксе и по моему маршруты никак не собьешь вирусами WinPE.
Посмотрев в ветку реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon в параметрах userinit.exe сидело что то лишнее, а именно C:\windows\system32\sdra64.exe. Самого файла не было, но запись добовлялась автоматом при перезагрузке.
Т.е. антивирусом не обнаружился, система Win XP SP3 со свежими заплатками,
Сидел вирус семейства ZBot. http://support.kaspersky.ru/faq?qid=208636281
вылечился утилитой касперского ZbotKiller.exe
Так что советую периодически просматривать ветку реестра, на предмет левых записей.