Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Zakerny virus a boj s nim

Dnes som zistil pri pokuse objednat zakaznikovi licenciu NODu, ze mi nejde stranka Esetu. Najprv som si myslel, ze Eset ma nejaky plosny vypadok, ale na moje prekvapenie sa adresa nereslvovala cez tracert, ale cez nslookup ano. Skusil som v rychlosti vymenu dns, potom som spustil stranku cez virtualneho linucha a tam isla.
Vedel som, ze je zle, co sa potvrdilo po chvilke badanie, boli blokovane vsetky stranky vacsich antivirovych firiem a stranky MS. Bolo mi to divne, pretoze som vedel, ze nakazeny nemozem byt dlho.
Presiel som registre, presiel procesy, sledoval som, co s pc odchadza a nic som nenasiel. V nudzovom rezime bezal pc bez problemov, takze som vedel na aku cast registrov sa zamerat. Pre zaujimavost som spustil par antivirovych a antimalware programov, samozrejme s negativnym vysledkom (ako som ocakaval).
V registroch som nasiel zaujimave sluzbicky (ihkwzqi a depfdsybu0, ktore obe volali skrytu kniznicu zo system32 s oznacenim zdjgjeh.dll.
Vo finale mi stacilo zmazat volanie tycho dvoch sluzieb svchostom a opat mam pristupny cely internet.
Zaujimava je vsak ochrana viru. Subor zdjgjeh.dll nesiel skopirovat, nemohol som ho uploadnut na net, nemohol som ho zmazat. Ked som skusal najst handler, ziadny som nenasiel, takze som stiahol unlocker, ktory mi dovolil ho premenovat aj presunut. Problem bol s pravami, subor mal vlastnika everyone s moznostou len spustania.
Spominam to preto, ze som subor neskor preveril cez 37 antivirov s tymto vysledkom.
Scanner results : 81% Scanner(s) (30/37) found malware!
Bohuzial NOD tuto dllku neidentifikoval a ostatne antiviry sa nevedeli zhodnut o aky typ virusu ide.
Ma s tym niekto nejake skusenosti, zaujima ma hlavne ako som mohol vir dostat, fakt netusim a to som virus nemal uz peknych par rokov.
Tento virus ma zaujal tym, ze sa nijako neprejavoval, ze sa maskoval za dllku a nepouzival oblubene exace, ze mal zmenene udaje o datume vzniku a zmeny a ze sa naviazal az cez dve servisne sluzby (naco?), navyse mi nie je jasne ako dokazal blokovat icmp a http, ked cez nslookup boli stranky pristupne a este ma zaujalo, ze kluce z registrov nesli odstranit ani v nudzovom rezime...atd atd. Proste taka kuriozitka.

Samozrejme ako spravny profik pouzivam admin ucet, system mam neupdatovany a antivir nepouzivam...sak viem co robim nie;o)?

Předmět Autor Datum
No pokud jdes na web jako admin, tak pres flash si vir stahnes lehce. Pokud to neslo smazat, tak si…
RedMaX 26.04.2013 23:26
RedMaX
http://r.virscan.org/report/7a056c44dc8c506db601c2 5cb0e7788f.html
fleg 26.04.2013 23:46
fleg
Ten NOD tam mají pěkně zastaralý ::)
L-Core 27.04.2013 07:08
L-Core
Bohuzial pre NOD, vcera nedokazala vir identifikovat ani aktualna verzia (respektive aktualizovany o…
fleg 27.04.2013 08:25
fleg
toto je perfektní systémová práce. jsi si opravdu jistý, že nejsi windows admin? u sacl a dacl se sv…
kmochna 27.04.2013 06:53
kmochna
Dobrá práce :beer:. Jsi bůh. Jen mě napadlo - ten trojan blokuje pouze antivirové stránky? Nemohla b…
mif 27.04.2013 08:08
mif
Hodil som si do Googla nejake online skenery a prvych cca 20 odkazov bolo blokovanych, takisto priam…
fleg 27.04.2013 11:26
fleg
loni jsem něco takového honil v naší síti, detekovali jsme ho díky chybové hlášce na osciloskopu s w…
lední brtník 27.04.2013 11:54
lední brtník
Popisujes to iste, co ja len velkost mi nesedi, ja mam 103 660 bajtů, antivir od MS ho identifikuje… poslední
fleg 27.04.2013 12:03
fleg

No pokud jdes na web jako admin, tak pres flash si vir stahnes lehce. Pokud to neslo smazat, tak si ten vir pridelil z administratora prava "System".

Jake antiviry jsi jen pro zajimavost na to zkousel?

Hodil som si do Googla nejake online skenery a prvych cca 20 odkazov bolo blokovanych, takisto priame zadanie url vsetkych vacsich antivirovych spolocnosti (skusil som cca 5) mi hodilo timeout.
Blokovane boly len resolvingy adries, ked som zadal napriklad priamo 72.32.67.100/sk/, co je sk tak sa mi stranka zobrazila.

loni jsem něco takového honil v naší síti, detekovali jsme ho díky chybové hlášce na osciloskopu s windows embedded. šlo o variantu conficker.b, všechny příznaky stejné jak popisuješ.
líbil se mi fór s těmi právy, datum podle ostatních souborů windows, spouštění přes záznam v registrech: svchost -> netsvc -> náhodný název. šířil se stažením do ie temporary net files pod účtem system, kde se maskoval za obrázek.
smrtící pro něj byla pevná velikost souboru 162.155 byte. pak už jen záplata ms08-067, dnes nahrazena ms12-054 - kromě služby server řeší i elevaci práv.

Zpět do poradny Odpovědět na původní otázku Nahoru