← →Делфиец
(2010-01-29 10:17)
[0]
Если, кто умеет распиливать дампы могут посмотреть здесь:
http://depositfiles.com/files/257a9hcz5
Нашел в системе один драйвер с виду как будто от "Microsoft Corporation" описан как "IDE/ATAPI Port Driver", но в действительности совсем не то. Если удалить данный драйвер, он снова появляется в системе но имя генерируется в случайном порядке, сам образ файла на диске не возможно найти, я сделал дамп из памяти
- размер: 229376 бт.
- свойств и версии - нет
- закриптован
- редакторами ресурсов не открывается
- искал по размеру подобный файл на диске, найти не удалось.
- autoruns.exe определяет как не верифицированный файл
- AVZ - его верифицирует как не странно, хотя образа найти не возможно.
- Отправлял на исследование www.virustotal.com
результатов нет, только один от семантика и то не внятное
Symantec 20091.2.0.41 2010.01.29 Supicious.Insight
Дополнительная информация
File size: 229376 bytes
MD5...: c853995dbf0dea4237a3e224c3cb2fc9
SHA1..: 812a9e18c0a0ff3a42c27fe5704f7821903e5b15
SHA256: ca92592d301dc777a4e1d61b3552ff40af2dabe5670b381433b59928fff80985
ssdeep: 3072:8Bw3HuEoR4cTdjZpUxGAIP42SFn/QAmq2PcWi3kyeLN5a:xHuFjTxZixDP2
S9/mq2PcRUE
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x2a6d8
timedatestamp.....: 0x49c4fe02 (Sat Mar 21 14:47:30 2009)
machinetype.......: 0x14c (I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x23000 0x23000 6.71 14cf69e88bf9499633183435c9a99a09
.data 0x24000 0x2ff8 0x2600 6.15 0c1d811f3eb59aed3e31e3c27ecef4fb
PAGE 0x27000 0x2e15 0x3000 5.64 53d05de78158f1b5957eb4d8d481d200
INIT 0x2a000 0xd2c 0xe00 6.51 a92650f7d3ae71deb90537cfc783d5d6
.rsrc 0x2b000 0x330 0x400 6.29 9d59964bda336fc0d0a75ac140767fda
.dt0c 0x2c000 0x1072 0x1200 0.06 70565fbe9fe2c826f3cfdd0652e28832
.dt1 0x2e000 0x71a4 0x7200 0.00 8a46a4bc77a3f321996ff4079f834054
.reloc 0x36000 0x2000 0x2000 0.00 0829f71740aab1ab98b33eae21dee122
( 0 imports )
( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
pdfid.: -
Что это за хрень, как её выковырять из системы?
Я думаю, что какой-нибудь хитрый руткит.
← →oldman ©
(2010-01-29 11:23)
[1]
> Я думаю, что какой-нибудь хитрый руткит.
И ссылочку на скачку дает, добрый человек...
← →Лукошко
(2010-01-29 11:58)
[2]
Отправьте файл в лабораторию Касперского или ещё куда-нибудь. Сюда-то зачем?
← →Игорь Шевченко ©
(2010-01-29 13:05)
[3]
плохой файл, убей его
← →Делфиец
(2010-01-29 14:02)
[4]
> Лукошко (29.01.10 11:58) [2]
> Отправьте файл в лабораторию Касперского или ещё куда-нибудь.
> Сюда-то зачем?
Сюда для того, вдруг его кто распилит и сказать сможет руткит это или нет
А то аверы вси молчат, ни один не определяет его как вирус, но по действиям он вполне подходит под оный. На счет касперского, то я его уже засовывал этот в файл на онлайн проверку пока тишина.
Я вообще склоняюсь думать, что это вообще руткит, который распостраняется лабораторией Касперского
← →Делфиец
(2010-01-29 14:22)
[5]
Просматрев систему через RKU "Rootkit Unhooker" авных перехватов функций не видно, которые бы ли бы от посторонних драйверов, только от SanBox.sys
Но вот некотрые непонятные объекты наблюдаются что то на подобии atapi.sys atapi.sys 0xF7A37000 98308 [???][atapi.sys][sphj.sys][ntoskrnl.exe]
Вот на картинке показано (RKU) красным обведено
http://webfile.ru/4264541
Кто нибудь мог бы сказать, что это?
← →0x00FF00
(2010-01-29 14:49)
[6]
Хм. Попробую угадать не глядя... =)
В системе присутствует менеджер виртуальных CD/DVD?
← →Делфиец
(2010-01-29 15:09)
[7]
> 0x00FF00 (29.01.10 14:49) [6]
> Хм. Попробую угадать не глядя... =)В системе присутствует
> менеджер виртуальных CD/DVD?
У гадал-таки, и почему не глядя то вот он "sphj.sys" полиморф от "DAEMON Tools Lite".
← →KSergey ©
(2010-01-29 15:53)
[8]
> Делфиец (29.01.10 15:09) [7]
Я не понял, ответ был известен?
← →0x00FF00
(2010-01-29 16:07)
[9]
> Делфиец (29.01.10 15:09) [7]
Ну так а зачем параноить-то тогда?
Это обычная "деталь" DaemonTools.
Шифруется она так, видимо, для того чтобы обходить навороченные протекторы CD.
← →0x00FF00
(2010-01-29 16:08)
[10]
> У гадал-таки, и почему не глядя то вот он "sphj.sys" полиморф
> от "DAEMON Tools Lite".
и даже не "sphj", a "sp**", т.к. две последние буквы генерятся рандомно.
← →Игорь Шевченко ©
(2010-01-29 16:29)
[11]
Любой драйвер, который шифруется, подлежит удалению не глядя.
← →Делфиец
(2010-01-29 17:26)
[12]
"spxx.sys" - этот то понятно шифруется но этот что делает в RKU -> [???]
"spxx.sys" и каким образом он связан с тем дравером, о котором в начале поста говорил? > Делфиец[0]
← →Делфиец
(2010-01-29 17:37)
[13]
> Игорь Шевченко © (29.01.10 16:29) [11]
> Любой драйвер, который шифруется, подлежит удалению не глядя.
>
Хорошо так рассуждать, а если оно не удаляется, а если удаляется, то заново восстанавливается?
← →GDI+
(2010-01-29 17:51)
[14]
> Игорь Шевченко © (29.01.10 16:29) [11]
>
> Любой драйвер, который шифруется, подлежит удалению не глядя.
Угу а все программы нужно покупать за честную стоимость и зарабатывать от 5000$ в мес. Только мало кто такую зарплату даёт.
← →Делфиец
(2010-01-29 17:58)
[15]
Я в порыве приступа паранойи и тотального сканирования обнаружил еще кучу непонятных разуму объектов
+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.80.0.1077
+----------------------------------------------------
--== Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\ ==--
[FILE_STREAM]:
FullPath : C:\Documents and Settings\All Users\DRM:??????:$DATA
[FILE_STREAM]:
FullPath : C:\Documents and Settings\XXX\Рабочий стол\D E S K T O P\WEB\Земля пустая внутри! » Дневник контр-адмирала Берда (полностью).mht:�SummaryInformation:$DATA
[FILE_STREAM]:
FullPath : C:\Documents and Settings\XXX\Рабочий стол\D E S K T O P\WEB\Земля пустая внутри! » Дневник контр-адмирала Берда (полностью).mht:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}:$DATA
[FILE_STREAM]:
FullPath : C:\VIDEO\Январь 2010\Thumbs.db:encryptable:$DATA
[FILE_STREAM]:
FullPath : C:\Новая папка\CD-DVD\Запись CD-DVD\Alcohol 120% 1.9.8 (Build 7612)\Readme.txt:KAVICHS:$DATA
[FILE_STREAM]:
FullPath : C:\Новая папка\CD-DVD\Запись CD-DVD\Alcohol 120% 1.9.8 (Build 7612)\Thumbs.db:KAVICHS:$DATA
[FILE_STREAM]:
FullPath : C:\Новая папка\CD-DVD\Запись CD-DVD\Cheetah DVD Burner 2.41\CheetahDVDBurner.exe:.gltth:$DATA
[FILE_STREAM]:
FullPath : C:\Новая папка\Безопасность\Autorun Virus Remover 2.3 Build 0702\7694.jpg:Zone.Identifier:$DATA
[FILE_STREAM]:
FullPath : C:\Новая папка\Интернет\Браузеры\Apple Safari 4.0.2 Final\Скриншоты\Thumbs.db:encryptable:$DATADATA
--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.
Может кто-нибудь объяснить, для чего эти объекты существуют? Связаны они каким-нибудь боком с возможностью тайно запускать программы?
Или связаны ли они с руткитами?
← →Игорь Шевченко ©
(2010-01-29 18:25)
[16]
> Может кто-нибудь объяснить
Гугль может
http://www.google.ru
← →Anatoly Podgoretsky ©
(2010-01-29 20:45)
[17]
> Делфиец (29.01.2010 17:37:13) [13]
Чистое поведение вируса.
← →Anatoly Podgoretsky ©
(2010-01-29 20:46)
[18]
> GDI+ (29.01.2010 17:51:14) [14]
Да ты и на 2000 баксов не наработаешь, а тебе подавай аж 5000
← →Сергей
(2010-03-18 01:52)
[19]
Это дополнительные именованые стримы в NTFS, появляются когда меняешь св-ва файла ( автор, ключевые слова, и т.д. ),
но и запускатся всякая хрень с этих стримов может легко... вещь грандиозная этот NTFS
Помогите разобраться что это за ерунда Найти похожие ветки 