Win32/Kryptik троян подцепил

← →
Piter © (2009-12-22 14:47) [0]

Впервые за несколько лет подцепил троян )) Хронология событий:

- NOD32 написал, что в папке "D&S\MyAccount\Главное меню\Программы\Автозагрузка\siszyd32.exe" находится троянский файл Win32/Kryptik.BMF , событие связано с svchost.exe. Я очень удивился и не втыкнул... То ли svchost зачем-то полез в автозагрузку и "смотрел" файлы, то ли он туда сам и записал этот siszyd32.exe. Может быть файлы из автозагрузки запускает при входе именно svchost?

- после этого стал сканировать диски. По пути "c:\windows\system32\winsrv32.exe" обнаружился троян Win32/Kryptik.BKZ , файл удалил

- в реестре (не помню уж в какой секции, вроде Registry -> Machine Run) был автозапуск этого "c:\windows\system32\winsrv32.exe", удалил. При этом NOD32 не ругался никогда на трояны / вирусы в памяти

- прошло несколько дней. И тут NOD32 опять выдает таблицу, что найден вирус в
"C:\System Volume Information\_restore{52996F55-CB0A-4065-8C8C-AF0B0DAD2DE4}\RP67\a0009115.exe" , причем событие опять связано с "c:\WINDOWS\system32\svchost.exe" , файл "a0009115.exe" удалил.

Сам "c:\windows\system32\svchost.exe" файл нормальный, занимает положенный ему размер в 14 336 байт (WIN XP SP3 RUS).

Я искал информацию об этом трояне в интернете. Принцип работы, к сожалению, не нашел, да и вообще информация скудная. У меня сформировалось несколько вопросов:

1) каким образом этот троян распространяется? (и насколько разные эти трояны Win32/Kryptik.BMF и Win32/Kryptik.BKZ). То есть, хочется знать, как я его подцепил. Возможные USB storage device в виде плеера и КПК я посмотрел, там нет файла autorun.inf (вроде другого способа автоматического запуска с флешки нету), другие устройства не использую

Подозрение еще насчет старого IE6 (но у него достаточно свежее обновление http://www.microsoft.com/downloads/details.aspx?FamilyID=22bed634-5227-4a22-8df5-801f3e2e232a&displaylang=en - от 7/28/2009, хотя с той поры может быть появились критические дырки). Этот IE используется обычно для тестирования совместимости сайтов, но по идее мог залезть на какой-нибудь нехороший сайт с помощью него, а так дефолтный браузер это Firefox последней версии.

Хотелось бы понять как распространяется этот троян, может у кого есть информация

2) не нравится мне, что отловленные монитором NOD32 события по троянским файлам связаны с svchost.exe. В принципе, ничего такого, если:
svchost.exe вполне может при определенных обстоятельствах "полезть" в "Главное меню\Программы\Автозагрузка\"
svchost.exe вполне может при определенных обстоятельствах "полезть" в точку восстановления

Если svchost.exe действительно мог совершать эти действия (например, зачем то открывать на чтение эти файлы или получать список файлов в этих папках), то проблем нету, но зачем он это делает? Замечу, что когда отловилось событие с файлом точки восстановления "...\RP67\a0009115.exe" то в это время ничего не восстанавливалось, я вообще к службе восстановления давно не прикасалс. Отошел покушать, возвращаюсь - висит красное окно NOD32 с предупреждением.

3) мог ли файл с трояном легальным образом попасть в точку восстановления? Ведь троян был по адресу "c:\windows\system32\winsrv32.exe", я не знаю как работает система восстановления. Один раз записав туда EXE"шник - система будет его контролировать и делает резервные копии всех EXE файлов в каталоге с windows?

Вот такие волнующие меня три вопроса.

← →
cwl © (2009-12-22 15:26) [1]

в svchost мог быть внедрен сторонним процессом поток - при наличии соотв. прав, i guess

← →
Piter © (2009-12-22 15:36) [2]

может такое быть, согласен. В принципе, это один из вариантов ответа на вопрос номер 2)

← →
antonn © (2009-12-22 16:45) [3]

> Замечу, что когда отловилось событие с файлом точки восстановления
> "...\RP67\a0009115.exe" то в это время ничего не восстанавливалось,
> я вообще к службе восстановления давно не прикасалс

может оно не восстанавливалось, а бекапилось, либо шла проверка на "срок годности".

