Пятница, 24.11.2017, 17:32
Приветствую Вас Гость | RSS
Главная | Каталог статей | Регистрация | Вход
Меню сайта
Категории раздела
Публичные [46]
Служебные [48]
Форма входа

Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Статистика

    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0
    Главная » Статьи » Публичные

    Systemhost - как с ним бороться
        9 июня столкнулся с необычным вирусом. Пользователь личного компьютера (Windows XP) пожаловался, что у него были предупреждения от антивирусной программы и после этого стал плохо работать интернет. В журнале уважаемой мной Avir'ы была парочка сообщений об обнаружении вирусов в папке systemhost.
        Я запустил, на всякий случай, полное сканирование системы, а тем временем бегло проверил таблицу процессов, загруженные модули (msinfo32) и автоматически загружаемые программы. Также выполнил поиск по дате создания файлов, созданных и измененных в этот день. Обычно этого хватает, чтобы за что-то зацепиться, но в этот раз ничего привлекательного не было.
        Все это заняло некоторое время, наверное, около получаса, и можно было бы уходить, но Avira застряла и никак не хотела заканчивать, и похоже зависла. Не дожидаясь, я перезагрузил компьютер...
        Я был очень удивлен, когда сразу же после загрузки Avira обнаружила вирус. Ведь ничего же не было. Вирус располагался в папке "C:\systemhost". О чем, кстати, свидетельствовали и предыдущие записи в журнале Avir'ы. Значит, скорее всего, в ней что-то осталось. Открываю проводник и опппс... В проводнике такой папки я НЕ ВИЖУ. Все скрытые и системные файлы отображаются, а этой нет!
        Ну ладно, разное бывало, не задумываясь набираю в строке запуска программ C:\systemhost ...  И снова УДИВЛЕН - папка открылась, а ней еще 2 файлика лежат, один экзешник (увидите ниже), а другой  - без расширения. Экзешник я как-то поспешил сразу удалить через SHIFT+DEL, а второй файл без расширения.
    Я захотел загрузить его Avir'е в карантин и отправить в лабораторию на анализ. НО! Не тут-то было, при выборе файла папки systemhost НЕ ВИДНО, а если вписать вручную C:\systemhost, то, посмотрите, что она дает!!!



        В папке systemhost Avira  видит весь системный диск!

     

        Поэтому-то она и зависла!
       
        Отлично, проверим еще командной строкой:




    Папки нет!
    А мы ее удалим. Сначала я проверил возможность удаления файлов с помощью del C:\systemhost\* и это сработало. Теперь саму папку 




        Нет! Папка есть, удаляться не хочет, хоть и пуста, но не пуста!
        А вот вид со стороны проводника (Пуск - выполнить - C:\systemhost):




        После некоторого замешательства я решил копать в сторону точек соединения Junction файловой системы NTFS. Это редко встречается в практике, в основном на контроллерах домена и в серверных продуктах, причем обращаться с ними надо очень осторожно, иначе все перекосится, и поэтому как с ними работать, думаю, знают немногие.
        Интернет быстро подсказал на этот счет утилиту Junction от Марка Русиновича, но !



       
        Вот так! Я попробовал несколько раз. На любые сайты идет, сюда нет. Значит чужеродный процесс в памяти компьютера и мы здесь не одни.

        Ладно, быстро нашлась замена, штатная команда MOUNTVOL, и создает, и перечисляет, у удаляет точки соединения NTFS. Но увы,
    для диска C:\ я ожидал увидеть что-нибудь еще, кроме системного тома. Стоило бы еще запустить эту команду для C:\systemhost , но я тогда этого не сделал.

         Нет, наверное, это не точки соединения.
         Я еще раз перезагрузил компьютер, и Avira снова сообщила о вирусе. Он снова в этой папке. Захожу в нее проводником через  Пуск - выполнить - C:\systemhost. Оказывается с ней вполне можно работать и создать в ней, например, новую папку:



         И контекстное меню вполне применимо к exe-файлу, тому который еще остался. Отправим его на проверку к антивирусу через контекстное меню:



        Ясно, Avira точно не готова. Но зато теперь я поищу точку запуска этого файла, ведь это он, скорее всего, оставался в памяти. Я пожалел, что сразу удалил его раньше, не поискав в реестре:



        Конечно, сейчас прошло время, и я не запомнил всех подробностей. Сейчас по своим же скриншотам пытаюсь их восстановить, но не могу точно сказать, почему я не заметил этого в реестре при первой проверке?
        В общем, дальше с помощью запрета на запуск я заблокировал этот экзешник, после перезагрузки Avira промолчала, а заколдованный systemhost, наконец-то, явился на свет:



        24FC2AE39DE.exe я отправил в лабораторию Avir'ы, а также загрузил и на virustotal.com. На тот момент результат был таким:                                
    AntivirusResultUpdate
    nProtect-20120709
    CAT-QuickHeal-20120708
    McAfeeArtemis!E5B355A302E120120709
    TheHacker-20120709
    K7AntiVirus-20120709
    VirusBuster-20120709
    NOD32Win32/Spy.SpyEye.CA20120709
    F-Prot-20120709
    Symantec-20120709
    Norman-20120709
    TotalDefense-20120707
    TrendMicro-HouseCallTROJ_GEN.RC1H1G620120709
    AvastWin32:Downloader-PHO [Trj]20120709
    eSafe-20120708
    ClamAV-20120709
    KasperskyTrojan-Dropper.Win32.Injector.fhuf20120709
    BitDefenderGen:Variant.Graftor.2941920120709
    ViRobot-20120709
    Emsisoft-20120709
    Comodo-20120709
    F-SecureGen:Variant.Graftor.2941920120709
    DrWebTrojan.PWS.SpySweep.53320120709
    VIPRETrojan.Win32.Generic!BT20120709
    AntiVir-20120709
    TrendMicro-20120709
    McAfee-GW-EditionArtemis!E5B355A302E120120709
    Sophos-20120709
    Jiangmin-20120709
    Antiy-AVL-20120709
    Microsoft-20120709
    SUPERAntiSpyware-20120708
    AhnLab-V3-20120709
    GDataGen:Variant.Graftor.2941920120709
    Commtouch-20120709
    ByteHero-20120704
    VBA32TrojanSpy.SpyEyes.gen20120709
    PCTools-20120709
    Rising-20120709
    Ikarus-20120709
    Fortinet-20120709
    AVGDropper.Generic6.AHQH20120709
    PandaTrj/CI.A20120709

