Хронология войны с Trojan.Downloader.Carberp

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,786
Реакции
2,394
Принесли на лечение системник - диагноз: впадение в ступор сразу после загрузки
предыдущий "лекарь" сдался на третьи сутки, ибо так не смог запустить на нём AVZ...конфиг: Windows XP sp3, ESS 5 с базами от 20 декабря 2011, использование - бухгалтерия детсада

1. подключил диск слэйвом на другую машину и прогнал своим антивирусом NOD32 v.4

Scan LogVersion of virus signature database: 6925 (20120229)Date: 29.02.2012 Time: 21:15:50Scanned disks, folders and files: F:\Boot sector;F:\;J:\Boot sector;J:\
F:\WINDOWS\system32\msejfdwi.exe - a variant of Win32/Kryptik.ABPG trojan
F:\WINDOWS\system32\msgkbfyl.exe - a variant of Win32/Kryptik.ABNG trojan

Number of scanned objects: 523301Number of threats found: 2Number of cleaned objects: 0Time of completion: 21:40:07 Total scanning time: 1457 sec (00:24:17)
нашел и удалил



2. Собрал машину обратно и загрузился с live CD (лично мне нравится ERD)открыл автозагрузку и стёр точки входа ранее найденных зловредов... ---остальное казалось нормальным... но на всякий случай поискал файлики, созданные тем же числомв \WINDOWS\system32\ нашел ещё два интересных персонажа:

xtgina.dll - компонента троянского перехвата управления при загрузке
betwinservicexp.exe - дополнительная служба, формирующая удалённый доступ к системе
файлы стёр, затем нашел и убил точки загрузки (не буду занимать место - эти две гадости описаны хорошо)

3. загрузился в родной системе - винда стартанула шустро, ESS-5 приняла ключик и обновила базы...сканирование показало наличие в оперативной памяти Carberp, удаление невозможно

4. скачиваю пакет Русиновича, AVZ....танцы с бубном помогают слабо - всё чисто

5. начинаю повторный осмотр диска - внимание привлекают:

> корневые папки содержат нулевые скрытые файлы khy - при попытке удалить - сносится без вопросов после перезагрузки заново появляется
> в корневой папке системного диска появляется скрытый неудаляемый файл ntldl.inf (блокирован процессом svchost, unlocker - удаляет, после перезагрузки заново появляется)
> в \WINDOWS\system32 повторно появляется xtgina.dll
> в :\Documents and Settings\All Users\Application Data - повторно появляется папка mpk с кейлоггером mipko
> в корне С - повторно появляется папка usVGhvDaxUjcvDS с файлами klpclst.dat, wndsksi.inf, bot.plug
> и текстовый файлик plg.txt следующего содержания:​


bot.plug|ycZRrx4CfVNGpjQAdgDWBTXba7HSsv.bmp
cyberplat.plug|ZTKbnxfdzcSB4vM32.psd
ddos.plug|w1fTaJpsV4xR9mDrACNnQdgjy6k7Kq5P.tiff
miniav.plug|30X29yCZQ8gNbGfdm76jzJ.bmp
passw.plug|8D6s53GH9MNZahdtzwr.tiff
sb.plug|v2Z8pKCFxjaW7h5Rs3d9w1z4Pbm.bmp
stopav.plug|zp31CZ62D9MSfXjJt7hcGw0TrBNPRmK.tiff


(ленивые люди - программеры - одних заголовков хватило, чтобы понять заточенность сей программы - позвонил в бухгалтерию - пусть бегут менять все пароли на платёжные системы)

на этом этапе я зациклился - приходилось постоянно возвращаться на п.2, чтобы убивать возрождавшихся зловредов

6. Тут вспомнил про Cureit - скачал и запустил
программа сразу нашла и удалила вирус Trojan.Mayachok.5 в бут секторе диска, а затем попыталась напасть на служебные файлы дистрибутива программы электронного банкинга, обозвав их троянцами - пришлось останавливать.

7. На этом вирус прекратил активность.

8. Попутно Cureit нашел и обругал плохими словами мой PSW-viewer на флэшке (это нормально). Каково же было моё удивление, когда Cureit повторно нашел и обругал мой PSW-viewer, но лежащий в папочке С:\WINDOWS\system32\storage\

при детальном рассмотрении в этой папочке оказалось всё содержимое моей флэшки!!!!дата создания сего чуда - п.3 боевых действий

Источник
 
Последнее редактирование:
Было примерно то же самое, только был ноутбук Acer с ХР и было это 25 февраля. Только дело не доходило до загрузки - висел на логотипе Windows. Ни один из режимов загрузки не работал. Зашел из под ERD вычистил руками все, что казалось подозрительным. Смог загрузиться в безопасном режиме. Запустил Cureit те же Trojan.Downloader.Carberp и Trojan.Mayachok.5. Причем на 25 февраля Cureit не смог справиться Trojan.Mayachok.5. Запросил перезагрузку и - все по новой. А вот TDSSKiller от конкурента Доктора справился с первой попытки. После перезагрузки - чисто. А так было похоже, причем некоторые моменты:
в корне С - повторно появляется папка usVGhvDaxUjcvDS с файлами klpclst.dat, wndsksi.inf, bot.plug
> и текстовый файлик plg.txt следующего содержания:


Цитата bot.plug|ycZRrx4CfVNGpjQAdgDWBTXba7HSsv.bmp
cyberplat.plug|ZTKbnxfdzcSB4vM32.psd
ddos.plug|w1fTaJpsV4xR9mDrACNnQdgjy6k7Kq5P.tiff
miniav.plug|30X29yCZQ8gNbGfdm76jzJ.bmp
passw.plug|8D6s53GH9MNZahdtzwr.tiff
sb.plug|v2Z8pKCFxjaW7h5Rs3d9w1z4Pbm.bmp
stopav.plug|zp31CZ62D9MSfXjJt7hcGw0TrBNPRmK.tiff
ну очень похоже. Ну и естественно рекомендовал человеку сменить пароли на клиент-банк.
 
А на логи CureIt и TDSSKiller можно полюбоваться? Хотя бы что бы в чем корень зла усечь?
К сожалению логов нет. У меня не было времени заниматься сохранением логов и прочего - человек срочно улетал, каждая секунда была на счету...:(
 
С модификацией Trojan.Win32.Jorik.Carberp.chx у пользователя в системе появилась папка с не двусмысленным названием...IBank
дата и время ее появления по-секундам совпадает с появлением карберповских папок во втором комплекте логов, только после удаления копии тела вируса из автозагрузки.
C:\Documents and Settings\Вячеслав\Главное меню\Программы\Автозагрузка\c2TTqvUe4SM.exe
2012-07-22 02:44:02 ----D---- C:\GEb8iWUzzwY
2012-07-22 02:44:02 ----D---- C:\Documents and Settings\Вячеслав\Application Data\GEb8iWUzzwY
2012-07-22 02:44:02 ----D---- C:\Documents and Settings\All Users\Application Data\IBank
ссылка на тему
 
С модификацией Trojan.Win32.Jorik.Carberp.chx у пользователя в системе появилась папка с не двусмысленным названием...IBank
дата и время ее появления по-секундам совпадает с появлением карберповских папок во втором комплекте логов, только после удаления копии тела вируса из автозагрузки.


ссылка на тему

Подтверждаю, тут тоже такая же ситуация
 
Назад
Сверху Снизу