аналогично подхватил эту гадость, лежала в темпах (local settings), ехе весом под 35кб. В св-вах указана была что то типа "Nero BurnRights Control Panel", что несколько удивило (неро был, но поставлен давно, и без этого барахла). Но нод на то время вирус не определял, во фаерволу она никуда не случалась. Удалил ее, стал несколько дней следить за темпами. Заметил, что после краша браузера (ФФ, без надстроек) появлялся новый ехе в темпах, с разными св-вами косящими под реальные продукты (неро апдейт центре, неро лицензед верифиер), но размеры 30-40кб.
Позже НОД обновился, и обнаружился Криптик.BGI и BHA. Перешерстил все службы, надстройки, порты, перелопалил все - ну неоткуда. Грешу на ноут в своей подсети, там тоже были вирусы (другие, дамы не особо заморачиваясь пихали в них флешки и запускали проги из писем "посмотри как мы оторвались на этих выходных http://dsfsdfdsf.cm/exe"), а на моем компе учетка Пользователя была без пароля, может вирусняк по шаре копирнулся как то...

← →
Piter © (2009-12-22 16:57) [4]

antonn © (22.12.09 16:45) [3]
может оно не восстанавливалось, а бекапилось, либо шла проверка на "срок годности".

да вполне вероятно. Вопрос был в том, разве этим занимается именно svchost? Если да - то никаких проблем. Я писал:

если:
svchost.exe вполне может при определенных обстоятельствах "полезть" в "Главное меню\Программы\Автозагрузка\"
svchost.exe вполне может при определенных обстоятельствах "полезть" в точку восстановления

Если действительно все так и он может так - то никаких проблем. Он просто вызвал активность по которой NOD32 стал проверять файлы и нашел вирусняк. Я спрашивал про то - может ли.

И еще интересует два вопроса - собственно, как он попал в мой комп.
И второе - как он попал в точку восстановления. Опять же, если винда автоматически бекапит все EXE"шники (как бы они туда не попали) из директории windows\system32, то тогда тоже все понятно.

← →
Piter © (2009-12-22 16:59) [5]

antonn © (22.12.09 16:45) [3]
аналогично подхватил эту гадость, лежала в темпах (local settings), ехе весом под 35кб

antonn © (22.12.09 16:45) [3]
может вирусняк по шаре копирнулся как то...

а причем тут шара, если вирусняк обнаруживался в темпах браузера?

Хм, надо сказать что я тоже обнаруживал вирусняки в темпах браузера.. Так значит судя по всему уязвимость в Firefox есть? И ты им пользовался, и я.. И у обоих копии трояна в темповых директориях... Я грешил на IE 6 сначала.. На твоем компе пользуются IE и в частности шестой версией?

← →
Piter © (2009-12-22 17:05) [6]

блин, в общем поэтому я и хочу найти информацию о том, как конкретно этот вирус распространяется и распространяется ли самостоятельно, используя какие-то дырки.

Если распространяется через браузеры, то тогда вопрос сводится к одному - он попал ко мне или через дырявый FF, или через дырявый IE 6. Я склоняюсь к последней версии, хотя в качестве основного браузера у меня FF.
Если же дыра в FF - это плохо...

← →
antonn © (2009-12-22 17:09) [7]

> а причем тут шара, если вирусняк обнаруживался в темпах
> браузера?

C:\Documents and Settings\antonn\Local Settings\Temp

> Вопрос был в том, разве этим занимается именно svchost?

потому что это хост, а служба восстановления может им пользоваться? :)
служба индексации? программа очистки диска? (ведь у обычного юзера туда нет доступа (разрешен вход только для SYSTEM), значит программа очистки дисков чем то пользуется системным?)

ие у меня навечно с момента установки в фаерволе забанен :)
ФФ1.0 =)

← →
Piter © (2009-12-22 17:31) [8]

То есть, вирус ты не через IE подцепил...

Хм, а у меня как раз исключается вариант через шару, нет ее. Также я почти исключил вариант насчет флешек. У меня их как таковых нету, давно никакими не пользовался, есть плеер и КПК, но там чисто.

Или это просто сетевая уязвимость в windows (у меня достаточно свежие обновления) или через FF получается.. Но у меня FF последний всегда (сейчас 3.5.6), у тебя вообще первая версия.

Получается, в FF есть уязвимость еще с первой версии и не вылеченная до сих пор? Странно, странно.

И точно также обнаруживается копия вируса в "Local Settings\Temp". Как она туда попадает?! Или это именно действие вируса, что он свою копию пишет туда? Но почему-то там она обнаруживается, а в памяти нет.

antonn © (22.12.09 17:09) [7]
ведь у обычного юзера туда нет доступа (разрешен вход только для SYSTEM

с одной стороны да. С другой стороны из под аккаунта администратора ничего не мешает дать себе доступ в эта папку, записать туда что-то, а потом для невидимости снять доступ, как бдуто ничего и не было )

Но как туда вирус попал? А точнее, специально ли он это сдела и если да - то зачем? Чтобы при откате восстановиться?

← →
Piter © (2009-12-22 17:34) [9]

есть еще вариант. Adobe признала уязвимость в java обработке сценариев в PDF файлах, а исправление выпустят только в январе. У тебя в качетве PDF ридера используется Acrobat Reader? Может через него зараза лезет, открываешь PDF файлы?

С другой стороны я выключил обработку java в настройках ридера, но может зараза успела просочиться чуть раньше...

← →
antonn © (2009-12-22 17:53) [10]

Про падение ФФ - может и совпадение, просто когда он падает я злюсь, и пока запускается (а запуск после краша с подвисонами - кеш чистит) я лезу в темп :)

насчет Явы - она, к сожалению, стоит (из-за упса APC). И по pdf тоже интересно - http://www.php.ru/forum/viewtopic.php?t=22185 . В тот день мне наинжектили гадостей на сайте, и при открытии страницы открывался Актобат (версии 5.0). Но после я вообще провел генеральную проверку. Так же замечу что иногда бывает акробат открывается в других сайтах (часто при поиске попадаю на какой нить сайт, там попап, и с него что то пытается открыться) и в конце открытия выдает "документ поврежден".

Все таки думаю что мне скинули его с ноута по сети, там прям в C:\Documents and Settings\antonn\Local Settings\ валялись файлы ехе (и до вчерашнего дня валялись, пока я их просто не удалил, новый НОД в них не видел гадостей). Думаю мож по сети в шару кинулись. Либо сидит какая нить гадость "downloader" и качает, но фаервол то настроен так что не переключив режим в нем даже окно на новое правило не появляется.

Вообще я нашел Криптик 1 декабря. После массовых проверок больше ничего в темпах не появляется. До 1декабря у меня стоял НОД2.53 (последние цифры не помню), и вот с ним возникла такая неприятность - я привык когда все антивирусы срабатывают на файлы даже если откроешь папку (перебор файлов "браузером" и сразу их проверка на лету), а тут заметив ехе я выделяю его - слева в сайдбаре показывается его размер. Открцываю св-ва файла, читаю инфо и прочее. Щелкаю правой кнопкой, в меню "проверка на вирус" - нод находит вирус.
Скачал НОД4, получил лицензию на 3 месяца, он проверяет файлы все и на лету, как и надо. Что случилось со старым нодом я не пойму :(

Из вне ко мне на шару довольно трудно добраться, стоит маршрутизатор с НАТ, да и сомневаюсь что динамический адрес стрима так же пробивается насквозь. Грешу на домашних, втыкают флешки туда-сюда, дипломы пишут, а значит это вся помойка интернета с кучами рефератов.

