Здравствуйте, уважаемые.
XP CE SP2 En, no any updates
Намотал заразу. Кличут по разному, но первое более распространено.
Trojan-Downloader.Win32.Small.BFN
TR/Dldr.Small.bfn.2
W32/Downldr2.AIIA
suspicious Trojan/Worm
Downloader.Generic6.QWH
W32/Downloadeк
Nod32, актуальный на тот момент, не сработал. Он его только через пару суток начал опознавать. Обновляю его раз в сутки - по любому.
Засветил мне этого трояна файер, вот я и бросился лечить.
Описания нигде нет. Сквозняком все гуглы прошерстил. Помог
http://www.norman.com/microsites/nsi...it/40980/en-us - юзайте, эффект есть. Он его в песочнице крутит. Вот результат:
Код:
syskfws.exe : INFECTED with W32/FileInfector (Signature: NO_VIRUS)
[ DetectionInfo ]
* Sandbox name: W32/FileInfector
* Signature name: NO_VIRUS
* Compressed: YES
[ General information ]
* Decompressing UPX.
* File length: 3584 bytes.
* MD5 hash: 609987e4727cdeed976d2abdc544dfab.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\del.bat.
* Creates file C:\WINDOWSL @�H????D���????� $.
[ Network services ]
* Connects to "promocash24.com" on port 80 (TCP).
* Opens URL: promocash24.com/setup/2192e9b8fff335f761af72fccb63287f/tek.exe.
* Connects to "besttopsearch2007.com" on port 80 (TCP).
* Opens URL: besttopsearch2007.com/counter/fout.phpW.
[ Spreading by infecting files ]
* File infector; modifies existing executable files.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Creates a COM object with CLSID {4991D34B-80A1-4291-83B6-3328366B9097} : BIT
Control Class 1.0.
[ Signature Scanning ]
* C:\WINDOWS\del.bat (4096 bytes) : no signature detection.
* C:\WINDOWSL @�H????D���????� $ (143 bytes) : no signature detection.
(C) 2004-2006 Norman ASA. All Rights Reserved.
The material presented is distributed by Norman ASA as an information source only.
Файл-то исходный и процессы с ним связанные я сразу убил. В файере дополнительно правило для svchost - не пущать по TCP:80 в указанные хосты. Это я и без нормана и нода сделал, по горячим следам, ручками, так сказать. Но как я был изумлен, когда svchost продолжил лезть время от времени на promocash24.com...
Я все перепроверил, по всем наколкам от нормана прошел - банан (про реестр позже). Чисто. В процессах - все стерильно родное и чистое. Но ведь лезет, падла. Нодом системный диск (он у меня не C:\), кеш IE, загрузочный диск, всякие темпы-мэмпы проверил. Чисто. Изучил описание службы BTI - Background Intelligent Transfer Service (респекты OSZone), вырубил ее и запретил впредь (правда возникло у меня deja vu, что вырубал я ее при настройке и оптимизации оси, а оказалась она в автомате). Лезет. Вот сейчас сверился с логом файера - лезет с произвольной регулярностью. Вернее вообще без оной... Как ей карта ляжет.
Ага, еще один момент: файер (OutPost 4) мне название процесса-то не показывает. n/a пишет. Может это ужЕ и не svchost... Я же саму заразу-то в файере так и не видел, она ведь не сама, только через svchost лезла. Я видел ее, работающую, глазками только в ProcessExplorer Руссиновича видел. Может это еще другая попалась, по ходу, если нод ее прошляпил. Но пара суток уже прошла, он вот только обновился, млин! Я, вообще-то, плотно закрыт, по картинкам с этого компа не лажу. Эту-то гадость с вполне легитимного сайта надыбал...
Видимо дело в реестре и этих COM-объектах, что норман упоминал:
Код:
* Creates a COM object with CLSID {4991D34B-80A1-4291-83B6-3328366B9097} : BIT
Ясен пень, что это там все присутствует, ссылается еще на кучу, та куча на другую. Я об этих COM-объектах представление имею, но такое слабое, что трогать их в реестре боюсь - машина для бизнеса, не для игрушек. Сутками включена. Кстати, после вырубания BTI я не имел возможности сделать ей ресет. Может и тормознется эта служба полностью (если именно в ней дело), хотя я ее руками штатно остановил (не убивал) и задизаблил. ProcessExplorer Руссиновича в запущенных svchost-ах ее ужЕ не показывает.
Вот и получается, что заразу-то я вырезал, а подлечиться до конца не удалось. Как бы это сделать? Перезагружу ее только завтра (м.б.)... Если дело не в COM-ах, а в другом, невидимом ноду файле, то как и где его искать? Другим тестером, так их туева хуча, одни кажут, другие нет. Ну, правда, последний вариант остался - это своп. Но опять надо ресетить, да и вероятность более чем малА. Помогите, плз, если кто руками трогал эти COM-объекты, а, паче чаяния, и сам этот троян.