    Отметим готовность ведущих антивирусов и пролет Avir'ы, MSE и китайского RISING'а.
    А для сопутствующего файла 01102D30589FB1C

    AntivirusResultUpdate
    nProtect-20120709
    CAT-QuickHeal-20120708
    McAfeePWS-Spyeye!conf20120709
    TheHacker-20120709
    K7AntiVirus-20120709
    VirusBuster-20120709
    NOD32-20120709
    F-Prot-20120709
    SymantecTrojan.Spyeye!conf20120709
    Norman-20120709
    TotalDefenseWin32/SpyEye!cfg20120707
    TrendMicro-HouseCallTSPY_EYECONF.SM320120709
    Avast-20120709
    eSafe-20120708
    ClamAV-20120709
    Kaspersky-20120709
    BitDefender-20120709
    ViRobot-20120709
    EmsisoftTrojan.Win32.EyeStye!IK20120709
    Comodo-20120709
    F-Secure-20120709
    DrWeb-20120709
    VIPRE-20120709
    AntiVir-20120709
    TrendMicroTSPY_EYECONF.SM320120709
    McAfee-GW-EditionPWS-Spyeye!conf20120709
    SophosTroj/SpyEyeCn-A20120709
    Jiangmin-20120709
    Antiy-AVL-20120709
    MicrosoftTrojan:Win32/EyeStye.C!cfg20120709
    SUPERAntiSpyware-20120708
    AhnLab-V3-20120709
    GData-20120709
    Commtouch-20120709
    ByteHero-20120613
    VBA32-20120709
    PCToolsTrojan.Spyeye20120709
    Rising-20120709
    IkarusTrojan.Win32.EyeStye20120709
    FortinetData/SpyeyeCon.fam20120709
    AVGPSW.SpyEye20120709
    Panda-20120709

    Здесь, наоборот, MSE не подкачал.  Подозреваю, что заражение начиналось как раз с этого файла, так как ниже вы увидите, что он смог остановить развитие заразы, не дав попасть на компьютер двум другим друзьям вредоноса.

    Я также не поленился достать из карантина тот файл AQY0P2.exe, на который Avira срабатывала. Вот результат VirusTotal'а:
    AntivirusResultUpdate
    nProtect-20120709
    CAT-QuickHeal-20120708
    McAfee-20120709
    TheHacker-20120709
    K7AntiVirus-20120709
    VirusBuster-20120709
    NOD32-20120709
    F-Prot-20120709
    Symantec-20120709
    NormanW32/Obfuscated_J20120709
    TotalDefense-20120707
    TrendMicro-HouseCall-20120709
    Avast-20120709
    eSafe-20120708
    ClamAV-20120709
    KasperskyTrojan-Dropper.Win32.Injector.fiks20120709
    BitDefender-20120709
    ViRobot-20120709
    Sophos-20120709
    Comodo-20120709
    F-Secure-20120709
    DrWeb-20120709
    VIPRE-20120709
    AntiVir-20120709
    TrendMicro-20120709
    McAfee-GW-Edition-20120709
    Emsisoft-20120709
    Jiangmin-20120709
    Antiy-AVL-20120709
    Microsoft-20120709
    SUPERAntiSpyware-20120708
    AhnLab-V3-20120709
    GData-20120709
    Commtouch-20120709
    ByteHero-20120626
    VBA32TrojanSpy.SpyEyes.gen20120709
    PCTools-20120709
    Rising-20120709
    Ikarus-20120709
    Fortinet-20120709
    AVG-20120709
    Panda-20120709

        Странно, но здесь он остался незамеченным той же Avir'ой.

        Ответ из лаборатории Avir'ы пришел на следующий день, два файла они признали, а один посчитали безопасным. Напрасно, что-то мне подсказывает, что в этой папочке C:\systemhost, безопасных файлов не было:)
      
       Почти неделю спустя обнаружил на другом компьютере такой же случай, но без проникновения, причем попытка заражения происходила двумя неделями раньше:



        Вот так. Таких штучек мне раньше не попадалось, возможно, и вам тоже. Пожалуйста, оставляйте свои отзывы или вопросы. Вы также можете рассказать на страницах этого сайта о своем личном опыте.

    Категория: Публичные | Добавил: andrianov (13.07.2012)
    Просмотров: 7421 | Рейтинг: 5.0/1
    Всего комментариев: 2
    1  
    как вылечить эту дрянь?

    2  
    Да, я там многовато-то написал, вкратце так:
    Пуск, выполнить, C:\systemhost
    Заблокировать запуск вредоноса как описано здесь
    http://it24x365.ru/publ....-1-0-92
    Перезагрузить компьютер, удалить папку systemhost и ссылки в реестре.

    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Создать бесплатный сайт с uCozИП Андрианов© 2017
    Яндекс.Метрика