Сейчас я расскажу историю своих сегодняшних наблюдений, а вы скажете кто что об этом думает. Сразу попрошу пропустить советы про переустановку системы, отправку фаила на анализ касперскому и другие простые пути решения )). Как решить проблему быстро я и так знаю, но этот конкретный вирус меня на столько заинтересовал, что мне стало интересно а было ли что-то подобное у кого-то еще и вдруг кто-то из наших спецов расокпал в чем тут дело.
так вот история...
Вводные данные:
Одноядерный (цел 1,8) ноут с гигом оперативки:
+ Windows XP SP3
+ последние заплатки
+ Авира антивир с последними обновами.
Фаервол - аппаратный на ADSL модеме + комодо на домашнем серваке, который раздает инет ноуту... не спрашивайте зачем. надо.)
Ноут до сегодня работал идеально не проявляя типичных симптоов заражения, что странно, но объяснимо.
История началась с того что мне пришло в голову переставить алкоголя. запустил штатное удаление, все снес, попросил перезагрузку. после загрузки системы контроль автозапуска возмутился новым пунктом в списке.
c:\program files\SATASERY\ellzuP_45_S2BOOK.exe
где на сколько я потом понял из скудной инфы в инете "ellzu" - случайные символы, а S2BOOK соответственно название моей машины.
так вот точно помня что ничего такого я туда не ставил лезу в эту папку и первым делом экзешник на анализ.
Результат: 12/39 (30.77%) не много, но ощутимо.
ладно. исследуем дальше и натыкаемся среди кучи *.tmp фаилов ощутимых размеров на несколько маленьких и интересных файликов. как то:
ellzuP_45_S2BOOK.exe.internet.log
со следующим содержанием:
Code
****
>>,2FB)
WSAsend([89.108.72.181],<<GET /style_images/logo/head_08.jpg HTTP/1.1
User-Agent: Opera/9.62 (Windows NT 5.1; U; ru) Presto/2.1.1
Host: softoroom.org
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Referer: http://softoroom.org/?act=search
Cookie: member_id=8****; pass_hash=многацыферь; forum_read=кодировкакакая-то; rep_last_visit=цифери; CookieIp=92.113.***.***; session_id=многацыферь
Cookie2: $Version=1
Connection: Keep-Alive, TE
TE: deflate, gzip, chunked, identity, trailers
думаю ни у кого не вызывает сомнения что сие есть лог моего HTTP соединения.>>,2FB)
WSAsend([89.108.72.181],<<GET /style_images/logo/head_08.jpg HTTP/1.1
User-Agent: Opera/9.62 (Windows NT 5.1; U; ru) Presto/2.1.1
Host: softoroom.org
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Referer: http://softoroom.org/?act=search
Cookie: member_id=8****; pass_hash=многацыферь; forum_read=кодировкакакая-то; rep_last_visit=цифери; CookieIp=92.113.***.***; session_id=многацыферь
Cookie2: $Version=1
Connection: Keep-Alive, TE
TE: deflate, gzip, chunked, identity, trailers
там-же ellzuP_45_S2BOOK.exe_LOG.log
Code
Reports:Module:punto.exe:PID:2888:TID:3260:Time:104587::SendMail:Enter.
Reports:Module:punto.exe:PID:2888:TID:3260:Time:104596::SendMail:Cant find server. Check Connection.
Reports:Module:punto.exe:PID:2888:TID:3260:Time:104596::SendMail:Leave. [ret_value] = 0.
Reports:Module:svchost.exe:PID:1668:TID:908:Time:39D59A::connect_to_irc:gethostbyname error.
Reports:Module:svchost.exe:PID:1668:TID:908:Time:39D59A::OCNCRM:connect_to_irc fail.
Reports:Module:punto.exe:PID:2888:TID:3260:Time:39D888::SendMail:Cant find server. Check Connection.
Reports:Module:punto.exe:PID:2888:TID:3260:Time:39D888::SendMail:Leave. [ret_value] = 0.
Reports:Module:punto.exe:PID:2888:TID:3260:Time:104596::SendMail:Cant find server. Check Connection.
Reports:Module:punto.exe:PID:2888:TID:3260:Time:104596::SendMail:Leave. [ret_value] = 0.
Reports:Module:svchost.exe:PID:1668:TID:908:Time:39D59A::connect_to_irc:gethostbyname error.
Reports:Module:svchost.exe:PID:1668:TID:908:Time:39D59A::OCNCRM:connect_to_irc fail.
Reports:Module:punto.exe:PID:2888:TID:3260:Time:39D888::SendMail:Cant find server. Check Connection.
Reports:Module:punto.exe:PID:2888:TID:3260:Time:39D888::SendMail:Leave. [ret_value] = 0.
это на сколько я понял лог работы самого бота заразившего уже промеждупрочим и сам антивирус (там были записи процессов антивируса, но сюда не попали).
После попытки снести из автозагрузки "первую ласточку" пошли валом проблемы.
во-первых постоянно в автозагрузку добавляется непонятный процесс с несуществующим названием фаила, а при попытке его удалить оттуда предлагается
"delete RyHDCpl from the registry"
кроме этого вирус начал проявлять себя создавая к каждому экзешнику на вставленой флешке кучу фаилов вида *.exe_tmp.exe, которые на зараженной машине удалить нереально (авторан не трогает, что странно).
При попытке удаления зараженных исполняемых фаилов получаем отказ в доступе и стопроцентную загрузку процессора процессом RunDll.
так вот собственно несколько вопросов...
Почему эта гадость не придерживается какой-то одной линии поведения?
Правильно ли я понял из второго лога что отправить ничего никуда у зверя не вышло?
Какую цель преследует система (хде деньги?)
Откуда сие добро теоритически могло у меня взяться за серым айпи и двумя фаерволами и как ОНО вообще распрастраняется?
Почему касперский, авира, вэб, нортон и нод (запущеные с Live CD и обновленные через инет) ничего подозрительного не видят? (кстати на вирустотале нод нечто определил. наверное у них другой нод).
Чего еще можно ждать от этого зверя если позволить ему зверствовать дальше?
Какие еще могут быть эффективные способы выявления заразы кроме описаных и борьбы с ней кроме радикальных?