Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2010.08.27;
Скачать: [xml.tar.bz2];

Вниз

Помогите разобраться что это за ерунда   Найти похожие ветки 

 
Делфиец   (2010-01-29 10:17) [0]

Если, кто умеет распиливать дампы могут посмотреть здесь:
http://depositfiles.com/files/257a9hcz5

Нашел в системе один драйвер с виду как будто от "Microsoft Corporation" описан как "IDE/ATAPI Port Driver", но в действительности совсем не то.  Если удалить данный драйвер, он снова появляется в системе но имя генерируется в случайном порядке, сам образ файла на диске не возможно найти, я сделал дамп из памяти
- размер: 229376 бт.
- свойств и версии  - нет
- закриптован
- редакторами ресурсов не открывается  
- искал по размеру подобный файл на диске, найти не удалось.
- autoruns.exe определяет как не верифицированный файл
- AVZ - его верифицирует как не странно, хотя образа найти не возможно.

- Отправлял на исследование www.virustotal.com
результатов нет, только один от семантика и то не внятное

Symantec 20091.2.0.41 2010.01.29 Supicious.Insight

Дополнительная информация
File size: 229376 bytes
MD5...: c853995dbf0dea4237a3e224c3cb2fc9
SHA1..: 812a9e18c0a0ff3a42c27fe5704f7821903e5b15
SHA256: ca92592d301dc777a4e1d61b3552ff40af2dabe5670b381433b59928fff80985
ssdeep: 3072:8Bw3HuEoR4cTdjZpUxGAIP42SFn/QAmq2PcWi3kyeLN5a:xHuFjTxZixDP2
S9/mq2PcRUE
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2a6d8
timedatestamp.....: 0x49c4fe02 (Sat Mar 21 14:47:30 2009)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x23000 0x23000 6.71 14cf69e88bf9499633183435c9a99a09
.data 0x24000 0x2ff8 0x2600 6.15 0c1d811f3eb59aed3e31e3c27ecef4fb
PAGE 0x27000 0x2e15 0x3000 5.64 53d05de78158f1b5957eb4d8d481d200
INIT 0x2a000 0xd2c 0xe00 6.51 a92650f7d3ae71deb90537cfc783d5d6
.rsrc 0x2b000 0x330 0x400 6.29 9d59964bda336fc0d0a75ac140767fda
.dt0c 0x2c000 0x1072 0x1200 0.06 70565fbe9fe2c826f3cfdd0652e28832
.dt1 0x2e000 0x71a4 0x7200 0.00 8a46a4bc77a3f321996ff4079f834054
.reloc 0x36000 0x2000 0x2000 0.00 0829f71740aab1ab98b33eae21dee122

( 0 imports )

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
pdfid.: -


Что это за хрень, как её выковырять из системы?
Я думаю, что какой-нибудь хитрый руткит.


 
oldman ©   (2010-01-29 11:23) [1]


> Я думаю, что какой-нибудь хитрый руткит.


И ссылочку на скачку дает, добрый человек...


 
Лукошко   (2010-01-29 11:58) [2]

Отправьте файл в лабораторию Касперского или ещё куда-нибудь. Сюда-то зачем?


 
Игорь Шевченко ©   (2010-01-29 13:05) [3]

плохой файл, убей его


 
Делфиец   (2010-01-29 14:02) [4]


> Лукошко   (29.01.10 11:58) [2]
> Отправьте файл в лабораторию Касперского или ещё куда-нибудь.
>  Сюда-то зачем?


Сюда для того, вдруг его кто распилит и сказать сможет руткит это или нет

А то аверы  вси молчат, ни один не определяет его как вирус, но по действиям он вполне подходит под оный. На счет касперского, то я его уже засовывал этот в файл на онлайн проверку пока тишина.

Я вообще склоняюсь думать, что это вообще руткит, который распостраняется лабораторией Касперского


 
Делфиец   (2010-01-29 14:22) [5]

Просматрев систему через RKU "Rootkit Unhooker" авных перехватов функций не видно, которые бы ли бы от посторонних драйверов, только от SanBox.sys
Но вот некотрые непонятные объекты наблюдаются что то на подобии atapi.sys atapi.sys 0xF7A37000 98308 [???][atapi.sys][sphj.sys][ntoskrnl.exe]
Вот на картинке показано (RKU) красным обведено
http://webfile.ru/4264541

Кто нибудь мог бы сказать, что это?


 
0x00FF00   (2010-01-29 14:49) [6]

Хм. Попробую угадать не глядя... =)
В системе присутствует менеджер виртуальных CD/DVD?


 
Делфиец   (2010-01-29 15:09) [7]


> 0x00FF00   (29.01.10 14:49) [6]
> Хм. Попробую угадать не глядя... =)В системе присутствует
> менеджер виртуальных CD/DVD?


У гадал-таки, и почему не глядя то вот он "sphj.sys" полиморф от "DAEMON Tools Lite".


 
KSergey ©   (2010-01-29 15:53) [8]

> Делфиец   (29.01.10 15:09) [7]

Я не понял, ответ был известен?


 
0x00FF00   (2010-01-29 16:07) [9]

> Делфиец   (29.01.10 15:09) [7]

Ну так а зачем параноить-то тогда?
Это обычная "деталь" DaemonTools.
Шифруется она так, видимо, для того чтобы обходить навороченные протекторы CD.


 
0x00FF00   (2010-01-29 16:08) [10]


> У гадал-таки, и почему не глядя то вот он "sphj.sys" полиморф
> от "DAEMON Tools Lite".

и даже не "sphj", a "sp**", т.к. две последние буквы генерятся рандомно.


 
Игорь Шевченко ©   (2010-01-29 16:29) [11]

Любой драйвер, который шифруется, подлежит удалению не глядя.


 
Делфиец   (2010-01-29 17:26) [12]

"spxx.sys" - этот то понятно шифруется но этот что делает в RKU -> [???]

"spxx.sys" и каким образом он связан с тем дравером, о котором в начале поста говорил? > Делфиец[0]


 
Делфиец   (2010-01-29 17:37) [13]


> Игорь Шевченко ©   (29.01.10 16:29) [11]
> Любой драйвер, который шифруется, подлежит удалению не глядя.
>


Хорошо так рассуждать, а если оно не удаляется, а если удаляется, то заново восстанавливается?


 
GDI+   (2010-01-29 17:51) [14]


> Игорь Шевченко ©   (29.01.10 16:29) [11]
>
> Любой драйвер, который шифруется, подлежит удалению не глядя.


Угу а все программы нужно покупать за честную стоимость и зарабатывать от 5000$ в мес. Только мало кто такую зарплату даёт.


 
Делфиец   (2010-01-29 17:58) [15]

Я в порыве приступа паранойи и тотального сканирования обнаружил еще кучу непонятных разуму объектов

+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.80.0.1077
+----------------------------------------------------

--== Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\ ==--
[FILE_STREAM]:
FullPath      : C:\Documents and Settings\All Users\DRM:??????:$DATA
[FILE_STREAM]:
FullPath      : C:\Documents and Settings\XXX\Рабочий стол\D E S K T O P\WEB\Земля пустая внутри! » Дневник контр-адмирала Берда (полностью).mht:SummaryInformation:$DATA
[FILE_STREAM]:
FullPath      : C:\Documents and Settings\XXX\Рабочий стол\D E S K T O P\WEB\Земля пустая внутри! » Дневник контр-адмирала Берда (полностью).mht:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}:$DATA
[FILE_STREAM]:
FullPath      : C:\VIDEO\Январь 2010\Thumbs.db:encryptable:$DATA
[FILE_STREAM]:
FullPath      : C:\Новая папка\CD-DVD\Запись CD-DVD\Alcohol 120% 1.9.8 (Build 7612)\Readme.txt:KAVICHS:$DATA
[FILE_STREAM]:
FullPath      : C:\Новая папка\CD-DVD\Запись CD-DVD\Alcohol 120% 1.9.8 (Build 7612)\Thumbs.db:KAVICHS:$DATA
[FILE_STREAM]:
FullPath      : C:\Новая папка\CD-DVD\Запись CD-DVD\Cheetah DVD Burner 2.41\CheetahDVDBurner.exe:.gltth:$DATA
[FILE_STREAM]:
FullPath      : C:\Новая папка\Безопасность\Autorun Virus Remover 2.3 Build 0702\7694.jpg:Zone.Identifier:$DATA
[FILE_STREAM]:
FullPath      : C:\Новая папка\Интернет\Браузеры\Apple Safari 4.0.2 Final\Скриншоты\Thumbs.db:encryptable:$DATADATA

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


Может кто-нибудь объяснить, для чего эти объекты существуют? Связаны они каким-нибудь боком с возможностью тайно запускать программы?
Или связаны ли они с руткитами?


 
Игорь Шевченко ©   (2010-01-29 18:25) [16]


> Может кто-нибудь объяснить


Гугль может
http://www.google.ru


 
Anatoly Podgoretsky ©   (2010-01-29 20:45) [17]

> Делфиец  (29.01.2010 17:37:13)  [13]

Чистое поведение вируса.


 
Anatoly Podgoretsky ©   (2010-01-29 20:46) [18]

> GDI+  (29.01.2010 17:51:14)  [14]

Да ты и на 2000 баксов не наработаешь, а тебе подавай аж 5000


 
Сергей   (2010-03-18 01:52) [19]

Это дополнительные именованые стримы в NTFS, появляются когда меняешь св-ва файла ( автор, ключевые слова, и т.д. ),
но и запускатся всякая хрень с этих стримов может легко... вещь грандиозная этот NTFS



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2010.08.27;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.5 MB
Время: 0.062 c
2-1269172946
Первокурсница
2010-03-21 15:02
2010.08.27
Программа вылетает (delphi 7), свойство кнопки Enabled или Visibl


15-1263677426
Юрий
2010-01-17 00:30
2010.08.27
С днем рождения ! 17 января 2010 воскресенье


2-1275023269
Андрей Воронин
2010-05-28 09:07
2010.08.27
Как програмно открыть видео файл


2-1268300382
voviki
2010-03-11 12:39
2010.08.27
нажатие ссылки в WebBrowser


15-1266854887
Kerk
2010-02-22 19:08
2010.08.27
Язык Си и начальное обучение программированию





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский