20 ответов в этой теме

[Denis Nikolayev]

Здравствуйте!

Имеется антивирусная сеть порядка 50 рабочих станций, стоит DrWeb ES 11. Появилась проблема - некоторые рабочие станции начали падать в BSOD, причем предпочтительно в самом начале рабочего дня, после включения компа. Сегодня решил глянуть статистику угроз на антивирусном сервере - регулярно по утрам антивирус благополучно ловит Trojan.Encoder.11432, сажает его в карантин, но на следующий день он ловит его опять. Везде антивирусу не нравится файлик C:\windows\mssecsvc.exe. Подскажите, может ли этот троян быть причиной частых БСОДов (просто подозрительно - в начале 9-го утра согласно статистике DrWeb его обезвреживает и примерно в этот же промежуток времени пользователи жалуются на БСОД)? И если кто сталкивался с такой ситуацией, подскажите, где этого засранца обезвредить, чтобы больше он не появлялся?

P.S.: исходя из статистики угроз троян появляется далеко не на всех рабочих станциях, хотя АВ везде одинаковые.

Скрин статистики угроз с АВ сервера:

Прикрепленные файлы:

•  дрвеб.jpg   161,52К   0 Скачано раз

Сообщение было изменено Denis Nikolayev: 08 Февраль 2019 - 11:32

[Aleksandra]

P.S.: исходя из статистики угроз троян появляется далеко не на всех рабочих станциях, хотя АВ везде одинаковые.

Значит не на всех стоит заплатка.

[Denis Nikolayev]

Aleksandra, подскажите пожалуйста, что за заплатка?

[Aleksandra]

Aleksandra, подскажите пожалуйста, что за заплатка?

MS17-010

[Aleksandra]

Я сканировала через nmap, очень удобно https://nmap.org/nsedoc/scripts/smb-vuln-ms17-010.html

[Denis Nikolayev]

Я сканировала через nmap, очень удобно https://nmap.org/nsedoc/scripts/smb-vuln-ms17-010.html

По вашей ссылочке скачал со страницы файл с расширением nse. Подскажите как его употребить? Не встречался с такими еще.

Все, вроде понял.

Сообщение было изменено Denis Nikolayev: 08 Февраль 2019 - 12:23

[Aleksandra]

Я сканировала через nmap, очень удобно https://nmap.org/nsedoc/scripts/smb-vuln-ms17-010.html

По вашей ссылочке скачал со страницы файл с расширением nse. Подскажите как его употребить? Не встречался с такими еще.
Все, вроде понял.

nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010.nse 172.16.0.0/12 | tee scan.log

Ну, вот как-то так.

[Denis Nikolayev]

172.16.0.0/12

Здесь, как я понимаю, мы указываем, какую подсеть сканировать? Т.е. если у меня идет адресация вида "192.168.0.1 (2, 3 и т.д.)", то в этом параметре мне нужно указать IP 192.168.0.0/24?

[Aleksandra]

172.16.0.0/12

Здесь, как я понимаю, мы указываем, какую подсеть сканировать? Т.е. если у меня идет адресация вида "192.168.0.1 (2, 3 и т.д.)", то в этом параметре мне нужно указать IP 192.168.0.0/24?

Ну да, подсеть сменить надо.

Сообщение было изменено Aleksandra: 08 Февраль 2019 - 12:43

[Denis Nikolayev]

Aleksandra, во что пишет:

 

Прикрепленные файлы:

•  дрвеб1.jpg   36,41К   0 Скачано раз

[Kirill Polubelov]

| tee scan.log

Это управление выводом результатов. tee есть в nix-ах, в винде только порты какие-то, возможно.

Просто перенаправьте результаты в файл.

То есть, вместо '| tee scan.log' напишите

>> scan.log

[Denis Nikolayev]

| tee scan.log

Это управление выводом результатов. tee есть в nix-ах, в винде только порты какие-то, возможно.

Просто перенаправьте результаты в файл.

