Офисный букетик #1

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
Предлагаю разобрать заражение, кому интересно.

Симптомы:
Принтер периодически печатает иероглифы, не остановишь. Тормозит комп беспощадно.
Доступа в интернет у пользователя нет, ограничено политиками.
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
@Ярослав, а почему выложил лог не Автологера?
Логи сделаны в терминальной сессии, сделайте их из консоли.
Код:
C:\PROGRA~3\LOCALS~1\Temp\cceizitkf.pif
Этот pif файл знаком? Висит в автозапуске.
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Да, теперь именно нужный лог автологера, только AVZ запущен из терминальной сессии (RDP-Tcp#0).
Предлагаю разобрать заражение, кому интересно.
Что конкретно интересует? Скрипт АВЗ написать вы уже сами можете запросто.
Файл подозрительный для начала уже определили.
Этот pif файл знаком? Висит в автозапуске.
Можете забрать его в карантин.
Полученный архив quarantine.zip из папки с AVZ, отправить на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
Если отправите, отпишитесь здесь об отправке.
 
Последнее редактирование:

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
Что конкретно интересует? Скрипт АВЗ написать вы уже сами можете запросто.
Я не для этого, а чтобы другим дать возможность разобрать случай живого заражения. Если, конечно, бывают желающие.

А я ещё спросить хотел, для закрыты мои темы по обучению? Я хотел найти пост, где светились ссылки на эти инструкции от Drongo.

И какой программой вы XML-лог обрабатываете?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
А я ещё спросить хотел, для закрыты мои темы по обучению?
Да, уже закрыты, т.к. вы теперь не студент.
Я хотел найти пост, где светились ссылки на эти инструкции от Drongo
Эту что-ли?
И какой программой вы XML-лог обрабатываете?
https://safezone.cc/resources/aparser-by-glax24.31/
https://safezone.cc/resources/aparser-by-glax24.31/
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Этот вопрос к админам или попросить у Дронго.
Вот держи, нужно было сразу себе сохранить, раз понравился учебник.
Думаю я не нарушил правил форума..?
Если нарушил, тогда удалим из этой темы.
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Убрал. Надеюсь ты сохранил себе.
 

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
Надеюсь ты сохранил себе.
Сохранил =)

Интересный батник там в автозапуске. 1,3МБ весом, и зашифрован.
c:\users\sarvarovri\appdata\roaming\microsoft\windows\start menu\programs\startup\search.cmd
Отправил на вирустотал. Попадание 45 из 66.

DrWeb: Win32.HLLW.Tophos.1
Kaspersky: HEUR:Trojan.Win32.Generic
Microsoft: TrojanDownloader:Win32/Stegvob.E
ESET-NOD32: a variant of Win32/Tophos.J
 

Вложения

Последнее редактирование:

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
Подозрительный .pif файл тоже оказался трояном, попаданий 58 из 65
C:\PROGRA~3\LOCALS~1\Temp\cceizitkf.pif
ESET-NOD32: Win32/TrojanDownloader.Wauchos.L
Kaspersky: HEUR:Trojan.Win32.Generic
DrWeb: BackDoor.Andromeda.178
Microsoft: Worm:Win32/Gamarue.F
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Интересный батник там в автозапуске. 1,3МБ весом, и зашифрован.
Kaspersky: HEUR:Trojan.Win32.Generic
Подозрительный .pif файл тоже оказался трояном, попаданий 58 из 65
Kaspersky: HEUR:Trojan.Win32.Generic
Ссылку покажи на pif.
Trojan.Win32.Generic — программное обеспечение, определяемое эвристическим анализатором Kaspersky Internet Security как возможно зараженное.
Отправил на вирустотал.
Нужно аналитикам отправить. Ссылку выше для отправки карантина на нашем форуме я выше дал. Или можешь сам разослать конкретным вендорам.
 

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
Нужно аналитикам отправить. Ссылку выше для отправки карантина на нашем форуме я выше дал. Или можешь сам разослать конкретным вендорам.
Я бы и рад, но после лечения не осталось ни файла, ни карантина, хотя в скрипте были команды карантина. Странно это.

Случайно заметил, что Photo.scr несколько раз мне встретился в разных папках. В логах АВЗ его не было. Отправил на вирустотал, вот ссылка:
Antivirus scan for 44d47db5dc1fac1d1ce176e78d054167bf04df075f7516610aa26dab2b739b63 at 2018-01-25 16:22:53 UTC - VirusTotal

Судя по частоте мелькания этого файла в форумах, а ещё и в паре, порой, с search.cmd сомнений у меня не осталось. На счёт пифа уже ничего не могу сказать. Перезагружу машину, там видно будет. Остался если, отправлю ссылку на него.
 

Ярослав

Пользователь
Сообщения
282
Реакции
10
Баллы
28
После перезагрузки получил новый лог. И тут обнаружил ещё одну штуку.
До перезагрузки был такой модуль пространства ядра:
C:\windows\System32\Drivers\spxx.sys
После перезагрузки уже стал вот такой модуль:
C:\windows\System32\Drivers\spjt.sys
Физически файла на диске нет.
Скрипт запустил, но ничего не изменилось. АВЗ создал пустой архив карантина. На том же месте в логе был уже новый драйвер.
 

Вложения

Сверху Снизу