Если кто сообращает - могу выслать архив с вирусом Kryptic.BGI, сам я его теперь даже распаковать не могу, а с виртуальными машинами связываться не хочется :)

← →
antonn © (2009-12-22 17:56) [11]

да, и еще - впервые за много лет мне был подправлен файлик hosts, в котором редиректы стояли с однокласников и моего_мира.

← →
boa_kaa © (2009-12-22 21:26) [12]

Читал и рыдал
Мужики, если антивирус находит "что-то" в RP, убивайте их все, если в темпе, убить весь темп
Всех дырок в системе/броузерах/(и кстати, особенно)в адобовских продуктах не пересчитать, да и бессмысленно это
Занятие типа: я заболел гриппом и сижу думаю, где я его мог подцепить, в трамвае или в гостях, а может и вовсе в налоговой
Тут только лечиться и витамины пить
Ну и под админом не сидеть - меньше шансов поймать эксплойт, который сам по получает админские или системные права

PS. Мне такие штуки по пять раз на дню приходится выковыривать

← →
Anatoly Podgoretsky © (2009-12-22 21:30) [13]

> boa_kaa (22.12.2009 21:26:12) [12]

Лучше сидеть в бане.

← →
boa_kaa © (2009-12-22 21:41) [14]

> Anatoly Podgoretsky © (22.12.09 21:30) [13]

эх, кто бы спорил, но не я...

← →
Smile (2009-12-22 21:55) [15]

> Читал и рыдал
> Тут только лечиться и витамины пить

Действительно. А кто мешает погуглить по winsrv32.exe
Ну и, конечно, своевременно обновлять антивирусы.
А сейчас, скорее всего, необходимо прогнать на компе CureIt и AVZ

Успехов

← →
Smile (2009-12-22 21:57) [16]

← →
boa_kaa © (2009-12-22 22:17) [17]

> Smile (22.12.09 21:55) [15]

спасибо, еще насмешил

← →
antonn © (2009-12-23 00:15) [18]

> Мужики, если антивирус находит "что-то" в RP

Когда что-то находит - убиваем, когда он что то не находит - это подозрительно.

> Занятие типа: я заболел гриппом и сижу думаю, где я его
> мог подцепить, в трамвае или в гостях, а может и вовсе в
> налоговой
> Тут только лечиться и витамины пить

Это вполне нормально - искать причину появления, дабы закрыть дырку и предотвратить повторное заражение. То, что это нужно лечить и так понятно

← →
antonn © (2009-12-23 00:16) [19]

> PS. Мне такие штуки по пять раз на дню приходится выковыривать

стоит потратить немного времени, найти дырку, и не нужно будет по пять раз на дню выковыривать

← →
Наиль © (2009-12-23 00:31) [20]

Нужно прогнать c:\windows\system32\winsrv32.exe через http://www.virustotal.com/ru/
Так вы узнаете другие названия вируса.
А по названиям найдёте описания вируса и дыр.
Сделайте поиск в поисковике адреса, куда ссылался hosts

← →
Наиль © (2009-12-23 00:53) [21]

Не знаю откроется ли у вас эта ссылка, но всё-таки попробуйте
http://virusinfo.info/search.php?searchid=1099231
О лечении криптика.
Криптики, судя по инфе из интернета, программы подделки.
Вспоминайте, что скачивали и устанавливали на компьютер в последнее время.

← →
Rouse_ © (2009-12-23 02:59) [22]

Мне интересно, а почему NOD32 называют антивирусом? Что он такое делает - то?

← →
Аноним © (2009-12-23 03:04) [23]

> Мне интересно, а почему NOD32 называют антивирусом? Что
> он такое делает - то?

а что он делает не так?
вроде перехват таблицы системных и shadow таблицы уже все умеют, нет?

← →
Rouse_ © (2009-12-23 03:06) [24]

> а что он делает не так?
> вроде перехват таблицы системных и shadow таблицы уже все
> умеют, нет?

Ах, ну да - на этом видимо и нужно остановиться, или таки антивирь должен идти немного дальше, чтоб его не имели во все щели?

← →
Аноним © (2009-12-23 03:09) [25]

> Ах, ну да - на этом видимо и нужно остановиться, или таки
> антивирь должен идти немного дальше, чтоб его не имели во
> все щели?