То есть, вместо '| tee scan.log' напишите

>> scan.log

Блин, не догадался Запустил, не ругается, че-то делает.

[Denis Nikolayev]

Aleksandra, Kirill Polubelov, Так, лог получился. Вот этот кусок лога, я полагаю, сообщает о уязвимости, и на это рабочее место надо ставить заплатку?

smb-vuln-ms17-010: 
|   VULNERABLE:
|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-0143
|     Risk factor: HIGH
|       A critical remote code execution vulnerability exists in Microsoft SMBv1
|        servers (ms17-010).
|           
|     Disclosure date: 2017-03-14

[Aleksandra]

Aleksandra, Kirill Polubelov, Так, лог получился. Вот этот кусок лога, я полагаю, сообщает о уязвимости, и на это рабочее место надо ставить заплатку?

smb-vuln-ms17-010: 
|   VULNERABLE:
|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-0143
|     Risk factor: HIGH
|       A critical remote code execution vulnerability exists in Microsoft SMBv1
|        servers (ms17-010).
|           
|     Disclosure date: 2017-03-14

Все верно, только учтите для каждой ОС своя заплатка.

[Aleksandra]

Список того что у нас, но можете нагуглить полный.

Прямые ссылки на обновления безопасности MS17-010
 

Windows XP SP3 x86

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

Windows Server 2003 SP2 x86

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 SP2 x64

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Windows 7 SP1 x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Windows 7 SP1 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows Server 2008 x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Windows Server 2008 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows 8.1 x86

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu

Windows 8.1 x64

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

[Denis Nikolayev]

Aleksandra, Спасибо вам большущее! Буду теперь по списку ставить заплатку. А насчет моего вопроса про связь вируса и БСОДов вы можете что-то сказать? Просто какое-то совпадение интересное - начал вирус гулять по компам, начались проблемы с синими экранами. Причем как-то слишком часто и регулярно возникают БСОДы. Я приложу два минидампа с компа, на котором гуляет вирус и регулярно БСОДы происходят. Будет время (ну и желание естественно ), гляньте, может что толковое подскажете. Заранее спасибо!

Прикрепленные файлы:

•  Дампы.zip   55,34К   4 Скачано раз

[Kirill Polubelov]

Да, вполне к активности троя можно привязать, учитывая его природу распространения.

020819-27237-01.dmp
STACK_TEXT:  
a86f3a9c 84647aa8 00000001 cae52000 00000000 nt!MmAccessFault+0x104
a86f3a9c 84640210 00000001 cae52000 00000000 nt!KiTrap0E+0xdc
a86f3b30 a6b79306 cae51ff9 aed7803a 000000a8 nt!memmove+0x90
a86f3b5c a6b7968b cae51ff0 aed78035 88852200 srv!SrvOs2FeaToNt+0x53
a86f3b7c a6b92771 cae51ff0 a86f3bbc a86f3ba8 srv!SrvOs2FeaListToNt+0x9e
a86f3bb4 a6b9a33b cae41008 84640180 aed68008 srv!SrvSmbOpen2+0x93
a86f3bc8 a6b9b3aa a6b686ec 88852200 a6b6a000 srv!ExecuteTransaction+0x101
a86f3c00 a6b63530 88852200 00000000 888476e0 srv!SrvSmbTransactionSecondary+0x2c5
a86f3c28 a6b739a0 00000000 88845590 00000000 srv!SrvProcessSmb+0x187
a86f3c50 8481013d 008476e0 8dd0310a 00000000 srv!WorkerThread+0x15c
a86f3c90 846b7559 a6b73844 888476e0 00000000 nt!PspSystemThreadStartup+0x9e
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x19

