Zakerny virus a boj s nim
Dnes som zistil pri pokuse objednat zakaznikovi licenciu NODu, ze mi nejde stranka Esetu. Najprv som si myslel, ze Eset ma nejaky plosny vypadok, ale na moje prekvapenie sa adresa nereslvovala cez tracert, ale cez nslookup ano. Skusil som v rychlosti vymenu dns, potom som spustil stranku cez virtualneho linucha a tam isla.
Vedel som, ze je zle, co sa potvrdilo po chvilke badanie, boli blokovane vsetky stranky vacsich antivirovych firiem a stranky MS. Bolo mi to divne, pretoze som vedel, ze nakazeny nemozem byt dlho.
Presiel som registre, presiel procesy, sledoval som, co s pc odchadza a nic som nenasiel. V nudzovom rezime bezal pc bez problemov, takze som vedel na aku cast registrov sa zamerat. Pre zaujimavost som spustil par antivirovych a antimalware programov, samozrejme s negativnym vysledkom (ako som ocakaval).
V registroch som nasiel zaujimave sluzbicky (ihkwzqi a depfdsybu0, ktore obe volali skrytu kniznicu zo system32 s oznacenim zdjgjeh.dll.
Vo finale mi stacilo zmazat volanie tycho dvoch sluzieb svchostom a opat mam pristupny cely internet.
Zaujimava je vsak ochrana viru. Subor zdjgjeh.dll nesiel skopirovat, nemohol som ho uploadnut na net, nemohol som ho zmazat. Ked som skusal najst handler, ziadny som nenasiel, takze som stiahol unlocker, ktory mi dovolil ho premenovat aj presunut. Problem bol s pravami, subor mal vlastnika everyone s moznostou len spustania.
Spominam to preto, ze som subor neskor preveril cez 37 antivirov s tymto vysledkom.
Scanner results : 81% Scanner(s) (30/37) found malware!
Bohuzial NOD tuto dllku neidentifikoval a ostatne antiviry sa nevedeli zhodnut o aky typ virusu ide.
Ma s tym niekto nejake skusenosti, zaujima ma hlavne ako som mohol vir dostat, fakt netusim a to som virus nemal uz peknych par rokov.
Tento virus ma zaujal tym, ze sa nijako neprejavoval, ze sa maskoval za dllku a nepouzival oblubene exace, ze mal zmenene udaje o datume vzniku a zmeny a ze sa naviazal az cez dve servisne sluzby (naco?), navyse mi nie je jasne ako dokazal blokovat icmp a http, ked cez nslookup boli stranky pristupne a este ma zaujalo, ze kluce z registrov nesli odstranit ani v nudzovom rezime...atd atd. Proste taka kuriozitka.
Samozrejme ako spravny profik pouzivam admin ucet, system mam neupdatovany a antivir nepouzivam...sak viem co robim nie;o)?