Столкнулся с таким опасным фактом - Интернет-провайдер ЗАО «Центел» ("дочка" Центрального Телеграфа, г. Москва) устанавливает на машины клиентов вредоносное ПО.
Как это выяснилось: позвонила знакомая с жалобой, что у неё не работает машина, вернее работает, но настолько медленно, что работать на ней не возможно. Вдобавок не отправляется почта. Я задал вопрос какой почтовой программой она пользуется? (раньше она работала с Web-почтой и MS Outlook Express). Она ответила, что The Bat! Ну, а так я уже сталкивался с тем, что "мышь летучая" может по необъяснимой причине "забастовать", то заподозрил вирусы, тем более что она сказала, что стоявший у неё Dr.Web их вроде уничтожал. Пришлось ехать и разбираться на месте. И первое что я увидел это ряд странных запущенных процессов. Он загружали процессор на 90% и активно работали с сетью. Информацию об этом сразу дал Process Explorer запущенный с защищённой от записи SD-ки. Я запустил AVZ 4.27 в режиме поиска руткитов и с максимальным уровнем эвристики и через два часа он удалил с машины 11 руткитов и около сотни троянов. Естественно, что Ethernet-кабел был перед чисткой отключён. Затем на машину, поскольку файловая система была уже сильно повреждена, а сама Windows XP из-за сбитых параметров запуска работал с ошибками, после их исправления был установлен ClamAV/ClamWin 0.92.1 с последними базами. Но как только машину подключили к Ethernet-кабелю сети "Центел" антивирусы сразу стали фиксировать и удалять вновь инсталлируемое вредоносное ПО. Осмотр повреждённой системы показал, что в ней имеются остатки ранее установленных антивирусов Avast, Dr.Web, KAV, Norton Antivirus. В основном в виде каталога, программной группы и нескольких библиотек MFC???.dll или от систем разработки Borland. На мой вопрос как были удалены антивирусы я получил ответ, что они сами переставили работать, и после этого приходилось ставить новые, но специально их никто не удалял.
Данные с повреждённой машины в конце концов были скопированы на флешку, но использовать для этого диск с системой Windows PE или UNIX не удалось из-за чипсета SiS 651 со встроенным графическим адаптером и особенностей конкретного LCD монитора не способного работать если видео карта не опознана ОС.
Пришлось ставить временную копию Windows XP и работать из под неё. И вот тут-то и удалось точно отследить источник заражения - при обратной трассировке цепочки IP "вышел" на их DNS сервера 87.240.1.1 и 87.240.1.2. При этом одним из троянов оказался троян W32.SillyFDC размещающий в корневой папке абсолютно всех дисков подключённых к заражаемой машине структуру: \Autorun.inf, \Recycled\INFO.EXE, \Recycled\descktop.ini с атрибутами s+, h+, r+, a+ - "скрытый, системный, архивный, только для чтения". Приэтом что я заметил - файл info.exe имеет не обычную структуру - локальная структура VERSION_INFO в нём расположена в начале файла, сразу после заголовка, сам заголовок имеет нестандартный PE-формат. А в качестве версии записано (цитирую по памяти):
Производитель: Microsoft Corporation
Язык: Китайский
Продукт: ODBC
Версия: 5.1.2600.2180
Внутреннее имя: ODBC.exe
...
Система была перестановлена после затирания рабочей поверхности обоих жёстких дисков по двойной схеме - сначала трёх проходным алгоритмом DoD STD, а затем рабочая поверхность была заполнена шестнадцатеричным значением 0x00 для предотвращения возможных ошибок при установке системы. Система была установлена заново с прилагавшегося к машине оригинального CD-ROM, и до подключения в сеть данного провайдера была установлена и запущена AVZ 4.27 в режиме контроля и лечения руткитов. И снова в течении 30 секунд после подключения к Интернет AVZ формирует сообщения о попытке установки на машину сначала серии kernel-моде руткитов, причём сообщает, что да, это новейшие руткиты пытающиеся установить перехватчики системных сообщений в модули NTOSKERNEL.EXE, LSASS.EXE, WINLOGON.EXE, NET1.EXE, SC.EXE, TCPIP.SYS, но они опознаны как таковые именно по своим действиям нейросетью и системой эвристического анализа, но в данный момент в базе их ещё нет, хотя естественно, что база свежайшая, скачанная с сайта автора на другой машине меньше чем пару минут тому назад, и так же начинает формировать сообщения о обнаружении попыток заражения ClamAV 0.92.1 так же использующий он-лайн обновление, в данный момент вынужденно через GPRS. И вдобавок мой "старый знакомый" - W32.SillyFDC вместе с "компанией" ранее уже зафиксированных в данной системе троянов и вирусов.
