Заметка юзера Gol

Зараза подменяет файл hosts.

вирус троян

Всё-таки это случилось - Катюха подцепила (под своей учёткой) заразу. На моём основном ноуте :-( NOD32 заразу не увидел, но он давно не обновлялся ибо лицензия кончилась. Так что сразу появился повод продлить лицуху.

Короче, трояшка интересная, уже почти все её копии поубивал, но она ещё живая. Щас вот основной ноут проверяется в безопасном режиме AVZ и NOD32.

Раскопки дали много интересного, но это попозже опишу. Пролез трояшка под оперой через жаву (jre). NOD32 его определяет как Kriptik. Заметили когда Катюха попыталась во "вконтакте" зайти, на его главной странице появилось сообщение с просьбой отправить смс.

Оказалось, подмена hosts. Но не банально, а весьма интересно.

Продолжение...


Началось всё банально - Катюха заявила что не может попасть на "Вконтакте". Я сначала подумал что винлокер какой-нить, но оказалось что сообщение с просьбой отправить смс - на главной странице "вконтакта". Понятно, что подмена сервера. Полез в %WINDIR%\system32\drivers\etc\hosts А там пусто. Только локалхост прописан.

Стало интересно. Прогнал AVZ - ругается на большое количество хуков на системные вызовы, связанные с файловой системой (и не только).

Функция NtCreateFile (42) - модификация машинного кода. Метод не определен.
Функция NtEnumerateKey (74) - модификация машинного кода. Метод не определен.
Функция NtEnumerateValueKey (77) - модификация машинного кода. Метод не определен.
Функция NtOpenFile (B3) - модификация машинного кода. Метод не определен.
Функция NtQueryDirectoryFile (DF) - модификация машинного кода. Метод не определен.
Функция NtQueryKey (F4) - модификация машинного кода. Метод не определен.
Функция NtQuerySystemInformation (105) - модификация машинного кода. Метод не определен.
Функция NtCreateFile (83088E82) - модификация машинного кода. Метод не определен.
Функция NtOpenFile (830B85C4) - модификация машинного кода. Метод не определен.
Функция NtQueryDirectoryFile (830B862F) - модификация машинного кода. Метод не определен.
Функция NtQuerySystemInformation (83074416) - модификация машинного кода. Метод не определен.


В безопасном режиме, в том же каталоге что и hosts обнаружился файлик с именем host2 Его содержимое очень доставило:

dsf45453
85.234.190.72 www.telebank.ru
85.234.190.73 www.vk.com
85.234.190.73 mail.ru
85.234.190.73 www.mail.ru
85.234.190.72 telebank.ru
85.234.190.73 www.vkontakte.ru
85.234.190.73 vk.com
85.234.190.73 www.odnoklassniki.ru
85.234.190.39 www.alfabank.ru
85.234.190.39 alfabank.ru
85.234.190.39 click.alfabank.ru
85.234.190.39 www.click.alfabank.ru
85.234.190.73 www.odnoklassniki.ua
85.234.190.73 odnoklassniki.ua
85.234.190.73 odnoklassniki.ru
85.234.190.73 vkontakte.ru
gh54646455454


Сразу же послал Катюху за маленький ноут, быстренько менять все свои пароли. Тут даже Альфа Банк фигурирует, которым я с некоторых пор пользуюсь. Но там пароли одноразовые, в СМСках приходит, так что не страшно. Но всё равно неприятно.

Короче, осталось найти собссно заразу, которая этот файлик подменяет. Перегрузился в обычный режим - а файлика нет. Просто тупо в каталоге нет файла с именем host2 И в консоли нет, команда dir его не показывает. А вот команда dir host2 - показывает :-) Причём, этот файл можно копировать, открывать, удалять (но он всё равно заново создаётся). Если в любом месте диска, или даже вообще на другом диске создать файл с таким же именем - сразу пропадает. Короче, тут вспомнил что хуки висят. Вот зараза файлик и маскирует.

Самое фиговое что ни AVZ, ни NOD32 заразу не находят. Правда, на Ноде лицензия кончилась, так что быстренько купил продление. Но всё равно, ничего вредного не нашлось. Оно и понятно - ныкается. Надо грузиться с LiveCD. А у меня под рукой ничего подходящего нет :-( Да и хотелось ручками заразу искоренить.

Благодаря AVZ удалось найти зацепку:

7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "illyhadt"


Этот illyhadt.sys находился в c:\windows\system32\drivers и наотрез отказывался открываться, не то что удаляться. И в реестре не давал себя убрать. В диспетчере устройств, в списке несамонастраиваемых устройств нашлось такое устройство - "illyhadt". Правда, удаляться оно наотрез не возжелало - ругалось что устройство повреждено и функционирует неправильно.

