svchost.exe -k netsvcs от имени пользователя, Новый вирус Опции

[Decker]

Уже второй раз сталкиваюсь с новым типом вируса, симптомы как здесь:

http://forum.oszone.net/thread-208647.html

Т.е. если смотреть из под Process Explorer, запускается %windir%\system32\svchost.exe от имени пользователя, т.е. процесс запустивший его - explorer.exe ... ключи командной строки: "-k netsvcs", рабочая папка %USERPROFILE% ... запускаться может от одного, до нескольких экземпляров. Причем, svchost.exe и explorer.exe соответствуют дистрибутивным. Как и чем они запускаются (вернее чем-то понятно, а вот как) выяснить не удалось. Настройки HKLM\System\CurrentControlSet\Services вроде нормальные. Загрузка системы этими процессами под 100% ... Еще выяснил вот что ... одновременно с ними в папке %Userprofile%\...\Главное меню\Программы\Автозагрузка присутствует скрытый exe'шник ... иногда это igfxtray.exe (маскируется под драйвера Intel'овской видеокарты), иногда случайное буквенно-цифровое имя. Так вот, если его прибить, то загрузка CPU пропадает. Но процесс svchost.exe от имени пользователя (!) все равно запускается ...

p.s. В данный момент идет "разбор полетов", что и как ...

[Decker]

Просканировал систему ComboFix (взять можно здесь,
здесь или здесь) ... вот лог сканирования:

 log.7z ( 3,56 килобайт ) Кол-во скачиваний: 181

Код

ComboFix 11-09-06.03 - Администратор 06.09.2011  17:54:09.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.767.408 [GMT 4:00]
Running from: c:\documents and settings\Администратор\Рабочий стол\Upload\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
.
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\igfxtray.exe
c:\documents and settings\Администратор\Application Data\igfxtray.dat
c:\documents and settings\Администратор\Application Data\KYL
c:\documents and settings\Администратор\Application Data\KYL\fi.dat
c:\documents and settings\Администратор\Application Data\Microsoft\Internet Explorer\qsTAtsrv.dll
c:\documents and settings\Администратор\Local Settings\Application Data\ApplicationHistory
c:\documents and settings\Администратор\Local Settings\Application Data\ApplicationHistory\caspol.exe.f62feae4.ini
c:\documents and settings\Администратор\WINDOWS
c:\program files\Common Files\bssrepp
c:\program files\Common Files\bssrepp\path.txt
c:\program files\Common Files\keylog.txt
c:\windows\AutoRun.ini
c:\windows\system32\AdmDll.dll
c:\windows\system32\drivers\wdreg.exe
c:\windows\system32\ieunitdrf.inf
c:\windows\system32\raddrv.dll
c:\windows\system32\srcsize32d.dat
c:\windows\system32\tmp.tmp
.
.
(((((((((((((((((((((((((   Files Created from 2011-08-06 to 2011-09-06  )))))))))))))))))))))))))))))))
.
.
2011-09-06 09:23 . 2011-09-06 09:23    --------    d-----w-    c:\program files\trend micro
2011-09-06 09:23 . 2011-09-06 09:23    --------    d-----w-    C:\rsit
2011-09-05 06:36 . 2011-09-06 06:11    --------    d-----w-    c:\documents and settings\Администратор\Application Data\MicroST
2011-08-29 04:43 . 2011-08-29 04:43    --------    d-----w-    c:\documents and settings\Администратор\Local Settings\Application Data\Google
2011-08-29 04:43 . 2011-08-29 04:43    --------    d-----w-    c:\documents and settings\Администратор\Local Settings\Application Data\Bromium
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-06 13:40 . 2009-10-30 10:41    700416    ----a-w-    c:\windows\system32\advapi32.$$$
2011-08-30 04:40 . 2011-05-26 05:59    404640    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-27 10:53 . 2011-07-27 10:54    73728    ----a-w-    c:\windows\system32\javacpl.cpl
2011-07-27 10:53 . 2011-07-27 10:54    472808    ----a-w-    c:\windows\system32\deployJava1.dll
2010-11-16 10:02 . 2010-11-16 08:38    18734784    ----a-w-    c:\program files\WDM_A406.exe
2010-11-11 07:37 . 2010-11-11 07:37    955784    ----a-w-    c:\program files\SkypeSetup.exe
2010-07-26 11:31 . 2010-07-26 11:29    16634027    ----a-w-    c:\program files\qs_free.exe
2010-07-21 04:53 . 2010-07-21 04:48    9676728    ----a-w-    c:\program files\FirefoxSetup.exe
2011-09-01 04:53 . 2011-03-23 11:18    134104    ----a-w-    c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-02-24 . F5E8B729CE74757A6635FED21614DE50 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-09-24 7626752]
"nwiz"="nwiz.exe" [2006-09-24 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-09-24 86016]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE7_011"="shell32" [X]
"IE7_012"="advpack.dll" [2008-04-15 100352]
.
c:\documents and settings\Ђ¤¬Ё­Ёбва в®а\ѓ« ў­®Ґ ¬Ґ­о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \
Punto Switcher.lnk - c:\program files\Yandex\Punto Switcher\punto.exe [2011-6-29 2451304]
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders    msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mqnkapfc.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\R5BaseSmc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCardSvr]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\token]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{50DD5230-BA8A-11D1-BF5D-0000F805F530}]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 18:16    39792    ----a-w-    c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\CNAB4RPK.EXE"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\windows\system32\r_server.exe"= c:\windows\system32\r_server.exe:192.168.0.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Radmin Server
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"17413:TCP"= 17413:TCP
.
R2 cpinit;Служба инициализации Крипто-Про CSP;c:\program files\Crypto Pro\CSP\cpinit.exe [30.10.2009 14:41 114688]
R2 cprmcsp;Служба хранения и использования ключей Крипто-Про CSP;c:\program files\Crypto Pro\CSP\cprmcsp.exe [30.10.2009 14:41 458752]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [07.04.2010 21:07 731840]
R3 R5BaseSmc;USB Token Holder Service;c:\windows\system32\drivers\smccard.sys [30.03.2010 16:09 12800]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.07.2009 10:54 717296]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys --> c:\windows\system32\DRIVERS\ehdrv.sys [?]
S1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys --> c:\windows\system32\DRIVERS\epfwtdir.sys [?]
S2 r_server;Remote Administrator Service;c:\windows\system32\r_server.exe [15.06.2010 13:03 241664]
S3 token;USB Token Service;c:\windows\system32\drivers\eps2kt1.sys [30.03.2010 16:09 21888]
S4 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 16:49 227232]
.
--- Other Services/Drivers In Memory ---
.
*Deregistered* - PROCEXP141
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yandex.ru/?clid=37245
uDefault_Search_URL = hxxp://search.qip.ru
mStart Page = about:blank
mSearch Bar =
uInternet Connection Wizard,ShellNext = hxxp://www.yandex.ru/?clid=41279
uSearchAssistant = hxxp://search.qip.ru/ie
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{39AA6D29-4236-4F25-A36A-3410EF5283D9} - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - c:\progra~1\PIVIMM~1\MULTIS~1.DLL
TCP: DhcpNameServer = 192.168.1.1
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\Администратор\Application Data\Mozilla\Firefox\Profiles\aed9jcsh.default\
FF - prefs.js: browser.search.selectedEngine - Яндекс
FF - prefs.js: browser.startup.homepage - hxxp://www.yandex.ru/
FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=
.
- - - - ORPHANS REMOVED - - - -
.
HKU-Default-RunOnce-tscuninstall - c:\windows\system32\tscupgrd.exe
AddRemove-QIP 2010 - c:\program files\QIP 2010\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-09-06 18:04
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...  
.
scanning hidden autostart entries ...
.
scanning hidden files ...  
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
Completion time: 2011-09-06  18:06:15
ComboFix-quarantined-files.txt  2011-09-06 14:05
.
Pre-Run: 27 085 209 600 байт свободно
Post-Run: 28 923 023 360 байт свободно
.
Current=3 Default=3 Failed=0 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 0A0FD505619DB2013ED6BDA68A4AB769

