Trojan.siggen.2002 как распространяется?
#1
Отправлено 08 Январь 2009 - 17:33
08-01-2009 15:30:03 [CL] (PID = 0244) C:\USERS\Default User\Local Settings\Temporary Internet Files\Content.IE5\XPZKGIZ0\xnnlxllt[1].jpg - инфицирован Trojan.Siggen.2002
08-01-2009 15:30:03 [CL] (PID = 0244) C:\WINNT\system32\x - инфицирован Trojan.Siggen.2002
08-01-2009 15:30:03 C:\USERS\Default User\Local Settings\Temporary Internet Files\Content.IE5\XPZKGIZ0\xnnlxllt[1].jpg - инфицирован Trojan.Siggen.2002 и не может быть исцелен
08-01-2009 15:30:04 [CL] (PID = 0244) C:\USERS\Default User\Local Settings\Temporary Internet Files\Content.IE5\XPZKGIZ0\xnnlxllt[1].jpg - перемещен как 'C:\Program Files\DrWeb\infected.!!!\xnnlxllt[1].jpg.22462D57'
08-01-2009 15:30:04 C:\WINNT\system32\x - инфицирован Trojan.Siggen.2002 и не может быть исцелен
08-01-2009 15:30:04 [CL] (PID = 0244) C:\WINNT\system32\x - перемещен как 'C:\Program Files\DrWeb\infected.!!!\x.54F5F3FA'
08-01-2009 15:51:37 [CL] (PID = 0008) C:\WINNT\System32\eqoqwl.r - инфицирован Trojan.Siggen.2002
08-01-2009 15:51:37 C:\WINNT\System32\eqoqwl.r - инфицирован Trojan.Siggen.2002 и не может быть исцелен
08-01-2009 15:51:37 [CL] (PID = 0008) C:\WINNT\System32\eqoqwl.r - перемещен как 'C:\Program Files\DrWeb\infected.!!!\eqoqwl.r.19477BA'
08-01-2009 16:04:14 [CL] (PID = 0008) C:\WINNT\System32\eqoqwl.r - инфицирован Trojan.Siggen.2002
08-01-2009 16:04:15 C:\WINNT\System32\eqoqwl.r - инфицирован Trojan.Siggen.2002 и не может быть исцелен
08-01-2009 16:04:15 [CL] (PID = 0008) C:\WINNT\System32\eqoqwl.r - перемещен как 'C:\Program Files\DrWeb\infected.!!!\eqoqwl.r.420EA715'
PID - Процесс SYSTEM (8) и services (244).
Как он попадает на комп? Используется уязвимость винды?
#2
Отправлено 08 Январь 2009 - 17:39
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#3
Отправлено 08 Январь 2009 - 17:43
#4
Отправлено 08 Январь 2009 - 17:44
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#5
Отправлено 08 Январь 2009 - 17:46
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#6
Отправлено 08 Январь 2009 - 19:41
Судя по PID'ам, это может быть и по сети, и локальный драйвер дроппает, и инжект в services.exePID - Процесс SYSTEM (8) и services (244).
Как он попадает на комп? Используется уязвимость винды?
Борис А. Чертенко aka Borka.
#7
Отправлено 08 Январь 2009 - 23:28
#8
Отправлено 09 Январь 2009 - 00:23
Касперский его детектирует как Net-Worm.Win32.Kido.ed. А это семейство распространяется, используя уязвимость, описанную в бюллетене http://www.microsoft.com/technet/security/...n/MS08-067.mspxВот и я про то, что пути только хитрые есть... При сканировании больше ничего не ходит. Но в сети еще были компы с активной заразой, может они и пытались ее "заселить"...
#9
Отправлено 09 Январь 2009 - 09:33
Касперский его детектирует как Net-Worm.Win32.Kido.ed. А это семейство распространяется, используя уязвимость, описанную в бюллетене http://www.microsoft.com/technet/security/...n/MS08-067.mspxВот и я про то, что пути только хитрые есть... При сканировании больше ничего не ходит. Но в сети еще были компы с активной заразой, может они и пытались ее "заселить"...
