Про вирусы

Для любителей просто поболтать

Про вирусы

Сообщение Павел Гарбар » 01 апр 2010, 18:42

Коллеги!
У одного из моих клиентов завелся вирус, который блокирует HTTP и FTP доступ к некоторым антивирусным сайтам. Он не меняет файл hosts, как описывается почти во всех рекомендациях по устранению. Брандмауэры выключены или деисталлированы. 3 разных антивируса ничего не нашли. В реестре и файлах в каталогах Program Files и Windows явных ссылок на сайты типа www.kaspersky.ru, www.drweb.com, shop.ca.com нет.
Программ установлено много и сервисов запущено тоже порядочно, но сильно подозрительных я тоже не увидел.
Вопросы. Какой сервис может еще выступать в роли фильтра отдельных сайтов? Что это за зараза? И чем оно лечится, если лечится в принципе?
Павел Гарбар
 
Сообщения: 688
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Тырнет, блин...

Сообщение Павел Гарбар » 01 апр 2010, 20:40

Пока был у людей в офисе разными поисковиками на русском и английском языке, да еще и с разных компьютеров искал сходные симптомы и способы лечения. Лучшим результатом было "полечить испорченный файл hosts"
Пришел домой и теми же словами в тех же поисковиках поискал еще раз. На этот раз обрисовалась проблема с вирусов kido. И куда, спрашивается, смотрели поисковики два часа назад? Проблема-то оказывается не нова...
Но у меня опять появились вопросы - система XP ставилась с SP3, сразу накатавались обновления и ставился антивирус. Как оно пролезло? И почему его свежие антивирусники не видели, когдя я диск переставил в свежеустановленный комп и проверил?
Павел Гарбар
 
Сообщения: 688
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: Про вирусы

Сообщение Михаил Григорьев » 01 апр 2010, 21:37

Свежие антивирусы не видят, потому что они его просто не знают, вирус супер-новый видать попался. У меня такое было пару раз, один раз удалось отловить заразу и отправить в лабораторию DrWeb, второй раз пришлось ждать 4 дня пока этот вирус появится в антивирусных базах. Думаю проще всего подождать обновления антивирусных баз, как правило 3-4 дня, возможно антивирусные компании среагируют быстрее.
Либо пытаться отловить вирус вручную, к примеру попробовать утлиту AVZ и GMER
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Re: Про вирусы

Сообщение Timur Kazimirov » 02 апр 2010, 03:01

Михаил Григорьев писал(а):Свежие антивирусы не видят, потому что они его просто не знают, вирус супер-новый видать попался

Или наоборот - слишком старый. Неоднократно сталкивался с такой ситуацией - пролезла какая-то зараза, наши OfficeScan и McCafee ее благополучно пропустили, проверяешь бяку на www.virustotal.com - оказывается для ClamAV это знакомая вещь, роешь историю вирусяки и с удивлением обнаруживаешь, что еще полгода назад те же OfficeScan и McCafee ее отслеживали.
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Re: Про вирусы

Сообщение Clericos » 02 апр 2010, 10:45

Павел Гарбар писал(а):Программ установлено много и сервисов запущено тоже порядочно, но сильно подозрительных я тоже не увидел.
Вопросы. Какой сервис может еще выступать в роли фильтра отдельных сайтов? Что это за зараза? И чем оно лечится, если лечится в принципе?


Пару раз сталкивался ст тем что зараза прописывала неправильные маршруты к антивирусным сайтам.
Посмотреть можно через
Код: Выделить всё
route print


Ну и неплохо было бы посмотреть
Код: Выделить всё
nslookup www.kaspersky.ru

и
Код: Выделить всё
tracert www.kaspersky.ru
Аватара пользователя
Clericos
 
Сообщения: 382
Зарегистрирован: 15 май 2007, 22:40
Откуда: *.spb.ru.

Не kido

Сообщение Павел Гарбар » 02 апр 2010, 12:39

Утром съездил проверить - оказался не kido. По крайней мере kido killer от касперыча ничего не нашел, а до этого ночью отработал DrWeb - и тоже ничего.
Маршруты посмотрю в понедельник, а DNS в порядке - еще в прошлый раз проверил.
Павел Гарбар
 
Сообщения: 688
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: Про вирусы

Сообщение Иван Иванов » 02 апр 2010, 17:36

Попробуйте в командной строке выполнить netsh winsock reset И перезагрузить. На 98% вероятность покоцан tcp/ip.
Эта же функция есть в avz там на последней вкладке что-то типа поиск ошибок в lpi/spi и нужно поставить птичку на лечение но сначала нужно удалить тело вируса (если оно не удалено раньше).
И это... Касперским проверьте с максимальным уровнем защиты и дрвэб курэит. желательно с лайвсиди. Программы подобного типа некоторые антивирусы в упор не видят принципиально в случае если они не выполняют зловредного кода а только перенаправляют трафик.
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

сборс винсока не помог

Сообщение Павел Гарбар » 04 апр 2010, 15:07

Это я уже проделывал.
А лечить уже не буду - поеду в понедельник сносить...
Надо только не забыть маршруты проверить.
Павел Гарбар
 
