1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Хронология войны с Trojan.Downloader.Carberp

Тема в разделе "Борьба с типовыми зловредами", создана пользователем thyrex, 3 мар 2012.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Принесли на лечение системник - диагноз: впадение в ступор сразу после загрузки
    предыдущий "лекарь" сдался на третьи сутки, ибо так не смог запустить на нём AVZ...конфиг: Windows XP sp3, ESS 5 с базами от 20 декабря 2011, использование - бухгалтерия детсада

    1. подключил диск слэйвом на другую машину и прогнал своим антивирусом NOD32 v.4

    Scan LogVersion of virus signature database: 6925 (20120229)Date: 29.02.2012 Time: 21:15:50Scanned disks, folders and files: F:\Boot sector;F:\;J:\Boot sector;J:\
    F:\WINDOWS\system32\msejfdwi.exe - a variant of Win32/Kryptik.ABPG trojan
    F:\WINDOWS\system32\msgkbfyl.exe - a variant of Win32/Kryptik.ABNG trojan

    Number of scanned objects: 523301Number of threats found: 2Number of cleaned objects: 0Time of completion: 21:40:07 Total scanning time: 1457 sec (00:24:17)
    нашел и удалил

    [​IMG]

    2. Собрал машину обратно и загрузился с live CD (лично мне нравится ERD)открыл автозагрузку и стёр точки входа ранее найденных зловредов... ---остальное казалось нормальным... но на всякий случай поискал файлики, созданные тем же числомв \WINDOWS\system32\ нашел ещё два интересных персонажа:

    xtgina.dll - компонента троянского перехвата управления при загрузке
    betwinservicexp.exe - дополнительная служба, формирующая удалённый доступ к системе
    файлы стёр, затем нашел и убил точки загрузки (не буду занимать место - эти две гадости описаны хорошо)

    3. загрузился в родной системе - винда стартанула шустро, ESS-5 приняла ключик и обновила базы...сканирование показало наличие в оперативной памяти Carberp, удаление невозможно

    4. скачиваю пакет Русиновича, AVZ....танцы с бубном помогают слабо - всё чисто

    5. начинаю повторный осмотр диска - внимание привлекают:

    > корневые папки содержат нулевые скрытые файлы khy - при попытке удалить - сносится без вопросов после перезагрузки заново появляется
    > в корневой папке системного диска появляется скрытый неудаляемый файл ntldl.inf (блокирован процессом svchost, unlocker - удаляет, после перезагрузки заново появляется)
    > в \WINDOWS\system32 повторно появляется xtgina.dll
    > в :\Documents and Settings\All Users\Application Data - повторно появляется папка mpk с кейлоггером mipko
    > в корне С - повторно появляется папка usVGhvDaxUjcvDS с файлами klpclst.dat, wndsksi.inf, bot.plug
    > и текстовый файлик plg.txt следующего содержания:​



    (ленивые люди - программеры - одних заголовков хватило, чтобы понять заточенность сей программы - позвонил в бухгалтерию - пусть бегут менять все пароли на платёжные системы)

    на этом этапе я зациклился - приходилось постоянно возвращаться на п.2, чтобы убивать возрождавшихся зловредов

    6. Тут вспомнил про Cureit - скачал и запустил
    программа сразу нашла и удалила вирус Trojan.Mayachok.5 в бут секторе диска, а затем попыталась напасть на служебные файлы дистрибутива программы электронного банкинга, обозвав их троянцами - пришлось останавливать.

    7. На этом вирус прекратил активность.

    8. Попутно Cureit нашел и обругал плохими словами мой PSW-viewer на флэшке (это нормально). Каково же было моё удивление, когда Cureit повторно нашел и обругал мой PSW-viewer, но лежащий в папочке С:\WINDOWS\system32\storage\

    при детальном рассмотрении в этой папочке оказалось всё содержимое моей флэшки!!!!дата создания сего чуда - п.3 боевых действий

    Источник
     
    Последнее редактирование: 3 мар 2012
    Dragokas, Tiare, Grizzle и 14 другим нравится это.
  2. naik212006
    Оффлайн

    naik212006 Активный пользователь

    Сообщения:
    5
    Симпатии:
    8
    Было примерно то же самое, только был ноутбук Acer с ХР и было это 25 февраля. Только дело не доходило до загрузки - висел на логотипе Windows. Ни один из режимов загрузки не работал. Зашел из под ERD вычистил руками все, что казалось подозрительным. Смог загрузиться в безопасном режиме. Запустил Cureit те же Trojan.Downloader.Carberp и Trojan.Mayachok.5. Причем на 25 февраля Cureit не смог справиться Trojan.Mayachok.5. Запросил перезагрузку и - все по новой. А вот TDSSKiller от конкурента Доктора справился с первой попытки. После перезагрузки - чисто. А так было похоже, причем некоторые моменты:
    ну очень похоже. Ну и естественно рекомендовал человеку сменить пароли на клиент-банк.
     
    2 пользователям это понравилось.
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    2 пользователям это понравилось.
  4. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    А на логи CureIt и TDSSKiller можно полюбоваться? Хотя бы что бы в чем корень зла усечь?
     
    Последнее редактирование: 6 мар 2012
  5. naik212006
    Оффлайн

    naik212006 Активный пользователь

    Сообщения:
    5
    Симпатии:
    8
    К сожалению логов нет. У меня не было времени заниматься сохранением логов и прочего - человек срочно улетал, каждая секунда была на счету...:(
     
  6. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    naik212006,
    Спасибо.
    Тогда вариант с чисткой мусора из под linux пока оставляю актуальным.
     
  7. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.962
    Симпатии:
    4.808
    С модификацией Trojan.Win32.Jorik.Carberp.chx у пользователя в системе появилась папка с не двусмысленным названием...IBank
    дата и время ее появления по-секундам совпадает с появлением карберповских папок во втором комплекте логов, только после удаления копии тела вируса из автозагрузки.
    ссылка на тему
     
    6 пользователям это понравилось.
  8. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    13.471
    Симпатии:
    14.619
    И так просим юзеров сменить пароли. Теперь нужно заострять внимание на банковский софт.
     
    2 пользователям это понравилось.
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.485
    Симпатии:
    9.201
    Подтверждаю, тут тоже такая же ситуация
     
    1 человеку нравится это.
  10. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.164
    Симпатии:
    306
    1 человеку нравится это.

Поделиться этой страницей