Пасиба за наводку, так и чувствовал что он селится на комп "сам по себе" Тот же принцип распространения использует, по всей видимости и http://forum.drweb.com/index.php?showtopic=276825
#10
Отправлено 09 Январь 2009 - 11:01
#11
Отправлено 09 Январь 2009 - 13:12
#12
Отправлено 09 Январь 2009 - 13:35
#13
Отправлено 09 Январь 2009 - 13:48
Почистите кэш, отключите систему восстановления, перегрузите комп в защищенный режим, и проверяйтесь сканером. (полностью)
Причем тут все это? Если вы не знаете, в Windows 2000 нет востановления системы. Как кэш может влиять на попытку заражения через процесс SYSTEM?
#14
Отправлено 09 Январь 2009 - 14:31
Думаю, в системе может кто-то жить (недетектируемый драйвер-дроппер, например), если спайдер отлавливает файлы при отключенной сети. Если только при подключенной - значит, впингвинивают из локалки.После установки Microsoft Security Bulletin MS08-067 и Microsoft Security Bulletin MS08-068 вирусы от процесса services.exe приходить перестали. От процесса SYSTEM - остались. Похоже мелкософт чего-то не доделал Что скажут спецы из ДрВеба???
Борис А. Чертенко aka Borka.
#15
Отправлено 09 Январь 2009 - 21:39
Приложите, пожалуйста, логи Хайджека и РКУПричем тут все это? Если вы не знаете, в Windows 2000 нет востановления системы. Как кэш может влиять на попытку заражения через процесс SYSTEM?
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#16
Отправлено 10 Январь 2009 - 09:20
Могу еще добавить, что на некоторых (но не на всех) компьютерах создается несколько назначенных заданий, которые начинаются с "rundll32.exe "некоторая dll-ка"" со случайным расширением. Название у этих заданий At1, At2, At3 и т.д.
Заплатка от Microsoft проблему решила только наполовину.
Что еще заметил - инфицируются машины как с Win2000, так и с WinXP (и SP2, и SP3). Кроме того, на общем сетевом диске создается скрытый файл autorun.inf с двоичным содержимым. Так же там же создается папка RECYCLER, внутри которой папка с кодом пользователя, внутри которой файл jwgkvsq.vmx Причем у этих файлов настроены параметры NTFS-безопасности так, что сходу их удалить нельзя. Нужно сначала стать владельцем этого файла, потом добавить своему юзеру полный доступ, и только потом их можно удалить. Проблеме уже третий день...
#17
Отправлено 10 Январь 2009 - 12:47
KB956802, KB957097 и вышеупомянутого KB958644 с последующей перезагрузкой и проверкой сканером Drweb папки windows\system32, где он нашел и удалил Trojan.Siggen.2002 (чаще это dll-ка, иногда файл с раширением *.c) Его размер 167324 bytes До установки заплаток DrWEB не мог получить доступ к этому файлу и спокойно писал "Вирусов не найдено". Увидеть проблему можно было только открыв файл отчета DrWEB и найдя там строчку с ошибкой доступа к файлу с вирусом.
Больше пока файл с вирусом не появляется (3 тьфу).
Сам файл вируса здесь - http://www.virustotal.com/ru/analisis/cc8b...482964f2023f38b
#18
Отправлено 10 Январь 2009 - 13:06
#19
Отправлено 10 Январь 2009 - 13:25
Проверяли/лечили с отключенной сетью?Я поторопился. DLL-ка в SYSTEM32 после перезагрузки опять появилась...
#20
Отправлено 10 Январь 2009 - 14:05
Лечил и проверял с подключенной сетью. Сеть отключить нет возможности, компы должны быть в сети. Причем dll-ка появилась не сразу, а где-то через 20-30 мин после лечения/удаления... Получается заплатки или не совсем те/не все, или "кривые"Проверяли/лечили с отключенной сетью?Я поторопился. DLL-ка в SYSTEM32 после перезагрузки опять появилась...
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых