9 июня столкнулся с необычным вирусом. Пользователь личного компьютера (Windows XP)
пожаловался, что у него были предупреждения от антивирусной программы и
после этого стал плохо работать интернет. В журнале уважаемой мной
Avir'ы была парочка сообщений об обнаружении вирусов в папке
systemhost. Я запустил, на всякий случай, полное сканирование
системы, а тем временем бегло проверил таблицу процессов, загруженные
модули (msinfo32) и автоматически загружаемые программы. Также выполнил
поиск по дате создания файлов, созданных и измененных в этот день. Обычно этого хватает, чтобы за что-то зацепиться, но в этот раз ничего
привлекательного не было. Все это заняло некоторое время,
наверное, около получаса, и можно было бы уходить, но Avira застряла и
никак не хотела заканчивать, и похоже зависла. Не дожидаясь, я
перезагрузил компьютер... Я был очень удивлен, когда сразу же
после загрузки Avira обнаружила вирус. Ведь ничего же не было. Вирус
располагался в папке "C:\systemhost". О чем, кстати, свидетельствовали и предыдущие записи в журнале Avir'ы. Значит, скорее всего, в ней что-то осталось. Открываю проводник и опппс... В проводнике
такой папки я НЕ ВИЖУ. Все скрытые и системные файлы отображаются, а этой
нет! Ну ладно, разное бывало, не задумываясь набираю в строке
запуска программ C:\systemhost ... И снова УДИВЛЕН - папка открылась, а
ней еще 2 файлика лежат, один экзешник (увидите ниже), а другой - без
расширения. Экзешник я как-то поспешил сразу удалить через SHIFT+DEL, а второй файл без расширения. Я захотел загрузить его Avir'е в карантин и отправить в лабораторию на анализ.
НО! Не тут-то было, при выборе файла папки systemhost НЕ ВИДНО, а если
вписать вручную C:\systemhost, то, посмотрите, что она дает!!!
В папке systemhost Avira видит весь системный диск!
Поэтому-то она и зависла!
Отлично, проверим еще командной строкой:
Папки нет! А мы ее удалим. Сначала я проверил возможность удаления файлов с помощью del C:\systemhost\* и это сработало. Теперь саму папку
Нет! Папка есть, удаляться не хочет, хоть и пуста, но не пуста! А вот вид со стороны проводника (Пуск - выполнить - C:\systemhost):
После некоторого замешательства я решил копать в сторону точек соединения Junction файловой системы NTFS. Это редко встречается в практике, в основном на контроллерах домена и в серверных продуктах, причем обращаться с ними надо очень осторожно, иначе все перекосится, и поэтому как с ними работать, думаю, знают немногие. Интернет быстро подсказал на этот счет утилиту Junction от Марка Русиновича, но !
Вот так! Я попробовал несколько раз. На любые сайты идет, сюда нет. Значит чужеродный процесс в памяти компьютера и мы здесь не одни.
Ладно, быстро нашлась замена, штатная команда MOUNTVOL, и создает, и перечисляет, у удаляет точки соединения NTFS. Но увы, для диска C:\ я ожидал увидеть что-нибудь еще, кроме системного тома.
Стоило бы еще запустить эту команду для C:\systemhost , но я тогда
этого не сделал.
Нет, наверное, это не точки соединения. Я еще раз перезагрузил компьютер, и Avira снова сообщила о вирусе. Он снова в этой папке. Захожу в нее проводником через Пуск - выполнить - C:\systemhost. Оказывается с ней вполне можно работать и создать в ней, например, новую папку:
И контекстное меню вполне применимо к exe-файлу, тому который еще остался. Отправим его на проверку к антивирусу через контекстное меню:
Ясно, Avira точно не готова. Но зато теперь я поищу точку запуска этого файла, ведь это он, скорее всего, оставался в памяти. Я пожалел, что сразу удалил его раньше, не поискав в реестре:
Конечно, сейчас прошло время, и я не запомнил всех подробностей. Сейчас по своим же скриншотам пытаюсь их восстановить, но не могу точно сказать, почему я не заметил этого в реестре при первой проверке? В общем, дальше с помощью запрета на запуск я заблокировал этот экзешник, после перезагрузки Avira промолчала, а заколдованный systemhost, наконец-то, явился на свет:
24FC2AE39DE.exe я отправил в лабораторию Avir'ы, а также загрузил и на virustotal.com. На тот момент результат был таким:
Antivirus
Result
Update
nProtect
-
20120709
CAT-QuickHeal
-
20120708
McAfee
Artemis!E5B355A302E1
20120709
TheHacker
-
20120709
K7AntiVirus
-
20120709
VirusBuster
-
20120709
NOD32
Win32/Spy.SpyEye.CA
20120709
F-Prot
-
20120709
Symantec
-
20120709