Пришлось, всё-таки, грузиться с LiveCD и прогонять антивири. Которые быстренько отыскали этот illyhadt.sys и прикончили. Я уж было обрадовался, однако, снова загрузившись в винду, увидел что файлик host2 снова маскируется. Снова его кто-то прикрывает, и снова те же хуки висят. Но время было позднее, хотелось спать. Так что с быстренько скачал загрузочный диск винды, снёс старую, двухлетней выдержки, Win7 и накатил новенькую. Так что сейчас у меня чистенькая Windows 7.

Да, вот такой я виндузятник. Линухи на домашних машинах не очень уважаю. На серверах - тем более. А вот фря на серваках - это да, фря рулит!

UPD> Кстати, NOD32 заразу определил как Win32/Agent.RKL и как Win32/Kryptik.FWU
UPD> А пролезла она, реально, через браузер Opera при установленной Java. А Катюха всего-то хотела mp3 скачать по присланной подругой ссылке...
Копия в ЖЖ Gol      Воскресенье, 19 Сентября, 2010 00:38       14


Добавить комментарий
 

Гость Воскресенье, 19 Сентября, 2010 02:18 цитировать ссылка на коммент

Ждём подобностей)

 

 

Katenok Воскресенье, 19 Сентября, 2010 08:00 цитировать ссылка на коммент

В "Одноклассники" я сначала пыталась зайти

 

 

SysCat Воскресенье, 19 Сентября, 2010 11:05 цитировать ссылка на коммент

Попробуй проверить Spy Bot Search&Destroy
а так же кое что скинул в аську

 

 

Гость Понедельник, 20 Сентября, 2010 02:03 цитировать ссылка на коммент

Такая же хрень как у меня из за взлома контактов заблокирован вход на ОДНКЛ.
Роман Евгенич.

 

 

Katenok Среда, 22 Сентября, 2010 17:05 цитировать ссылка на коммент

Эх... не "хотела", а СКАЧАЛА...

 

 

Гость Суббота, 9 Октября, 2010 15:01 цитировать ссылка на коммент

>Линухи на домашних машинах не очень уважаю.

ну да, вин безусловно лучше, если че, переустановил и никаких проблем

 

 

Gol Суббота, 9 Октября, 2010 15:11 цитировать ссылка на коммент

Да не :-) Ну вот не нравится мне, подчёркиваю, дома на основном рабочем ноуте. Серваки у меня почти все под FreeBSD, никакой винды. Но то серваки. А винды переустанавливаю редко, в этот раз всё-таки переустановить решил ибо за два года много мусора накопилось.

 

 

Гость Понедельник, 20 Декабря, 2010 23:09 цитировать ссылка на коммент

А откуда скачалось-то? Интересно его бы поковырять

 

 

Gol Понедельник, 20 Декабря, 2010 23:27 цитировать ссылка на коммент

Хз откуда скачалось, если честно :-(

 

 

Virus907 Суббота, 19 Февраля, 2011 23:03 цитировать ссылка на коммент

Цитата: >Линухи на домашних машинах не очень уважаю.

ну да, вин безусловно лучше, если че, переустановил и никаких проблем



А Линуху и долбить причин по сути нет обычно, вирусов под неё написано - на пальцах пересчитать можно, а больше по сути ни что и сломать ОС то не может (если руки прямые и из правильного места растут).

 

 

Gol Суббота, 19 Февраля, 2011 23:05 цитировать ссылка на коммент

Я Линух именно на домашней машине не особо уважал ибо не всё удавалось настроить, ещё во времена мандривы. А потом попробовал Убунту, протащился и щас на секурной домашней машине именно убунта царствует.

 

 

Гость Вторник, 20 Декабря, 2011 19:11 цитировать ссылка на коммент

Цитата: Такая же хрень как у меня из за взлома контактов заблокирован вход на ОДНКЛ. Роман Евгенич.


Цитата: ОДНКЛ


одноклеточный ты наш..

 

 

Гость Среда, 21 Ноября, 2012 12:32 цитировать ссылка на коммент

Для тех, кто как я, придет сюда из гугла в отчаиньи - имел BSOD на XP при попытке запустить/установить DrWeb или KAV. LiveCD Drweba молчал, AVZ выдал похожее на ваше сообщение о хуках функций из ядра. Нашелся также файл host7. В итоге хуки пропали и антивир установился после удаления из windirы файла gigalan.sys, ассоциированного с устройством newdriver. На этот файл навел RootkitRevealer http://technet.microsoft.com/ru-ru/sysinternals/bb897445(en-us).aspx

 

 

Gol Среда, 21 Ноября, 2012 14:25 цитировать ссылка на коммент

2 Гость:
Sysinternals рулят, однозначно. Правда, их MS давно купил, но качество вроде не пострадало.

 

Сколько букв в слове Гол?

Вы вошли как Гость      

Сейчас на сайте: 0
и 6 гостей






Страница сгенерирована за 0.0043091773986816 мкс

cached