020419-30108-01.dmp
STACK_TEXT:  
8c977804 a68cf5dc badb0d00 00000000 8c977820 nt!KiTrap0E+0x1b3
8c977884 84685dd3 00000000 02000000 00edd010 srvnet!SrvNetWskReceiveComplete+0x63
8c9778c8 9321fb8c 8820e3c8 8c97794c 8ac79c4e nt!IopfCompleteRequest+0x128
8c9778d4 8ac79c4e 87da1238 00000000 00000080 afd!WskProTLReceiveComplete+0x5e
8c97794c 8ac65809 8820e3c8 00000000 87b83df8 tcpip!TcpCompleteClientReceiveRequest+0x1c
8c9779b8 8ac6588e 87b83df8 87b83ef0 c0000241 tcpip!TcpFlushTcbDelivery+0x1f6
8c9779d4 8acbaf8a 87b83df8 c0000241 8989602c tcpip!TcpFlushRequestReceive+0x1c
8c977a18 8ac93ccc 87b83df8 c0000241 00000000 tcpip!TcpShutdownTcb+0x4be
8c977a50 8aca07e4 87b83df8 8c977b1c 00000000 tcpip!TcpAbortTcb+0x1b7
8c977a64 84696ac3 8c977af4 a93b935a 00000000 tcpip!TcpTlConnectionDisconnectCalloutRoutine+0x1a
8c977acc 8aca0864 8aca07ca 8c977af4 00000000 nt!KeExpandKernelStackAndCalloutEx+0x132
8c977b04 9322058c 87b83d00 8c977b01 87d46dd0 tcpip!TcpTlConnectionDisconnect+0x67
8c977b44 9321c85a 8c977b64 84644c1e 8771c2d8 afd!WskProIRPDisconnect+0xef
8c977b4c 84644c1e 8771c2d8 880ff128 880ff128 afd!AfdWskDispatchInternalDeviceControl+0x21
8c977b64 93220611 8c977ba4 a68cfc8a 87db13b4 nt!IofCallDriver+0x63
8c977b6c a68cfc8a 87db13b4 00000000 00000001 afd!WskProAPIDisconnect+0x67
8c977ba4 a68cdc29 87d46c68 87d46c68 877dbcfc srvnet!SrvNetWskDisconnectConnection+0x50
8c977bbc a68c8665 00d46c68 877dbc48 8879df50 srvnet!SrvNetDisconnectConnectionInternal+0x12e
8c977bd8 a68c84d5 877dbc48 884d0558 84749380 srvnet!SrvNetEndpointProcessDisconnects+0xcf
8c977bec 84822625 8879dda8 00000000 866c4a68 srvnet!SrvNetFreeScavengerThread+0x6a
8c977c00 8468b14b 884d0558 00000000 866c4a68 nt!IopProcessWorkItem+0x23
8c977c50 8481713d 00000000 a93b9506 00000000 nt!ExpWorkerThread+0x10d
8c977c90 846be559 8468b03e 00000000 00000000 nt!PspSystemThreadStartup+0x9e
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x19

[Denis Nikolayev]

Kirill Polubelov, спасибо за помощь, буду ставить заплатки, лечить системы, ну а там, надеюсь, проблема с БСОДами исчезнет

[Aleksandra]

гляньте, может что толковое подскажете.

Возможно из-за троя при повторной попытке заражения, но я далеко не эксперт в этом.

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 00000000, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000001, value 0 = read operation, 1 = write operation
Arg4: a68cf5dc, address which referenced memory

Debugging Details:
------------------


WRITE_ADDRESS: GetPointerFromAddress: unable to read from 8477784c
Unable to read MiSystemVaType memory at 84756e20
 00000000

CURRENT_IRQL:  2

FAULTING_IP:
srvnet!SrvNetWskReceiveComplete+63
a68cf5dc 890a            mov     dword ptr [edx],ecx

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

BUGCHECK_STR:  0xD1

PROCESS_NAME:  System

TRAP_FRAME:  8c977804 -- (.trap 0xffffffff8c977804)
ErrCode = 00000002
eax=ffdff0c0 ebx=ffdff188 ecx=86edd014 edx=00000000 esi=86edd010 edi=ffdff020
eip=a68cf5dc esp=8c977878 ebp=8c977884 iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
srvnet!SrvNetWskReceiveComplete+0x63:
a68cf5dc 890a            mov     dword ptr [edx],ecx  ds:0023:00000000=????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from a68cf5dc to 8464eb7f