Norman
-
20120709
TotalDefense
-
20120707
TrendMicro-HouseCall
TROJ_GEN.RC1H1G6
20120709
Avast
Win32:Downloader-PHO [Trj]
20120709
eSafe
-
20120708
ClamAV
-
20120709
Kaspersky
Trojan-Dropper.Win32.Injector.fhuf
20120709
BitDefender
Gen:Variant.Graftor.29419
20120709
ViRobot
-
20120709
Emsisoft
-
20120709
Comodo
-
20120709
F-Secure
Gen:Variant.Graftor.29419
20120709
DrWeb
Trojan.PWS.SpySweep.533
20120709
VIPRE
Trojan.Win32.Generic!BT
20120709
AntiVir
-
20120709
TrendMicro
-
20120709
McAfee-GW-Edition
Artemis!E5B355A302E1
20120709
Sophos
-
20120709
Jiangmin
-
20120709
Antiy-AVL
-
20120709
Microsoft
-
20120709
SUPERAntiSpyware
-
20120708
AhnLab-V3
-
20120709
GData
Gen:Variant.Graftor.29419
20120709
Commtouch
-
20120709
ByteHero
-
20120704
VBA32
TrojanSpy.SpyEyes.gen
20120709
PCTools
-
20120709
Rising
-
20120709
Ikarus
-
20120709
Fortinet
-
20120709
AVG
Dropper.Generic6.AHQH
20120709
Panda
Trj/CI.A
20120709
Отметим готовность ведущих антивирусов и пролет Avir'ы, MSE и китайского RISING'а. А для сопутствующего файла 01102D30589FB1C
Antivirus
Result
Update
nProtect
-
20120709
CAT-QuickHeal
-
20120708
McAfee
PWS-Spyeye!conf
20120709
TheHacker
-
20120709
K7AntiVirus
-
20120709
VirusBuster
-
20120709
NOD32
-
20120709
F-Prot
-
20120709
Symantec
Trojan.Spyeye!conf
20120709
Norman
-
20120709
TotalDefense
Win32/SpyEye!cfg
20120707
TrendMicro-HouseCall
TSPY_EYECONF.SM3
20120709
Avast
-
20120709
eSafe
-
20120708
ClamAV
-
20120709
Kaspersky
-
20120709
BitDefender
-
20120709
ViRobot
-
20120709
Emsisoft
Trojan.Win32.EyeStye!IK
20120709
Comodo
-
20120709
F-Secure
-
20120709
DrWeb
-
20120709
VIPRE
-
20120709
AntiVir
-
20120709
TrendMicro
TSPY_EYECONF.SM3
20120709
McAfee-GW-Edition
PWS-Spyeye!conf
20120709
Sophos
Troj/SpyEyeCn-A
20120709
Jiangmin
-
20120709
Antiy-AVL
-
20120709
Microsoft
Trojan:Win32/EyeStye.C!cfg
20120709
SUPERAntiSpyware
-
20120708
AhnLab-V3
-
20120709
GData
-
20120709
Commtouch
-
20120709
ByteHero
-
20120613
VBA32
-
20120709
PCTools
Trojan.Spyeye
20120709
Rising
-
20120709
Ikarus
Trojan.Win32.EyeStye
20120709
Fortinet
Data/SpyeyeCon.fam
20120709
AVG
PSW.SpyEye
20120709
Panda
-
20120709
Здесь, наоборот, MSE не подкачал. Подозреваю, что заражение начиналось как раз с этого файла, так как ниже вы увидите, что он смог остановить развитие заразы, не дав попасть на компьютер двум другим друзьям вредоноса.
Я также не поленился достать из карантина тот файл AQY0P2.exe, на который Avira срабатывала. Вот результат VirusTotal'а:
Antivirus
Result
Update
nProtect
-
20120709
CAT-QuickHeal
-
20120708
McAfee
-
20120709
TheHacker
-
20120709
K7AntiVirus
-
20120709
VirusBuster
-
20120709
NOD32
-
20120709
F-Prot
-
20120709
Symantec
-
20120709
Norman
W32/Obfuscated_J
20120709
TotalDefense
-
20120707
TrendMicro-HouseCall
-
20120709
Avast
-
20120709
eSafe
-
20120708
ClamAV
-
20120709
Kaspersky
Trojan-Dropper.Win32.Injector.fiks
20120709
BitDefender
-
20120709
ViRobot
-
20120709
Sophos
-
20120709
Comodo
-
20120709
F-Secure
-
20120709
DrWeb
-
20120709
VIPRE
-
20120709
AntiVir
-
20120709
TrendMicro
-
20120709
McAfee-GW-Edition
-
20120709
Emsisoft
-
20120709
Jiangmin
-
20120709
Antiy-AVL
-
20120709
Microsoft
-
20120709
SUPERAntiSpyware
-
20120708
AhnLab-V3
-
20120709
GData
-
20120709
Commtouch
-
20120709
ByteHero
-
20120626
VBA32
TrojanSpy.SpyEyes.gen
20120709
PCTools
-
20120709
Rising
-
20120709
Ikarus
-
20120709
Fortinet
-
20120709
AVG
-
20120709
Panda
-
20120709
Странно, но здесь он остался незамеченным той же Avir'ой.
Ответ из лаборатории Avir'ы пришел на следующий день, два файла они признали, а один посчитали безопасным. Напрасно, что-то мне подсказывает, что в этой папочке C:\systemhost, безопасных файлов не было:)
Почти неделю спустя обнаружил на другом компьютере такой же случай, но без проникновения, причем попытка заражения происходила двумя неделями раньше:
Вот так. Таких штучек мне раньше не попадалось, возможно, и вам тоже. Пожалуйста, оставляйте свои отзывы или вопросы. Вы также можете рассказать на страницах этого сайта о своем личном опыте.
Да, я там многовато-то написал, вкратце так: Пуск, выполнить, C:\systemhost Заблокировать запуск вредоноса как описано здесь http://it24x365.ru/publ....-1-0-92 Перезагрузить компьютер, удалить папку systemhost и ссылки в реестре.
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
