Zakerny virus a boj s nim

Dnes som zistil pri pokuse objednat zakaznikovi licenciu NODu, ze mi nejde stranka Esetu. Najprv som si myslel, ze Eset ma nejaky plosny vypadok, ale na moje prekvapenie sa adresa nereslvovala cez tracert, ale cez nslookup ano. Skusil som v rychlosti vymenu dns, potom som spustil stranku cez virtualneho linucha a tam isla.
Vedel som, ze je zle, co sa potvrdilo po chvilke badanie, boli blokovane vsetky stranky vacsich antivirovych firiem a stranky MS. Bolo mi to divne, pretoze som vedel, ze nakazeny nemozem byt dlho.
Presiel som registre, presiel procesy, sledoval som, co s pc odchadza a nic som nenasiel. V nudzovom rezime bezal pc bez problemov, takze som vedel na aku cast registrov sa zamerat. Pre zaujimavost som spustil par antivirovych a antimalware programov, samozrejme s negativnym vysledkom (ako som ocakaval).
V registroch som nasiel zaujimave sluzbicky (ihkwzqi a depfdsybu0, ktore obe volali skrytu kniznicu zo system32 s oznacenim zdjgjeh.dll.
Vo finale mi stacilo zmazat volanie tycho dvoch sluzieb svchostom a opat mam pristupny cely internet.
Zaujimava je vsak ochrana viru. Subor zdjgjeh.dll nesiel skopirovat, nemohol som ho uploadnut na net, nemohol som ho zmazat. Ked som skusal najst handler, ziadny som nenasiel, takze som stiahol unlocker, ktory mi dovolil ho premenovat aj presunut. Problem bol s pravami, subor mal vlastnika everyone s moznostou len spustania.
Spominam to preto, ze som subor neskor preveril cez 37 antivirov s tymto vysledkom.
Scanner results : 81% Scanner(s) (30/37) found malware!
Bohuzial NOD tuto dllku neidentifikoval a ostatne antiviry sa nevedeli zhodnut o aky typ virusu ide.
Ma s tym niekto nejake skusenosti, zaujima ma hlavne ako som mohol vir dostat, fakt netusim a to som virus nemal uz peknych par rokov.
Tento virus ma zaujal tym, ze sa nijako neprejavoval, ze sa maskoval za dllku a nepouzival oblubene exace, ze mal zmenene udaje o datume vzniku a zmeny a ze sa naviazal az cez dve servisne sluzby (naco?), navyse mi nie je jasne ako dokazal blokovat icmp a http, ked cez nslookup boli stranky pristupne a este ma zaujalo, ze kluce z registrov nesli odstranit ani v nudzovom rezime...atd atd. Proste taka kuriozitka.

Samozrejme ako spravny profik pouzivam admin ucet, system mam neupdatovany a antivir nepouzivam...sak viem co robim nie;o)?

Předmět	Autor	Datum
loni jsem něco takového honil v naší síti, detekovali jsme ho díky chybové hlášce na osciloskopu s w… lední brtník 27.04.2013 11:54	lední brtník	27.04.2013 11:54
Popisujes to iste, co ja len velkost mi nesedi, ja mam 103 660 bajtů, antivir od MS ho identifikuje… poslední fleg 27.04.2013 12:03	fleg	27.04.2013 12:03

Předmět

Autor

Datum

loni jsem něco takového honil v naší síti, detekovali jsme ho díky chybové hlášce na osciloskopu s w…

lední brtník 27.04.2013 11:54

lední brtník

27.04.2013 11:54

Popisujes to iste, co ja len velkost mi nesedi, ja mam 103 660 bajtů, antivir od MS ho identifikuje… poslední

fleg 27.04.2013 12:03

fleg

27.04.2013 12:03

loni jsem něco takového honil v naší síti, detekovali jsme ho díky chybové hlášce na osciloskopu s windows embedded. šlo o variantu conficker.b, všechny příznaky stejné jak popisuješ.
líbil se mi fór s těmi právy, datum podle ostatních souborů windows, spouštění přes záznam v registrech: svchost -> netsvc -> náhodný název. šířil se stažením do ie temporary net files pod účtem system, kde se maskoval za obrázek.
smrtící pro něj byla pevná velikost souboru 162.155 byte. pak už jen záplata ms08-067, dnes nahrazena ms12-054 - kromě služby server řeší i elevaci práv.

Popisujes to iste, co ja len velkost mi nesedi, ja mam 103 660 bajtů, antivir od MS ho identifikuje ako conficker.b. Mna v podstate zaujal tym istym, navyse aj v registroch boli vetvy treba najprv upravit pravami az potom sli vymazat, co mi prislo celkom vtipne;o).