Офисный букетик #1

Ярослав

Постоянный участник
Сообщения
279
Реакции
7
Предлагаю разобрать заражение, кому интересно.

Симптомы:
Принтер периодически печатает иероглифы, не остановишь. Тормозит комп беспощадно.
Доступа в интернет у пользователя нет, ограничено политиками.
 

Вложения

  • Check_Browsers_LNK.log
    872 байт · Просмотры: 1
  • HiJackThis.log
    37.3 KB · Просмотры: 2
  • info.txt
    58.8 KB · Просмотры: 0
  • log.txt
    55.8 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    36.1 KB · Просмотры: 2
@Ярослав, а почему выложил лог не Автологера?
Логи сделаны в терминальной сессии, сделайте их из консоли.
Код:
C:\PROGRA~3\LOCALS~1\Temp\cceizitkf.pif
Этот pif файл знаком? Висит в автозапуске.
 
Последнее редактирование:
Логи сделаны в терминальной сессии, сделайте их из консоли.
Это странно. Я кинул пользователю автологгер на комп, через удалённый рабочий стол запустил его.
 

Вложения

  • CollectionLog-2018.01.23-14.56.zip
    68 KB · Просмотры: 1
Да, теперь именно нужный лог автологера, только AVZ запущен из терминальной сессии (RDP-Tcp#0).
Предлагаю разобрать заражение, кому интересно.
Что конкретно интересует? Скрипт АВЗ написать вы уже сами можете запросто.
Файл подозрительный для начала уже определили.
Этот pif файл знаком? Висит в автозапуске.
Можете забрать его в карантин.
Полученный архив quarantine.zip из папки с AVZ, отправить на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
Если отправите, отпишитесь здесь об отправке.
 
Последнее редактирование:
Что конкретно интересует? Скрипт АВЗ написать вы уже сами можете запросто.
Я не для этого, а чтобы другим дать возможность разобрать случай живого заражения. Если, конечно, бывают желающие.

А я ещё спросить хотел, для закрыты мои темы по обучению? Я хотел найти пост, где светились ссылки на эти инструкции от Drongo.

И какой программой вы XML-лог обрабатываете?
 
А я ещё спросить хотел, для закрыты мои темы по обучению?
Да, уже закрыты, т.к. вы теперь не студент.
Я хотел найти пост, где светились ссылки на эти инструкции от Drongo
Эту что-ли?
И какой программой вы XML-лог обрабатываете?
https://safezone.cc/resources/aparser-by-glax24.31/
https://safezone.cc/resources/aparser-by-glax24.31/
 
Этот вопрос к админам или попросить у Дронго.
Вот держи, нужно было сразу себе сохранить, раз понравился учебник.
Думаю я не нарушил правил форума..?
Если нарушил, тогда удалим из этой темы.
 
Последнее редактирование:
Надеюсь ты сохранил себе.
Сохранил =)

Интересный батник там в автозапуске. 1,3МБ весом, и зашифрован.
c:\users\sarvarovri\appdata\roaming\microsoft\windows\start menu\programs\startup\search.cmd
Отправил на вирустотал. Попадание 45 из 66.

DrWeb: Win32.HLLW.Tophos.1
Kaspersky: HEUR:Trojan.Win32.Generic
Microsoft: TrojanDownloader:Win32/Stegvob.E
ESET-NOD32: a variant of Win32/Tophos.J
 

Вложения

  • GmerLog.log
    71 KB · Просмотры: 0
Последнее редактирование:
Интересный батник там в автозапуске. 1,3МБ весом, и зашифрован.
Kaspersky: HEUR:Trojan.Win32.Generic
Подозрительный .pif файл тоже оказался трояном, попаданий 58 из 65
Kaspersky: HEUR:Trojan.Win32.Generic
Ссылку покажи на pif.
Trojan.Win32.Generic — программное обеспечение, определяемое эвристическим анализатором Kaspersky Internet Security как возможно зараженное.
Отправил на вирустотал.
Нужно аналитикам отправить. Ссылку выше для отправки карантина на нашем форуме я выше дал. Или можешь сам разослать конкретным вендорам.
 
Нужно аналитикам отправить. Ссылку выше для отправки карантина на нашем форуме я выше дал. Или можешь сам разослать конкретным вендорам.
Я бы и рад, но после лечения не осталось ни файла, ни карантина, хотя в скрипте были команды карантина. Странно это.

Случайно заметил, что Photo.scr несколько раз мне встретился в разных папках. В логах АВЗ его не было. Отправил на вирустотал, вот ссылка:
Antivirus scan for 44d47db5dc1fac1d1ce176e78d054167bf04df075f7516610aa26dab2b739b63 at 2018-01-25 16:22:53 UTC - VirusTotal

Судя по частоте мелькания этого файла в форумах, а ещё и в паре, порой, с search.cmd сомнений у меня не осталось. На счёт пифа уже ничего не могу сказать. Перезагружу машину, там видно будет. Остался если, отправлю ссылку на него.
 
После перезагрузки получил новый лог. И тут обнаружил ещё одну штуку.
До перезагрузки был такой модуль пространства ядра:
C:\windows\System32\Drivers\spxx.sys
После перезагрузки уже стал вот такой модуль:
C:\windows\System32\Drivers\spjt.sys
Физически файла на диске нет.
Скрипт запустил, но ничего не изменилось. АВЗ создал пустой архив карантина. На том же месте в логе был уже новый драйвер.
 

Вложения

  • CollectionLog-2018.01.25-23.01.zip
    69.3 KB · Просмотры: 1
Назад
Сверху Снизу