Сообщения: 688
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: Про вирусы

Сообщение Андрей Старков » 05 апр 2010, 14:12

уже может не важно, уже понедельник и Павел уже поехал сносить :-)
но может пригодиться, если я не ошибаюсь Kido, это то что TrendMicro обзывает WORM_DOWNAD
вариации разные, но в общем случае прописывается как сервис, один из generic host process запускаемых svchost
алгоритм искоренения такой:
смотрим реестр HKLM\Software\Microsoft\WindowsNT\CurrentVersion\svchost\netsvcs - от машины к машине может чуть отличаться, но наметанный взгляд увидит. Если в списке после WmdmPmSN еще что то есть - скорее всего зараза - запоминаем это имя (бывает уже 2 а то и 3 разных) и ищем в реестре. везде где находим необходимо дать самому себе права - они убраны и безжалостно удаляем - при этом изучив параметры и узнав какие конкретно файлы отвечают за эти сервисы. так же записываем. Потом, загрузившись с MiniPE их удалим.

еще в реестре смотрим HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon - что там с шеллом и и параметрами запуска explorer.exe

вобщем лечится эта зараза даже просто ручками.

У меня OfficeScan эту фигню прибивает, но она живет у меня в сети. проблема в том что в логически одной сети несколько предприятий (привет РАО ЕЭС) и не все мне подконтрольны полностью. и не могу придумать как победить раз и навсегда полностью...
Андрей Старков
 
Сообщения: 473
Зарегистрирован: 21 июн 2002, 13:57
Откуда: г. Ноябрьск, ЯНАО

Устранил

Сообщение Павел Гарбар » 05 апр 2010, 14:41

Спасибо Clericos!
Посмотрел маршруты - да, много IP-Сетей (листа 3 на распечатке) были завернуты статическими маршутами в никуда.
Снес все и доступ к антивирусным сайтам восстановился.
С shell и svchost был порядок.

А теперь мои предположения.
Когда-то зараза проникла и испортила таблицу маршрутизации. Этого было незаметно, пока не понадобилось обновить свежеустановленный антивирус.
А заразу таки антивирус когда-то убил, поэтому ее и не находил ничем! Но след от нее остался в виде испорченной таблицы маршрутизации, которую антивирусы не лечат.

Компьютер решили не сносить, так как все остальное нормально работало.
Еще раз спасибо за наводку! А то я на станции как-то и не подумал маршруты проверить - все на серверах да на серверах :-)
Одна голова - хорошо, а много - хороших голов - лучше!
Павел Гарбар
 
Сообщения: 688
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: Про вирусы

Сообщение Timur Kazimirov » 06 апр 2010, 03:31

Андрей Старков писал(а):если я не ошибаюсь Kido, это то что TrendMicro обзывает WORM_DOWNAD

А WORM_DOWNAD разве не Confliker?
Андрей Старков писал(а):У меня OfficeScan эту фигню прибивает, но она живет у меня в сети. проблема в том что в логически одной сети несколько предприятий (привет РАО ЕЭС) и не все мне подконтрольны полностью. и не могу придумать как победить раз и навсегда полностью...

Эта бяка распространяется через незакрытые дырки в системе. Конкретно - через MS08-065, MS08-067 и MS09-001. Поэтому выход один - разворачивать WSUS, или Patch Management, если имеется ZEN. Ну или, как вариант - качать проверялку с http://www.ptsecurity.ru, сканировать свои сети на предмет выявления компов с этими незакрытыми дырками и ручками ставить на них конкретные обновления (само собой, что в случае крупного предприятия - успех в чемпионате мира по легкой атлетике гарантирован).
Минус OfficeScan'а в данном случае в том, что смысла его ставить на машину, куда эта бяка уже просочилась, никакого (он эффектно определяет и пресекает только попытку заражения), а выявить зараженную машину очень сложно, особенно, если нет домена MS. В домене сам факт нахождения такой машины выявляется моментально :D , и очень выручает, если в сети стоит Management server, который тебе вовремя сообщит с какого компьютера блокируются доменные учетки...
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Re: Про вирусы

Сообщение on-lite » 06 апр 2010, 10:44

В LAN развернута WSUS, Антивирус в актуальном состоянии, маршруты не сбились, т.к. обновление антивируса через прокси(squid), прокся на линуксе и по моему маршруты никак не собьешь вирусами WinPE.
Посмотрев в ветку реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon в параметрах userinit.exe сидело что то лишнее, а именно C:\windows\system32\sdra64.exe. Самого файла не было, но запись добовлялась автоматом при перезагрузке.
Т.е. антивирусом не обнаружился, система Win XP SP3 со свежими заплатками,
Сидел вирус семейства ZBot. http://support.kaspersky.ru/faq?qid=208636281
вылечился утилитой касперского ZbotKiller.exe
Так что советую периодически просматривать ветку реестра, на предмет левых записей. :?
on-lite
 
Сообщения: 3
Зарегистрирован: 21 апр 2008, 11:00


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron