• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Офисный букетик #1

Ярослав

Пользователь
Сообщения
282
Симпатии
10
#1
Предлагаю разобрать заражение, кому интересно.

Симптомы:
Принтер периодически печатает иероглифы, не остановишь. Тормозит комп беспощадно.
Доступа в интернет у пользователя нет, ограничено политиками.
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,551
Симпатии
4,909
#2
@Ярослав, а почему выложил лог не Автологера?
Логи сделаны в терминальной сессии, сделайте их из консоли.
Код:
C:\PROGRA~3\LOCALS~1\Temp\cceizitkf.pif
Этот pif файл знаком? Висит в автозапуске.
 
Последнее редактирование:

Ярослав

Пользователь
Сообщения
282
Симпатии
10
#4
Логи сделаны в терминальной сессии, сделайте их из консоли.
Это странно. Я кинул пользователю автологгер на комп, через удалённый рабочий стол запустил его.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,551
Симпатии
4,909
#6

Ярослав

Пользователь
Сообщения
282
Симпатии
10
#7
Нет, это не лог автологера.
Да как нет-то! Я ж точно помню, что запускал именно Autologger. Вот его CollectionLog. CollectionLog же Автологгер оставляет!
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,551
Симпатии
4,909
#8
Да, теперь именно нужный лог автологера, только AVZ запущен из терминальной сессии (RDP-Tcp#0).
Предлагаю разобрать заражение, кому интересно.
Что конкретно интересует? Скрипт АВЗ написать вы уже сами можете запросто.
Файл подозрительный для начала уже определили.
Этот pif файл знаком? Висит в автозапуске.
Можете забрать его в карантин.
Полученный архив quarantine.zip из папки с AVZ, отправить на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
Если отправите, отпишитесь здесь об отправке.
 
Последнее редактирование:

Ярослав

Пользователь
Сообщения
282
Симпатии
10
#9
Что конкретно интересует? Скрипт АВЗ написать вы уже сами можете запросто.
Я не для этого, а чтобы другим дать возможность разобрать случай живого заражения. Если, конечно, бывают желающие.

А я ещё спросить хотел, для закрыты мои темы по обучению? Я хотел найти пост, где светились ссылки на эти инструкции от Drongo.

И какой программой вы XML-лог обрабатываете?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,551
Симпатии
4,909
#10
А я ещё спросить хотел, для закрыты мои темы по обучению?
Да, уже закрыты, т.к. вы теперь не студент.
Я хотел найти пост, где светились ссылки на эти инструкции от Drongo
Эту что-ли?
И какой программой вы XML-лог обрабатываете?
https://safezone.cc/resources/aparser-by-glax24.31/
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,551
Симпатии
4,909
#12
Этот вопрос к админам или попросить у Дронго.
Вот держи, нужно было сразу себе сохранить, раз понравился учебник.
Думаю я не нарушил правил форума..?
Если нарушил, тогда удалим из этой темы.
 
Последнее редактирование:

Ярослав

Пользователь
Сообщения
282
Симпатии
10
#13
Вот держи, нужно было сразу себе сохранить, раз понравился учебник.
Благодарю, я не думал, что мне отрежется доступ к разделам даже моего обучения.
 

Ярослав

Пользователь
Сообщения
282
Симпатии
10
#15
Надеюсь ты сохранил себе.
Сохранил =)

Интересный батник там в автозапуске. 1,3МБ весом, и зашифрован.
c:\users\sarvarovri\appdata\roaming\microsoft\windows\start menu\programs\startup\search.cmd
Отправил на вирустотал. Попадание 45 из 66.

DrWeb: Win32.HLLW.Tophos.1
Kaspersky: HEUR:Trojan.Win32.Generic
Microsoft: TrojanDownloader:Win32/Stegvob.E
ESET-NOD32: a variant of Win32/Tophos.J
 

Вложения

Последнее редактирование:

Ярослав

Пользователь
Сообщения
282
Симпатии
10
#16
Подозрительный .pif файл тоже оказался трояном, попаданий 58 из 65
C:\PROGRA~3\LOCALS~1\Temp\cceizitkf.pif
ESET-NOD32: Win32/TrojanDownloader.Wauchos.L
Kaspersky: HEUR:Trojan.Win32.Generic
DrWeb: BackDoor.Andromeda.178
Microsoft: Worm:Win32/Gamarue.F
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,551
Симпатии
4,909
#17
Интересный батник там в автозапуске. 1,3МБ весом, и зашифрован.
Kaspersky: HEUR:Trojan.Win32.Generic
Подозрительный .pif файл тоже оказался трояном, попаданий 58 из 65
Kaspersky: HEUR:Trojan.Win32.Generic
Ссылку покажи на pif.
Trojan.Win32.Generic — программное обеспечение, определяемое эвристическим анализатором Kaspersky Internet Security как возможно зараженное.
Нужно аналитикам отправить. Ссылку выше для отправки карантина на нашем форуме я выше дал. Или можешь сам разослать конкретным вендорам.
 

Ярослав

Пользователь
Сообщения
282
Симпатии
10
#18
Нужно аналитикам отправить. Ссылку выше для отправки карантина на нашем форуме я выше дал. Или можешь сам разослать конкретным вендорам.
Я бы и рад, но после лечения не осталось ни файла, ни карантина, хотя в скрипте были команды карантина. Странно это.

Случайно заметил, что Photo.scr несколько раз мне встретился в разных папках. В логах АВЗ его не было. Отправил на вирустотал, вот ссылка:
Antivirus scan for 44d47db5dc1fac1d1ce176e78d054167bf04df075f7516610aa26dab2b739b63 at 2018-01-25 16:22:53 UTC - VirusTotal

Судя по частоте мелькания этого файла в форумах, а ещё и в паре, порой, с search.cmd сомнений у меня не осталось. На счёт пифа уже ничего не могу сказать. Перезагружу машину, там видно будет. Остался если, отправлю ссылку на него.
 

Ярослав

Пользователь
Сообщения
282
Симпатии
10
#19
После перезагрузки получил новый лог. И тут обнаружил ещё одну штуку.
До перезагрузки был такой модуль пространства ядра:
C:\windows\System32\Drivers\spxx.sys
После перезагрузки уже стал вот такой модуль:
C:\windows\System32\Drivers\spjt.sys
Физически файла на диске нет.
Скрипт запустил, но ничего не изменилось. АВЗ создал пустой архив карантина. На том же месте в логе был уже новый драйвер.
 

Вложения