Перейти к содержимому


Фото
- - - - -

Dr.web 5.0 и Sdra64.exe


  • Please log in to reply
54 ответов в этой теме

#1 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 06 Декабрь 2009 - 18:09

Сегодня работаю под XP SP3, автообновления включены, стоит Dr.WEB 5.0, установлен "по умолчанию", самозащита включена, базы обновляются каждые 30 мин.
Кроме того, четыре небольших сети на обслуживании, везде DrWEB 5.0 лицензионный, автообновляется каждые 30 мин. На протяжении последних 2-х недель все сети по нескольку раз были поражены sdra64.exe

Помогал сканер от Nod32 и отдельная утилита от Касперского ZBotKiller.exe

Сегодня более внимательно посмотрел механизм внедрения.

Вхожу на страницу ...

в трее всплывает предупреждение - "..безопасность под угрозой.. брэндмауэр отключен.."

Dr.Web молчит, запускаю сканер DrWeb - чисто.

Запускаю autoruns от Sysinternals, вижу в автозапуске:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\system32\sdra64.exe

Перехожу в C:\WINDOWS\system32\ пытаюсь скопировать sdra64.exe, не копируется, заблокирован. Делаю SnapShot системы и оттуда достаю sdra64.exe - отправляю Вам в лабораторию.

Страница поддержки DrWEB - проверить ссылку 504 Gateway Time-out

Пока пишу сообщение (не перегружался) sdra64.exe перестал быть видимым из-под файловых менеджеров.

Просматриваю %temp% нахожу файлы goingLike.exe и java_install_reg.log созданные в момент заражения.

java_install_reg.log c содержимым:

-----------------------------------------
Process start at 12/06/2009-15:59:01.
-----------------------------------------
== Start JNICALL Java_com_sun_deploy_panel_PlatformSpecificUtils_getJqsSettings ==
== End JNICALL Java_com_sun_deploy_panel_PlatformSpecificUtils_getJqsSettings ==
-----------------------------------------
Process start at 12/06/2009-15:59:03.
-----------------------------------------
== Start JNICALL Java_com_sun_deploy_panel_PlatformSpecificUtils_getJqsSettings ==
== End JNICALL Java_com_sun_deploy_panel_PlatformSpecificUtils_getJqsSettings ==
-----------------------------------------
Process start at 12/06/2009-15:59:05.
-----------------------------------------
== Start JNICALL Java_com_sun_deploy_util_UpdateCheck_shouldPromptForAutoCheck ==
-----------------------------------------

находил на машинах которые чистил вручную от sdra64.exe

Если теперь перегрузить компьютер и посмотреть каким нибудь антируткитом, видны множественные перехваты.

Когда, наконец будет лекарство? Может недостаточно, только включения одной сигнатуры в базы антивируса? Может механизм внедрения надо посмотреть?

Сообщение было изменено userr: 06 Декабрь 2009 - 18:24
cылка на заражённую страницу


#2 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 06 Декабрь 2009 - 18:19

Когда, наконец будет лекарство?

Как только соответствующий сэмпл попадет в Вирлаб. Некоторые сэмплы обновляются несколько раз в день.

Может недостаточно, только включения одной сигнатуры в базы антивируса? Может механизм внедрения надо посмотреть?

ХИПС разрабатывается.
С уважением,
Борис А. Чертенко aka Borka.

#3 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 14 Декабрь 2009 - 23:00

Сегодня опять, та-же история, что и первый пост этого топика.
С той разницей что проверка ссылок на сайте DrWEB работала и радостно отрапортовала - Вирусов нет.

Может мне необходимо перечислить все организации в которые по моему совету приобретен Ваш антивирус?
В смысле, ... повысить ответственность, ... обратить внимание, что недостаточно включения только очередной сигнатуры и считать, что вопрос закрыт...

Не знаю, что добавить... Разочарован. Много лет пользуюсь Вашим антивирусом. Последние 2 года, как не BSOD, так конфликт, с какими-нибудь драйверами. То инсталятор, сделают таким, что админам малых (одноранговых, без выделенного сервера) сетей обязательно ES куда-то ставить надо... Иначе админить только ногами, от станции к станции или по RDP (сервер защиты отключать). То все колом становится, пока базы не обновятся.

Из препятствий, которые компания создавала админам, решение (выход? если изворачиваться это выход..) находил. Однако неспособность выполнять главную функцию - собственно надежную антивирусную защиту, все перечеркивает.

Разчарован и, возможно, продлять лицензии, во всех компаниях с которыми работаю, в следующем году не буду.

#4 Дитрий Р52

Дитрий Р52

    Member

  • Posters
  • 103 Сообщений:

Отправлено 14 Декабрь 2009 - 23:40

Сегодня опять, та-же история, что и первый пост этого топика.
С той разницей что проверка ссылок на сайте DrWEB работала и радостно отрапортовала - Вирусов нет.


Дайте, пожалуйста, ссылку (в ПМ).

И, не обижайтесь, но зачем работать и сидеть в интернете из-под учетки с правами администратора?
All your bugs are belong to us.

#5 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 15 Декабрь 2009 - 15:49

Ссылку дать не могу, не сохранил. Очередной штамм sdra64 в 2-х вариантах отправил в лабораторию, уведомление на почтовый ящик , как о получении, так и "...Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении." так-же получил.

И обидется не могу. За редким исключением, все работают под ограниченными учетками. Соответственно в этих случаях, полного поражения не происходит, нахожу в %TEMP% и "Temporary Internet Files" только тело вируса.

Проблема в том, что все компьютеры, где ВРЕМЕННО работают под учетками с правами администратора поражались и продолжают поражаться с завидным упорством. И здесь выход нашел - запускаю IE с пораженим в правах с помощью :
psexec -l -d "%programfiles%\internet explorer\iexplore.exe"

Однако от необходимости использования разных "костылей" уже устал.

#6 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 15 Декабрь 2009 - 16:07

Ссылку дать не могу, не сохранил. Очередной штамм sdra64 в 2-х вариантах отправил в лабораторию, уведомление на почтовый ящик , как о получении, так и "...Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении." так-же получил.

И обидется не могу. За редким исключением, все работают под ограниченными учетками. Соответственно в этих случаях, полного поражения не происходит, нахожу в %TEMP% и "Temporary Internet Files" только тело вируса.

Проблема в том, что все компьютеры, где ВРЕМЕННО работают под учетками с правами администратора поражались и продолжают поражаться с завидным упорством. И здесь выход нашел - запускаю IE с пораженим в правах с помощью :

psexec -l -d "%programfiles%\internet explorer\iexplore.exe"

Однако от необходимости использования разных "костылей" уже устал.

Закройте самозащитой Dr.Web ключи
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe"
"UIHost"
;)
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#7 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 15 Декабрь 2009 - 16:14

Закройте самозащитой Dr.Web ключи
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe"
"UIHost"
;)

Это до лампочки. Если он не сможет прописАться в "Userinit", то пропишется куда-нить еще, но в hkcu...
С уважением,
Борис А. Чертенко aka Borka.

#8 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 15 Декабрь 2009 - 16:42

Закройте самозащитой Dr.Web ключи
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe"
"UIHost"
;)

Это до лампочки. Если он не сможет прописАться в "Userinit", то пропишется куда-нить еще, но в hkcu...

Откуда дровишки?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#9 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 15 Декабрь 2009 - 17:13

Закройте самозащитой Dr.Web ключи
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe"
"UIHost"
;)

Это до лампочки. Если он не сможет прописАться в "Userinit", то пропишется куда-нить еще, но в hkcu...

Откуда дровишки?

Личный опыт изъятия сабжевых сусликов. Если юзер не админ, то сабж прописывается в hkcu\...\run или в policies Проводника...
С уважением,
Борис А. Чертенко aka Borka.

#10 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 26 Декабрь 2009 - 20:52

Это даже не смешно, а просто .... Сегодня очередное поражение очередным штаммом sdra64.exe

Все по сценарию из первого поста топика.

Вопрос очень простой - почему утилита от Касперского от 25.11.2009 ZBotKiller.exe обнаруживает и удаляет НОВЫЕ штаммы (даже когда они они активны в памяти, т.е. процессы маскируются, файлы "залочены" и т.д.) без проблем, а Dr.WEB нет?

Для себя ответил на этот вопрос так: Основные средства (силы), компания тратит на маркетинговую составляющую. Технический уровень заметно упал.

#11 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Декабрь 2009 - 09:17

Это даже не смешно, а просто .... Сегодня очередное поражение очередным штаммом sdra64.exe

Все по сценарию из первого поста топика.

Вопрос очень простой - почему утилита от Касперского от 25.11.2009 ZBotKiller.exe обнаруживает и удаляет НОВЫЕ штаммы (даже когда они они активны в памяти, т.е. процессы маскируются, файлы "залочены" и т.д.) без проблем, а Dr.WEB нет?

Для себя ответил на этот вопрос так: Основные средства (силы), компания тратит на маркетинговую составляющую. Технический уровень заметно упал.

А почему у них некоторые утилиты могут делать,то что не делает штатный антивирус? Подумайте на досуге. :)
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#12 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 27 Декабрь 2009 - 12:49

А почему у них некоторые утилиты могут делать,то что не делает штатный антивирус? Подумайте на досуге.


А с чего Вы взяли, что это штатный не делает? Вы это проверяли? Да и ответ ваш, мне показалось .... или он в стиле ... сам такой...

В этом топике уже писал - много лет (не могу вспомнить с какого года) пользуюсь DrWeb-ом, как основным антивирусным средством. Не пытаюсь делать ни рекламу (ни антирекламу) ни одному из продуктов, названия которых упоминаю.

Через форум пытаюсь обратить внимание на проблему, надеясь, что группы проблем анализируются, по ним принимается решение и выделяется драгоценное время (которого всегда не хватает).

#13 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Декабрь 2009 - 12:57

А почему у них некоторые утилиты могут делать,то что не делает штатный антивирус? Подумайте на досуге.


А с чего Вы взяли, что это штатный не делает? Вы это проверяли? Да и ответ ваш, мне показалось .... или он в стиле ... сам такой...

В этом топике уже писал - много лет (не могу вспомнить с какого года) пользуюсь DrWeb-ом, как основным антивирусным средством. Не пытаюсь делать ни рекламу (ни антирекламу) ни одному из продуктов, названия которых упоминаю.

Через форум пытаюсь обратить внимание на проблему, надеясь, что группы проблем анализируются, по ним принимается решение и выделяется драгоценное время (которого всегда не хватает).

Пару раз на форуме уних встречал...отдельная утилита делает то...скоро это попадет в функционал антивируса...Там еще были рассуждения на тему отдельная утилита и почему этого нет в самом антивирусе...
Ссылки не помню,но видел точно.
Ну и собственно AVZ.
Все ли штатный антивирус может сделать что и утилита ?

Чаще написать утилиту проще чем много чего исправлять и тестить в антивирусе.Вы этого не знали?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#14 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 27 Декабрь 2009 - 14:16

Чаще написать утилиту проще чем много чего исправлять и тестить в антивирусе.Вы этого не знали?

Я согласен и на утилиту. :)
С уважением,
Борис А. Чертенко aka Borka.

#15 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 27 Декабрь 2009 - 15:23

Чаще написать утилиту проще чем много чего исправлять и тестить в антивирусе.Вы этого не знали?

Я согласен и на утилиту. :)


Я то-же. А если еще уведомление о выходе таких утилит прийдет при обновлении...

#16 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Декабрь 2009 - 15:29

Чаще написать утилиту проще чем много чего исправлять и тестить в антивирусе.Вы этого не знали?

Я согласен и на утилиту. :)


Я то-же. А если еще уведомление о выходе таких утилит прийдет при обновлении...

Винлок на весь экран(а я бы еще и разрешением экрана играл бы таймеру,и хучил клавиши) откуда вы утилиту будете запускать?Равно как и авз...

Сообщение было изменено mrbelyash: 27 Декабрь 2009 - 15:30

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#17 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 27 Декабрь 2009 - 15:36

mrbelyash

Вы работаете в компании «Доктор Веб»?

#18 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Декабрь 2009 - 15:42

mrbelyash

Вы работаете в компании «Доктор Веб»?

Это типо затыкаете мне рот?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#19 Otsheln1k

Otsheln1k

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 27 Декабрь 2009 - 15:50

mrbelyash

Попробуйте посмотреть на это немного с иной стороны. Вы для меня сейчас лицо компании. Отвечаете (дискутируете) Вы, а за Вами большой коллектив людей в нескольких странах.

#20 maxic

maxic

    Keep yourself alive

  • Moderators
  • 13 066 Сообщений:

Отправлено 27 Декабрь 2009 - 15:51

mrbelyash

Попробуйте посмотреть на это немного с иной стороны. Вы для меня сейчас лицо компании. Отвечаете (дискутируете) Вы, а за Вами большой коллектив людей в нескольких странах.



Это форум :)

а не техподдержка.