Кроме того, четыре небольших сети на обслуживании, везде DrWEB 5.0 лицензионный, автообновляется каждые 30 мин. На протяжении последних 2-х недель все сети по нескольку раз были поражены sdra64.exe
Помогал сканер от Nod32 и отдельная утилита от Касперского ZBotKiller.exe
Сегодня более внимательно посмотрел механизм внедрения.
Вхожу на страницу ...
в трее всплывает предупреждение - "..безопасность под угрозой.. брэндмауэр отключен.."
Dr.Web молчит, запускаю сканер DrWeb - чисто.
Запускаю autoruns от Sysinternals, вижу в автозапуске:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\system32\sdra64.exe
Перехожу в C:\WINDOWS\system32\ пытаюсь скопировать sdra64.exe, не копируется, заблокирован. Делаю SnapShot системы и оттуда достаю sdra64.exe - отправляю Вам в лабораторию.
Страница поддержки DrWEB - проверить ссылку 504 Gateway Time-out
Пока пишу сообщение (не перегружался) sdra64.exe перестал быть видимым из-под файловых менеджеров.
Просматриваю %temp% нахожу файлы goingLike.exe и java_install_reg.log созданные в момент заражения.
java_install_reg.log c содержимым:
-----------------------------------------
Process start at 12/06/2009-15:59:01.
-----------------------------------------
== Start JNICALL Java_com_sun_deploy_panel_PlatformSpecificUtils_getJqsSettings ==
== End JNICALL Java_com_sun_deploy_panel_PlatformSpecificUtils_getJqsSettings ==
-----------------------------------------
Process start at 12/06/2009-15:59:03.
-----------------------------------------
== Start JNICALL Java_com_sun_deploy_panel_PlatformSpecificUtils_getJqsSettings ==
== End JNICALL Java_com_sun_deploy_panel_PlatformSpecificUtils_getJqsSettings ==
-----------------------------------------
Process start at 12/06/2009-15:59:05.
-----------------------------------------
== Start JNICALL Java_com_sun_deploy_util_UpdateCheck_shouldPromptForAutoCheck ==
-----------------------------------------
находил на машинах которые чистил вручную от sdra64.exe
Если теперь перегрузить компьютер и посмотреть каким нибудь антируткитом, видны множественные перехваты.
Когда, наконец будет лекарство? Может недостаточно, только включения одной сигнатуры в базы антивируса? Может механизм внедрения надо посмотреть?
Сообщение было изменено userr: 06 Декабрь 2009 - 18:24
cылка на заражённую страницу