вероятно неизвестный TSR.BOOT вирус

RSS

Сообщений: 9

Баллов: 4

Регистрация: 28.02.2012

Размещено 28.02.2012 03:38:59

В компании установлена корпоративная версия NOD 4 (EAV-55126573). Сегодня утром на почту пришло уведомления об угрозе на 5 машинах, находящихся в разных городах.

27.02.2012 21:07:07 - Модуль Модуль сканирования файлов, исполняемых при запуске системы - Предупреждение об угрозе на ******: Активный загрузочный сектор физического диска 0 заражен вероятно неизвестный TSR.BOOT вирус.

MMDRV.DLL, TIMER.DRV, NTDETECT.COM, NTLDR имеют цифровые подписи. (Действительна, подписано Microsoft Windows Publisher).

https://www.virustotal.com/file/dad1bdd0cef7a17db91fd6f251cd8862eaee2253b501871cebc7df24a4f92a00/analysis/1330384710/

Удаленно подключился UVSом, сохранил загрузчики в файл. Прикладываю их.

Полный образ не хотелось бы прикладывать из соображений безопасности.

На ipl_NTFS.bin ругаются 3 антивируса с вирустотала.
BitDefender Rootkit.MBR.Mayachok.B 20120228
F-Secure Rootkit.MBR.Mayachok.B 20120227
GData Rootkit.MBR.Mayachok.B 20120227

https://www.virustotal.com/file/42fb6fcc534341fbf7d0a58e5c5dca1d7fac6af31048b0bacf7a4057c7529c36/analysis/1330385363/

Прикрепленные файлы

uvs_boot.png (27.53 КБ)

boot.zip (5.31 КБ)

Ответы

Пред. 1 2

Сообщений: 9

Баллов: 4

Регистрация: 28.02.2012

Размещено 29.02.2012 04:28:12

Остался только вопрос, откуда мог взяться этот вирус. Пользователь работает под ограниченной учетной записью.

Прикладываю лог после перезагрузки.

Пароль скинул Арвиду в личку. Данный лог содержет список установленного ПО с версиями, версии некоторых системных библиотек, имя компьютера. Эти данные могут позволить злоумышленнику облегчить проникновение в систему (я понимаю что вероятность мала и ему для начала нужно получить доступ в локальную сеть компании).

Прикрепленные файлы

uvs_log_after_clean.7z (164.06 КБ)

Изменено: rbgora - 29.02.2012 04:32:04

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 29.02.2012 04:41:16

Эти файлы знакомы?
C:\DOCUMENTS AND SETTINGS\ALL USERS\РАБОЧИЙ СТОЛ\БИК.PIF
C:\DOCUMENTS AND SETTINGS\N.ANTSUPOVA\LOCAL SETTINGS\TEMP\RAR$EX00.875\CHRISTMAS.EXE
C:\TEMP\CONVERT.EXE

Загрузчики чистые. Для удаления мусора выполнить скрипт:

Цитата
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 deltmp delnfr

Правильно заданный вопрос - это уже половина ответа

Сообщений: 9

Баллов: 4

Регистрация: 28.02.2012

Размещено 29.02.2012 05:53:43

C:\DOCUMENTS AND SETTINGS\ALL USERS\РАБОЧИЙ СТОЛ\БИК.PIF - ярлык на досовскую программу, с которой работают
C:\DOCUMENTS AND SETTINGS\N.ANTSUPOVA\LOCAL SETTINGS\TEMP\RAR$EX00.875\CHRISTMAS.EXE - приложение "Новогодняя елочка", которую пользователи притаскивают разными способами на НГ. Данный пользователь не работает с 2008 года (и соответственно под дпнной учетной записью тоже никто на заходил с тех пор). Файл удалил.
C:\TEMP\CONVERT.EXE - часть спец ПО, которое также хранит кучу файлов в темпе и при удалении которых, работать перестает

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 29.02.2012 05:58:11

ну тогда больше нет ничего подозрительного
как заразились остается только догадываться

Правильно заданный вопрос - это уже половина ответа

Пред. 1 2