Не однократные обращения в службу техподдержки провайдера не имели успеха, поскольку Call-центр отказывает в соединении с техническими специалистами компании.
Как это выяснилось: позвонила знакомая с жалобой, что у неё не работает машина, вернее работает, но настолько медленно, что работать на ней не возможно. Вдобавок не отправляется почта. Я задал вопрос какой почтовой программой она пользуется? (раньше она работала с Web-почтой и MS Outlook Express). Она ответила, что The Bat! Ну, а так я уже сталкивался с тем, что "мышь летучая" может по необъяснимой причине "забастовать", то заподозрил вирусы, тем более что она сказала, что стоявший у неё Dr.Web их вроде уничтожал. Пришлось ехать и разбираться на месте. И первое что я увидел это ряд странных запущенных процессов. Он загружали процессор на 90% и активно работали с сетью. Информацию об этом сразу дал Process Explorer запущенный с защищённой от записи SD-ки. Я запустил AVZ 4.27 в режиме поиска руткитов и с максимальным уровнем эвристики и через два часа он удалил с машины 11 руткитов и около сотни троянов. Естественно, что Ethernet-кабел был перед чисткой отключён. Затем на машину, поскольку файловая система была уже сильно повреждена, а сама Windows XP из-за сбитых параметров запуска работал с ошибками, после их исправления был установлен ClamAV/ClamWin 0.92.1 с последними базами. Но как только машину подключили к Ethernet-кабелю сети "Центел" антивирусы сразу стали фиксировать и удалять вновь инсталлируемое вредоносное ПО. Осмотр повреждённой системы показал, что в ней имеются остатки ранее установленных антивирусов Avast, Dr.Web, KAV, Norton Antivirus. В основном в виде каталога, программной группы и нескольких библиотек MFC???.dll или от систем разработки Borland. На мой вопрос как были удалены антивирусы я получил ответ, что они сами переставили работать, и после этого приходилось ставить новые, но специально их никто не удалял.
Данные с повреждённой машины в конце концов были скопированы на флешку, но использовать для этого диск с системой Windows PE или UNIX не удалось из-за чипсета SiS 651 со встроенным графическим адаптером и особенностей конкретного LCD монитора не способного работать если видео карта не опознана ОС.
Пришлось ставить временную копию Windows XP и работать из под неё. И вот тут-то и удалось точно отследить источник заражения - при обратной трассировке цепочки IP "вышел" на их DNS сервера 87.240.1.1 и 87.240.1.2. При этом одним из троянов оказался троян W32.SillyFDC размещающий в корневой папке абсолютно всех дисков подключённых к заражаемой машине структуру: \Autorun.inf, \Recycled\INFO.EXE, \Recycled\descktop.ini с атрибутами s+, h+, r+, a+ - "скрытый, системный, архивный, только для чтения". Приэтом что я заметил - файл info.exe имеет не обычную структуру - локальная структура VERSION_INFO в нём расположена в начале файла, сразу после заголовка, сам заголовок имеет нестандартный PE-формат. А в качестве версии записано (цитирую по памяти):
Производитель: Microsoft Corporation
Язык: Китайский
Продукт: ODBC
Версия: 5.1.2600.2180
Внутреннее имя: ODBC.exe
...
Система была перестановлена после затирания рабочей поверхности обоих жёстких дисков по двойной схеме - сначала трёх проходным алгоритмом DoD STD, а затем рабочая поверхность была заполнена шестнадцатеричным значением 0x00 для предотвращения возможных ошибок при установке системы. Система была установлена заново с прилагавшегося к машине оригинального CD-ROM, и до подключения в сеть данного провайдера была установлена и запущена AVZ 4.27 в режиме контроля и лечения руткитов. И снова в течении 30 секунд после подключения к Интернет AVZ формирует сообщения о попытке установки на машину сначала серии kernel-моде руткитов, причём сообщает, что да, это новейшие руткиты пытающиеся установить перехватчики системных сообщений в модули NTOSKERNEL.EXE, LSASS.EXE, WINLOGON.EXE, NET1.EXE, SC.EXE, TCPIP.SYS, но они опознаны как таковые именно по своим действиям нейросетью и системой эвристического анализа, но в данный момент в базе их ещё нет, хотя естественно, что база свежайшая, скачанная с сайта автора на другой машине меньше чем пару минут тому назад, и так же начинает формировать сообщения о обнаружении попыток заражения ClamAV 0.92.1 так же использующий он-лайн обновление, в данный момент вынужденно через GPRS. И вдобавок мой "старый знакомый" - W32.SillyFDC вместе с "компанией" ранее уже зафиксированных в данной системе троянов и вирусов.
Не однократные обращения в службу техподдержки провайдера не имели успеха, поскольку Call-центр отказывает в соединении с техническими специалистами компании.
Ржунимагу.