что имеется в виду?
посадка первым туда? защита от модификаций своего кода? еще что-то?
я к есету отношения не имею, мне просто интересно

← →
Игорь Шевченко © (2009-12-23 03:12) [26]

Rouse_ © (23.12.09 02:59) [22]

> Мне интересно, а почему NOD32 называют антивирусом? Что
> он такое делает - то?

Изучай:
http://www.eset.com/products/nod32.php

← →
Rouse_ © (2009-12-23 03:14) [27]

Ну вот тебе на вскидку - инжект кода в доверенное приложение не отслеживается. Увы и ах. Контроль целостности самого себя не хотят правильно делать. Я уж не говорю о казалось бы банальной вещи как контроль доступа к Physical Memory.

← →
Rouse_ © (2009-12-23 03:15) [28]

> Игорь Шевченко © (23.12.09 03:12) [26]

Игорь, сию муру процитируй плз на то-же касперском, симантике и дрвебе. Тебе много линков для изучения пришлют.

Rouse_ © (23.12.09 03:15) [28]

> Тебе много линков для изучения пришлют.

Про Касперского и Дрвеба и без того много линков. По большей части матерных.

> Ну вот тебе на вскидку - инжект кода в доверенное приложение
> не отслеживается. Увы и ах. Контроль целостности самого
> себя не хотят правильно делать. Я уж не говорю о казалось
> бы банальной вещи как контроль доступа к Physical Memory.
>

tnx
изучу
не знал, что так плохо

Ну это все от безграмотности.
Пользователи - что с них взять, сам знаешь ;)
Ошибки - это философия...
Рассказывают, что где-то за окияном есть компьютер на котором что-то не работает ;)

> Ну это все от безграмотности.

Или от дилетантства.

продолжим обсуждение (интересно)
на рсдн недавно ругали макафи за излишнию паронаидальность
это нормально?

Про макафи не скажу - но Simantec страдает параноей при вызове sysenter. Обходится правкой MSR.
NOD32 тормозит на всех составных файлах (IStorage) причем ему походу параллельно на исключения по расширению файла. (MSI-туда же)
Каспер (самый последний) и комодо просто параноинально относятся к изменениям в памяти процесса и исполнению кода на стэке (DEP отключен но они берут на себя его функуции по всей видимости).
Керио и Аутпост - помягче, но так же не допускают исполнения кода на стеке или из кучи, но более того, если при этом происходит вызов железяки через DeviceIO программа может мягко умереть.
Самый гуманный - это какой-то зверь от майкрософт, не помню как он называется, ну типа защитник всего. Он без вообще всяких предупреждений и диалогов тупо убивает программу с диска и все :)

> Про макафи не скажу

я сейчас поищу ссылку

> Каспер (самый последний) и комодо

доставляли хлопот, да

> Самый гуманный - это какой-то зверь от майкрософт, не помню
> как он называется, ну типа защитник всего. Он без вообще
> всяких предупреждений и диалогов тупо убивает программу
> с диска и все :)

гуманно :-)

нашел
http://www.rsdn.ru/forum/message/3622824.1.aspx
унутре ветки отписывался Крис Касперски (мне все равно кто и как к нему относится) он сейчас в макафи и работает

А что Крис - ну раньше был немножко плагиатщиком - подумаешь, но в последние полтора года вроде на гора выдает собственный реверс. Умница.
Но вот ссылка немного не в тему, это фалсаларм, с которым должны работать не производители ПО, а производители АВ. Мы, например, контактируем в тремя крупными АВ разработчиками и периодически приходится перенапрявлять запросы в нашу тех поддержук на них. Обычно решается все часа за два.

ЗЫ: кстати у Криса и конторы, на которую он сейчас работает, есть оригинальный эмулирующий отладчик с графами. Вот где сама соль... Я тоже такое хочу :)

ссылка как раз в тему - касается всех производителей самопальных защит - тебя и меня, как понимаю
фалсы - удар лично по моему корману

Win32/Kryptik троян подцепил Найти похожие ветки