STACK_TEXT:  
8c977804 a68cf5dc badb0d00 00000000 8c977820 nt!KiTrap0E+0x1b3
8c977884 84685dd3 00000000 02000000 00edd010 srvnet!SrvNetWskReceiveComplete+0x63
8c9778c8 9321fb8c 8820e3c8 8c97794c 8ac79c4e nt!IopfCompleteRequest+0x128
8c9778d4 8ac79c4e 87da1238 00000000 00000080 afd!WskProTLReceiveComplete+0x5e
8c97794c 8ac65809 8820e3c8 00000000 87b83df8 tcpip!TcpCompleteClientReceiveRequest+0x1c
8c9779b8 8ac6588e 87b83df8 87b83ef0 c0000241 tcpip!TcpFlushTcbDelivery+0x1f6
8c9779d4 8acbaf8a 87b83df8 c0000241 8989602c tcpip!TcpFlushRequestReceive+0x1c
8c977a18 8ac93ccc 87b83df8 c0000241 00000000 tcpip!TcpShutdownTcb+0x4be
8c977a50 8aca07e4 87b83df8 8c977b1c 00000000 tcpip!TcpAbortTcb+0x1b7
8c977a64 84696ac3 8c977af4 a93b935a 00000000 tcpip!TcpTlConnectionDisconnectCalloutRoutine+0x1a
8c977acc 8aca0864 8aca07ca 8c977af4 00000000 nt!KeExpandKernelStackAndCalloutEx+0x132
8c977b04 9322058c 87b83d00 8c977b01 87d46dd0 tcpip!TcpTlConnectionDisconnect+0x67
8c977b44 9321c85a 8c977b64 84644c1e 8771c2d8 afd!WskProIRPDisconnect+0xef
8c977b4c 84644c1e 8771c2d8 880ff128 880ff128 afd!AfdWskDispatchInternalDeviceControl+0x21
8c977b64 93220611 8c977ba4 a68cfc8a 87db13b4 nt!IofCallDriver+0x63
8c977b6c a68cfc8a 87db13b4 00000000 00000001 afd!WskProAPIDisconnect+0x67
8c977ba4 a68cdc29 87d46c68 87d46c68 877dbcfc srvnet!SrvNetWskDisconnectConnection+0x50
8c977bbc a68c8665 00d46c68 877dbc48 8879df50 srvnet!SrvNetDisconnectConnectionInternal+0x12e
8c977bd8 a68c84d5 877dbc48 884d0558 84749380 srvnet!SrvNetEndpointProcessDisconnects+0xcf
8c977bec 84822625 8879dda8 00000000 866c4a68 srvnet!SrvNetFreeScavengerThread+0x6a
8c977c00 8468b14b 884d0558 00000000 866c4a68 nt!IopProcessWorkItem+0x23
8c977c50 8481713d 00000000 a93b9506 00000000 nt!ExpWorkerThread+0x10d
8c977c90 846be559 8468b03e 00000000 00000000 nt!PspSystemThreadStartup+0x9e
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x19


STACK_COMMAND:  kb

FOLLOWUP_IP:
srvnet!SrvNetWskReceiveComplete+63
a68cf5dc 890a            mov     dword ptr [edx],ecx

SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  srvnet!SrvNetWskReceiveComplete+63

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: srvnet

IMAGE_NAME:  srvnet.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  4dba2670

FAILURE_BUCKET_ID:  0xD1_srvnet!SrvNetWskReceiveComplete+63

BUCKET_ID:  0xD1_srvnet!SrvNetWskReceiveComplete+63

Followup: MachineOwner
---------

 

[Denis Nikolayev]

Aleksandra, мне уже Kirill Polubelov ответил выше, что вполне себе активность вируса может вызвать БСОД, так что буду копать в этом направлении. В любом случае спасибо за потраченное время