Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Trojan-Downloader.Win32.Small.BFN Остались хвосты и не лечатся (http://forum.oszone.net/showthread.php?t=93172)

asbo 30-10-2007 23:34 670023
Trojan-Downloader.Win32.Small.BFN Остались хвосты и не лечатся
 
Здравствуйте, уважаемые.

XP CE SP2 En, no any updates

Намотал заразу. Кличут по разному, но первое более распространено.

Trojan-Downloader.Win32.Small.BFN
TR/Dldr.Small.bfn.2
W32/Downldr2.AIIA
suspicious Trojan/Worm
Downloader.Generic6.QWH
W32/Downloadeк

Nod32, актуальный на тот момент, не сработал. Он его только через пару суток начал опознавать. Обновляю его раз в сутки - по любому.
Засветил мне этого трояна файер, вот я и бросился лечить.

Описания нигде нет. Сквозняком все гуглы прошерстил. Помог http://www.norman.com/microsites/nsi...it/40980/en-us - юзайте, эффект есть. Он его в песочнице крутит. Вот результат:

Код:
syskfws.exe : INFECTED with W32/FileInfector (Signature: NO_VIRUS)

 [ DetectionInfo ]
    * Sandbox name: W32/FileInfector
    * Signature name: NO_VIRUS
    * Compressed: YES

 [ General information ]
    * Decompressing UPX.
    * File length:        3584 bytes.
    * MD5 hash: 609987e4727cdeed976d2abdc544dfab.

 [ Changes to filesystem ]
    * Creates file C:\WINDOWS\del.bat.
    * Creates file C:\WINDOWSL @H????D???? $.

 [ Network services ]
    * Connects to "promocash24.com" on port 80 (TCP).
    * Opens URL: promocash24.com/setup/2192e9b8fff335f761af72fccb63287f/tek.exe.
    * Connects to "besttopsearch2007.com" on port 80 (TCP).
    * Opens URL: besttopsearch2007.com/counter/fout.phpW.

 [ Spreading by infecting files ]
    * File infector; modifies existing executable files.

 [ Security issues ]
    * Starting downloaded file - potential security problem.

 [ Process/window information ]
    * Creates a COM object with CLSID {4991D34B-80A1-4291-83B6-3328366B9097} : BIT

Control Class 1.0.

 [ Signature Scanning ]
    * C:\WINDOWS\del.bat (4096 bytes) : no signature detection.
    * C:\WINDOWSL @H????D???? $ (143 bytes) : no signature detection.

(C) 2004-2006 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information source only.
Файл-то исходный и процессы с ним связанные я сразу убил. В файере дополнительно правило для svchost - не пущать по TCP:80 в указанные хосты. Это я и без нормана и нода сделал, по горячим следам, ручками, так сказать. Но как я был изумлен, когда svchost продолжил лезть время от времени на promocash24.com...

Я все перепроверил, по всем наколкам от нормана прошел - банан (про реестр позже). Чисто. В процессах - все стерильно родное и чистое. Но ведь лезет, падла. Нодом системный диск (он у меня не C:\), кеш IE, загрузочный диск, всякие темпы-мэмпы проверил. Чисто. Изучил описание службы BTI - Background Intelligent Transfer Service (респекты OSZone), вырубил ее и запретил впредь (правда возникло у меня deja vu, что вырубал я ее при настройке и оптимизации оси, а оказалась она в автомате). Лезет. Вот сейчас сверился с логом файера - лезет с произвольной регулярностью. Вернее вообще без оной... Как ей карта ляжет.

Ага, еще один момент: файер (OutPost 4) мне название процесса-то не показывает. n/a пишет. Может это ужЕ и не svchost... Я же саму заразу-то в файере так и не видел, она ведь не сама, только через svchost лезла. Я видел ее, работающую, глазками только в ProcessExplorer Руссиновича видел. Может это еще другая попалась, по ходу, если нод ее прошляпил. Но пара суток уже прошла, он вот только обновился, млин! Я, вообще-то, плотно закрыт, по картинкам с этого компа не лажу. Эту-то гадость с вполне легитимного сайта надыбал...

Видимо дело в реестре и этих COM-объектах, что норман упоминал:
Код:
* Creates a COM object with CLSID {4991D34B-80A1-4291-83B6-3328366B9097} : BIT
Ясен пень, что это там все присутствует, ссылается еще на кучу, та куча на другую. Я об этих COM-объектах представление имею, но такое слабое, что трогать их в реестре боюсь - машина для бизнеса, не для игрушек. Сутками включена. Кстати, после вырубания BTI я не имел возможности сделать ей ресет. Может и тормознется эта служба полностью (если именно в ней дело), хотя я ее руками штатно остановил (не убивал) и задизаблил. ProcessExplorer Руссиновича в запущенных svchost-ах ее ужЕ не показывает.