[Decker]

Как видно, проблема была именно вот в этом:

Код

c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\igfxtray.exe
c:\documents and settings\Администратор\Application Data\igfxtray.dat

После удаления этих файлов процесс svchost.exe от имени пользователя перестал появляться в системе. К сожалению содержимое "C:\Qoobox\Quarantine\" сохранить не удалось, т.к. ComboFix при деинсталляции (ComboFix /Uninstall) стер все следы своего присутствия в системе, в том числе и карантин. Поэтому собственно анализировать больше нечего

[Tzar]

Нада заразится ещё раз))

[NEsTor]

Прошел год... А гадость все жива, сегодня вот вылавливал, на этот раз научилась прятаться в бутсекторе загрузочного раздела. Прогресс за год хоть небольшой, но есть

[Decker]

Прошел год... А гадость все жива, сегодня вот вылавливал, на этот раз научилась прятаться в бутсекторе загрузочного раздела. Прогресс за год хоть небольшой, но есть

А каким образом это проявлялось? Т.е. фактически, что делал код вредоноса находящийся в MBR/PBR? Например, при загрузке ОС автоматически помещал exe'шник в папку автозагрузки или что?

[Decker]

© http://news.drweb.com/show/?c=5&i=2927&lng=ru

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о распространении новой троянской программы Trojan.GBPBoot.1, обладающей интересным механизмом самовосстановления.

С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления.

Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.

В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.

Антивирусное ПО Dr.Web располагает механизмами обнаружения и лечения данной угрозы, в том числе позволяет восстанавливать поврежденную загрузочную запись, поэтому Trojan.GBPBoot.1 не представляет серьезной опасности для пользователей продуктов «Доктор Веб».