Zakerny virus a boj s nim
Dnes som zistil pri pokuse objednat zakaznikovi licenciu NODu, ze mi nejde stranka Esetu. Najprv som si myslel, ze Eset ma nejaky plosny vypadok, ale na moje prekvapenie sa adresa nereslvovala cez tracert, ale cez nslookup ano. Skusil som v rychlosti vymenu dns, potom som spustil stranku cez virtualneho linucha a tam isla.
Vedel som, ze je zle, co sa potvrdilo po chvilke badanie, boli blokovane vsetky stranky vacsich antivirovych firiem a stranky MS. Bolo mi to divne, pretoze som vedel, ze nakazeny nemozem byt dlho.
Presiel som registre, presiel procesy, sledoval som, co s pc odchadza a nic som nenasiel. V nudzovom rezime bezal pc bez problemov, takze som vedel na aku cast registrov sa zamerat. Pre zaujimavost som spustil par antivirovych a antimalware programov, samozrejme s negativnym vysledkom (ako som ocakaval).
V registroch som nasiel zaujimave sluzbicky (ihkwzqi a depfdsybu0, ktore obe volali skrytu kniznicu zo system32 s oznacenim zdjgjeh.dll.
Vo finale mi stacilo zmazat volanie tycho dvoch sluzieb svchostom a opat mam pristupny cely internet.
Zaujimava je vsak ochrana viru. Subor zdjgjeh.dll nesiel skopirovat, nemohol som ho uploadnut na net, nemohol som ho zmazat. Ked som skusal najst handler, ziadny som nenasiel, takze som stiahol unlocker, ktory mi dovolil ho premenovat aj presunut. Problem bol s pravami, subor mal vlastnika everyone s moznostou len spustania.
Spominam to preto, ze som subor neskor preveril cez 37 antivirov s tymto vysledkom.
Scanner results : 81% Scanner(s) (30/37) found malware!
Bohuzial NOD tuto dllku neidentifikoval a ostatne antiviry sa nevedeli zhodnut o aky typ virusu ide.
Ma s tym niekto nejake skusenosti, zaujima ma hlavne ako som mohol vir dostat, fakt netusim a to som virus nemal uz peknych par rokov.
Tento virus ma zaujal tym, ze sa nijako neprejavoval, ze sa maskoval za dllku a nepouzival oblubene exace, ze mal zmenene udaje o datume vzniku a zmeny a ze sa naviazal az cez dve servisne sluzby (naco?), navyse mi nie je jasne ako dokazal blokovat icmp a http, ked cez nslookup boli stranky pristupne a este ma zaujalo, ze kluce z registrov nesli odstranit ani v nudzovom rezime...atd atd. Proste taka kuriozitka.
Samozrejme ako spravny profik pouzivam admin ucet, system mam neupdatovany a antivir nepouzivam...sak viem co robim nie;o)?
No pokud jdes na web jako admin, tak pres flash si vir stahnes lehce. Pokud to neslo smazat, tak si ten vir pridelil z administratora prava "System".
Jake antiviry jsi jen pro zajimavost na to zkousel?
http://r.virscan.org/report/7a056c44dc8c506db601c2 5cb0e7788f.html
Ten NOD tam mají pěkně zastaralý
Bohuzial pre NOD, vcera nedokazala vir identifikovat ani aktualna verzia (respektive aktualizovany online skener).
toto je perfektní systémová práce. jsi si opravdu jistý, že nejsi windows admin? u sacl a dacl se svým způsobem dokážeš zamknout.
Dobrá práce . Jsi bůh. Jen mě napadlo - ten trojan blokuje pouze antivirové stránky? Nemohla by to být příčina třeba tohoto? Zítra to zkusím dle tvého postupu prozkoumat.
Hodil som si do Googla nejake online skenery a prvych cca 20 odkazov bolo blokovanych, takisto priame zadanie url vsetkych vacsich antivirovych spolocnosti (skusil som cca 5) mi hodilo timeout.
Blokovane boly len resolvingy adries, ked som zadal napriklad priamo 72.32.67.100/sk/, co je sk tak sa mi stranka zobrazila.
loni jsem něco takového honil v naší síti, detekovali jsme ho díky chybové hlášce na osciloskopu s windows embedded. šlo o variantu conficker.b, všechny příznaky stejné jak popisuješ.
líbil se mi fór s těmi právy, datum podle ostatních souborů windows, spouštění přes záznam v registrech: svchost -> netsvc -> náhodný název. šířil se stažením do ie temporary net files pod účtem system, kde se maskoval za obrázek.
smrtící pro něj byla pevná velikost souboru 162.155 byte. pak už jen záplata ms08-067, dnes nahrazena ms12-054 - kromě služby server řeší i elevaci práv.
Popisujes to iste, co ja len velkost mi nesedi, ja mam 103 660 bajtů, antivir od MS ho identifikuje ako conficker.b. Mna v podstate zaujal tym istym, navyse aj v registroch boli vetvy treba najprv upravit pravami az potom sli vymazat, co mi prislo celkom vtipne;o).