Вот и получается, что заразу-то я вырезал, а подлечиться до конца не удалось. Как бы это сделать? Перезагружу ее только завтра (м.б.)... Если дело не в COM-ах, а в другом, невидимом ноду файле, то как и где его искать? Другим тестером, так их туева хуча, одни кажут, другие нет. Ну, правда, последний вариант остался - это своп. Но опять надо ресетить, да и вероятность более чем малА. Помогите, плз, если кто руками трогал эти COM-объекты, а, паче чаяния, и сам этот троян.

Severny 30-10-2007 23:37 670026
Скачай Cureit , и проверь системный диск в безопасном режиме.
Скачай HijackThis
сделай лог и выкладывай здесь.
Скачай AVZ , распакуй, обнови и перейди в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

asbo 31-10-2007 00:52 670063
Severny, спасибо за оперативность.

Только вот в безопасный я раньше завтрашнего вечера не смогу :(
Каким из них можно на ходу попробовать с бОльшей степенью достоверности? AVZ я вроде трогал год-полтора назад. Его вперед и попробую. О результатах доложу.

asbo 31-10-2007 02:44 670086
Вложений: 1
Severny,
Ну вот. Первый результат. AVZ не видит этот вирус (он у меня в папочке сохранен). Я, конечно, просканировал загрузочный, системный, swap диски и TMP-хранилища (cache IE & OS). Со всеми галками на средней эвристике. Исследование системы тоже сделал. Подозрительного ничего не увидел. Кое-какие есть вопросики по отчету, но они не критичны, имо.

БУду пробовать HiJack. Я его, оказывается, тоже трогал буквально намедни (какая-то мдм из MS советовала в своем блоге).

asbo 31-10-2007 22:46 670589
Ну вот. Эпопея завершилась. Как всегда сама-собой.

Мне пришлось-таки перезагрузиться. В безопасном режиме проверился, по совету Severny, DrWeb не увидел этот вирус в его папочке, минут за 50 проверил от силы четверть планируемого, больше времени я не имел и выключил его. AutoRub-ом Руссиновича проверил всю автозагрузку. Криминала не нашел. Загрузился. Файер молчит. И ужЕ никто никуда не лезет. Видимо гадость эта осталась в памяти после остановки службы BTI, ну а после ресета, понятно, исчезла. Для интереса я запустил службу вновь, и вот уже пару часов файер молчит, на левые адреса никто не рвется. Службу остановил взад.

Жаль, что такие, казалось, зубры, как Nod, DrWeb, AVZ не видят его, по крайней мере на сегодняшний день...

Всем спасибо

yurfed 31-10-2007 23:04 670595
Очень интересный выход из ситуации.
Может ни чего и небыло?

Severny 31-10-2007 23:40 670608
asbo,
C:\_Vir\_Vir.rar/
Ну а что у тебя по этому пути? Судя по названию архив с вирусами, вроде как и не скрывалось.

asbo 31-10-2007 23:40 670609
Вложений: 1
yurfed,
Цитата:
Цитата yurfed
Очень интересный выход из ситуации »
Ага. ВОвремя ты с комментом. А главное с полезным.
Цитата:
Цитата yurfed
Может ни чего и небыло? »
Конечно. Ты появился после того, как все было. Осталась волшебная палочка без волшебной дырочки. А так - 145-я была бы. Чо за гонки на новичков беспонтовые? Я что, репорт от нормана в блокноте ваял?

Распальцованные антивири облажались в очердной раз - вот главный вывод. Хочешь его уточнить по-делу - во вложении он самый. Плз. Тренируйся и результаты отпиши поподробней (расширение не забудь сменить, архиватор можешь здесь взять http://www.rarlab.com/rar/wrar371.exe) .

Nod, кстати, до сих пор его не видит. Пять минут назад обновился до 2630(20071031).
Удачи.

asbo 31-10-2007 23:45 670610
Severny,
Да. Эта та самая папочка, куда я складываю заразу для анализа. С ней все нормально. Там, кроме сабжа, еще образцы лежат, раньше их подцепил. Они все упакованы и опасности не представляют. Это моя папка. Я же говорил, что сам-то файл я выявил сразу через файер и процмон и блокировал. А вот последствия его "труда" не удалось с лету.

Я для себя сделал вывод, что остался он где-то в памяти. Выгрузка службы без ресета не помогла. После ресета, понятно, все стало чисто. Но я не мог это сделать более суток.

asbo 01-11-2007 00:04 670618
То, что пишет норман в своем репорте о его инсталляции, у меня по другому было. C:\ - загрузочный. D:\ - системный. Папки Windows у меня нет ни на том, ни на другом. Она по-другому называется. Встал он в корень C:\. Файлы del.bat и H????D???? $. я по всем винтам не нашел. Видимо он их сам почикал. На второй узел besttopsearch2007.com не лез. Только на promocash24.com Запись в реестре есть, но на нее и другие сылаются, вроде легитимные, но я ужЕ не исследовал, благо сервис BTI остановил - мне он ни к чему. К тому времени, как понадобится - описание дельное будет к вирю, да ось, может, другая. Вот, вроде, и все

Severny 01-11-2007 00:05 670619

Каспер ругнулся. Только в открытую нельзя вообще-то заразу выкладывать. Так что лучше удали из сообщения.
Цитата:
Цитата asbo
его "труда" не удалось с лету. »
Если ты ему не дал загрузить основную заразу и вовремя изолировал, то беспокоиться не о чем, кажись.
Судя по названию основная его задача -- доставка и внедрение троев в систему, так ведь?

yurfed 01-11-2007 00:10 670620
asbo, бесполезно не заходим :)
Если ты хотел выложить виря, то это не то.

ЗЫ Беру слова обратно.
Антивирус Версия Обновление Результат
AhnLab-V3 2007.11.1.0 2007.10.31 -
AntiVir 7.6.0.30 2007.10.31 TR/Dldr.Small.bfn.2
Authentium 4.93.8 2007.10.31 -
Avast 4.7.1074.0 2007.10.31 -
AVG 7.5.0.503 2007.10.31 Downloader.Generic6.QWH
BitDefender 7.2 2007.10.31 Trojan.Downloader.Small.AAHX
CAT-QuickHeal 9.00 2007.10.31 TrojanDownloader.Small.bfn
ClamAV 0.91.2 2007.10.31 -
DrWeb 4.44.0.09170 2007.10.31 -
eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
eTrust-Vet 31.2.5256 2007.10.31 -
Ewido 4.0 2007.10.31 Downloader.Small.bfn
FileAdvisor 1 2007.10.31 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.31 W32/Downldr2.AIIA
F-Secure 6.70.13030.0 2007.10.31 Trojan-Downloader.Win32.Small.bfn
Ikarus T3.1.1.12 2007.10.31 Trojan-Downloader.Win32.Small.BFN
Kaspersky 7.0.0.125 2007.10.31 Trojan-Downloader.Win32.Small.bfn
McAfee 5153 2007.10.31 -
Microsoft 1.2908 2007.10.31 -
NOD32v2 2630 2007.10.31 -
Norman 5.80.02 2007.10.31 W32/Downloader
Panda 9.0.0.4 2007.10.31 Suspicious file
Prevx1 V2 2007.10.31 -
Rising 19.47.21.00 2007.10.31 -
Sophos 4.23.0 2007.10.31 -
Sunbelt 2.2.907.0 2007.10.31 -
Symantec 10 2007.10.31 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.31 -
VirusBuster 4.3.26:9 2007.10.31 -
Webwasher-Gateway 6.6.1 2007.10.31 Trojan.Dldr.Small.bfn.2

asbo 01-11-2007 00:40 670631
Цитата:
Цитата Severny
доставка и внедрение троев в систему »
Судя по всему - да. Только вот deja vu - ведь вырубал я этот сервис по-моему при настройке оси... Беспокоился я в основном за то, что происходит нечто, непонятное мне. И борусь я со следствиями, а не причинами.

Цитата:
Цитата Severny
Каспер ругнулся »
Я тоже обратил внимание в отчете VirusTotal, что Каспер его видит. Я Каспера очень давно юзаю, рулит он, но тяжелый очень для этой машинки... Выбрал для нее Нод, но с ним ужЕ раза три мимо кассы... Поздно базы обновляет. Носом их тыкал - им пофиг...

Цитата:
Цитата Severny
нельзя вообще-то заразу выкладывать »
Вай... Сорри всем. Она упакована и переименована. А как это сделать? Я что-то не увидел кнопочки. Всю мессагу удалить?

Цитата:
Цитата yurfed
то это не то »
Прям стихи пишешь :)
Я же говорил выше - DrWeb не ест ее. Спокойно мимо прошел, вот я его и вырубил.


Время: 22:41.

Время: 22:41.
© OSzone.net 2001-