santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Модифицированный Win32/Dorkbot.B червь - очистка невозможна, "Оперативная память = explorer.exe(1772) - модифицированный Win32/Dorkbot.B червь - очистка невозможна"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2013 05:50:01

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\JDLMLV.EXE addsgn A7679BF0AA029C224BD4C6B947881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C03D0C49F75C4C32EF4CAD81B15DA3BE4AC965B2FC706AB7E 12 Dorkbot.0604 zoo %SystemDrive%\USERS\НАТАША\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian adddir %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING delall %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\JDLMLV.EXE chklst delvir deltmp delnfr czoo regt 5 restart

Код

;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\JDLMLV.EXE
addsgn A7679BF0AA029C224BD4C6B947881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C03D0C49F75C4C32EF4CAD81B15DA3BE4AC965B2FC706AB7E 12 Dorkbot.0604
zoo %SystemDrive%\USERS\НАТАША\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian
adddir %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING
delall %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\JDLMLV.EXE
chklst
delvir
deltmp
delnfr
czoo
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2013 05:41:58

Цитата

zloyDi пишет:

Цитата
RP55 RP55 пишет: Что по лечению ?

Вирлаб просит найти переименованные файлы
user rpcss_3_.dll - c:\windows\system32\ikom.euc
user rpcss.dll - c:\windows\system32\cuoa.cgw
user rpcss_2_.dll - c:\windows\system32\kogh.kuo

Если кто богат, прошу скинуть на почту.

один нашелся из этого списка (прислали в почту), выслал в почту. имена все разные для каждого случая заражения.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.04.2013 19:07:05

Цитата
RP55 RP55 пишет: Santy uVS - добавляет исполняемые файлы - вне зависимости какое на данный момент у них расширение. В любом случае нужно пробовать - будут пластические файлы добавлены в список по команде adddir или нет.

кстати и попробуй, это ведь несложно и недолго смоделировать.
скопировать файлик rpcss.dll например в такое имя ezho.nua

вот результат проверки
https://www.virustotal.com/ru/file/7b9f5434753fcdb11e352a41006a2c198b0c24c8caf2b5f8d77234ab83b72077/analysis/1365002251/

Изменено: santy - 03.04.2013 19:19:58

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.04.2013 19:04:51

решение здесь простое, если работать на рабочем столе проблемной системы.

скриптом перезаписываем оригинальный файл, сортируем список в system32 по размеру, и находим рядом с файлом rpcss.dll после замены переименованный файл

размеры должны быть одинаковы.
----------
одну такую пару я кстати уже нашел. (зашел по Teamviewer)
сейчас отправлю в вирлаб.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.04.2013 18:24:42

надо иметь ввиду что adddir добавляет только исполняемые файлы, а в этом случае оригинал претерпел значительную "пластическую операцию"
если переименовывается в такие расширения.

Цитата
c:\windows\system32\ikom.euc c:\windows\system32\cuoa.cgw c:\windows\system32\kogh.kuo

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.04.2013 17:10:23

это надо запросить у тех, кто выслал файлы в почту, благо электронные адреса их есть

запросил файлы в почте

детект проблемы на сейчас.
https://www.virustotal.com/ru/file/34537e9a06b2ef2a6a3b2459a823fb50d4e54c3259fd0925b3686c2f9f9b343d/analysis/1364994386/

Изменено: santy - 03.04.2013 17:19:49

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.04.2013 16:56:35

пока и на этом спасибо вирлабу eset - задетектили проблему.
а по лечению предлагаю завести папку с модифицированными файлами rpcss.dll
и периодически ее сканировать.

как только выпадет опция - вылечить - значит проблема решена с лечением.
(по мне, так в данном случае лучше заменить модифицированный файл чистым системным, поскольку и троянец проделал тоже самое. переименовал оригинальный ФАЙЛ, и на освободившееся место вписал свой модифицированный.)

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.04.2013 14:29:40

+ детект файликов rpcss.dll
(как говорится, не пропадет ваш скорбный труд....

)

Цитата
+ E:\distr_temp\users_uvs\rpcss.dll\Новая папка\Новая папка\rpcss.dll - Win32/Patched.IB троянская программа + E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss.dll - Win32/Patched.IB троянская программа E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1.rar = RAR = rpcss.dll - Win32/Patched.IB троянская программа E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1\rpcss.dll - Win32/Patched.IB троянская программа + E:\distr_temp\users_uvs\rpcss.dll\rpcss3\rpcss.dll - Win32/Patched.IB троянская программа + E:\distr_temp\users_uvs\rpcss.dll\rpcss2\rpcss.dll - Win32/Patched.IB троянская программа + E:\distr_temp\users_uvs\rpcss.dll\windows7x64\1\rp css.dll - Win64/Patched.E троянская программа

Цитата

+
E:\distr_temp\users_uvs\rpcss.dll\Новая папка\Новая папка\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss.dll - Win32/Patched.IB троянская программа
E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1.rar = RAR = rpcss.dll - Win32/Patched.IB троянская программа
E:\distr_temp\users_uvs\rpcss.dll\XP SP3\rpcss1\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\rpcss3\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\rpcss2\rpcss.dll - Win32/Patched.IB троянская программа
+
E:\distr_temp\users_uvs\rpcss.dll\windows7x64\1\rp css.dll - Win64/Patched.E троянская программа

-------------
Win32/Patched.IB [Threat Name]
Date Added Apr 02 2013
http://www.virusradar.com/en/Win32_Patched.IB/detail

Изменено: santy - 03.04.2013 14:40:23

[ Как создать образ автозапуска? ]

Перейти

правило для RDP в ESS SS 6

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.04.2013 11:39:05

проверьте по сообщению 4 будет или нет работать такое правило. порт выбирается 3389 (RDP) приложение svchost.exe, соединение - входящее.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Dorkbot.B червь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.04.2013 22:01:25

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemRoot%\CM\CMTASK.EXE delall %SystemRoot%\CM\CMTASK.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TABS.LNK delall %SystemDrive%\PROGRAM FILES (X86)\TICNO\TABS\TICNO TABS.EXE delall %SystemDrive%\USERS\HP\APPDATA\ROAMING\MICROSOFT\DKAWAZ.EXE delall %SystemDrive%\USERS\HP\APPDATA\ROAMING\MICROSOFT\QKAWAM.EXE deltmp delnfr regt 5 regt 12 exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217013FF} exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86417013FF} exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216023FF} exec MSIEXEC.EXE /quiet /I{32A3A4F4-B792-11D6-A78A-00B0D0160230} exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE" czoo restart

Код


;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemRoot%\CM\CMTASK.EXE
delall %SystemRoot%\CM\CMTASK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TABS.LNK
delall %SystemDrive%\PROGRAM FILES (X86)\TICNO\TABS\TICNO TABS.EXE
delall %SystemDrive%\USERS\HP\APPDATA\ROAMING\MICROSOFT\DKAWAZ.EXE
delall %SystemDrive%\USERS\HP\APPDATA\ROAMING\MICROSOFT\QKAWAM.EXE
deltmp
delnfr
regt 5
regt 12
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217013FF}
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86417013FF}
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216023FF}
exec MSIEXEC.EXE /quiet /I{32A3A4F4-B792-11D6-A78A-00B0D0160230}
exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE"
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти