[rezolvat] Virtumonde/vundo ?!
Am descoperit recent o chestie foarte ciudata.Probabil e vorba de ceva versiune noua Trojan Vundo Virtumonde
Alertele care m-au pus pe ganduri au fost generate de Outpost si se refera la
->
EXPLORER.EXE OLE automation control \RPC Control\OLEBF341FD8325A45DAA9A2E54EC97A
->
WINLOGON.EXE OLE automation control \RPC Control\OLEBF341FD8325A45DAA9A2E54EC97A
dar si la -> ONLINECMDLINESCANNER.EXE (prevx )OLE automation control \RPC Control\OLEBF341FD8325A45DAA9A2E54EC97A oarecum legitim
Fisierul caracteristic winzoa32.dll (caracteristic din cate am inteles Virtumonde) se gasea in X:\Documents and Settings\"USER"\My Documents\My Pictures ,o locatie care sigur nu e normala.
Fisierul winzoa32.dll se regaseste arhivat pe sendspace ,si nu e detectat de nici un antivirus in virustotal ca fiind malware -> <link șters>
De asemenea exista o referinta catre fisier in calea bifata cu X Exista de asemenea Dwordul ,in ambele foldere bifate,OLEBF341FD8325A45DAA9A2E54EC97A
Nu exista pop-upuri specifice rogue ,dar exista hickupuri ocazionale prin desktop si lag spikes in aplicatii 3D.Alertele Outpost apareau uzual cand o aplicatie 3D era full screen.
Comentarii
-
Mulțumim pentru sample, Sm3K3R.
Însă este o mică problemă cu fișierul atașat de tine. Nu este nici pe departe un fișier DLL acela, ci este un screenshot BMP (cu extensie greșită). Din câte îmi dau seama, este screenshotul complet (din care ai copiat fereastra pe care ai postat-o mai sus). Faptul că se afla în My Pictures este probabil explicat de faptul că este o poză (probabil ai salvat-o cu nume greșit).
Linkul din postul tău l-am șters înainte să verific dacă este OK fișierul. Dacă mai ai nevoie de el, ți-l pot da.
Te rog să arhivezi din nou sampleul, dacă îl mai ai.
De asemenea, există 2 reguli:
1) sampleurile se arhivează cu parolă, pentru a preveni coruperea datelor (cu parola infected)
2) nu se postează pe forumul public linkuri la fișiere posibil malițioase, din cauza riscului pe care îl presupun pentru alți useri curioși. Te rog să-mi trimiți pe PM linkul de download.
Cris.0 -
Ai dreptate Cris " /> .
Fisierul respectiv e un print .In faza initiala am facut niste printuri si s-a salvat sub un nume gresit s-ar parea .Am crezut initial c-am pierdut printul si cand am vazut acolo fisierul cu dll am considerat ca se pitise in locatie insusi virusul (poate si nesomnul si-a spus cuvantul) " />
Oricum din print se vede referinta din registry,chiar daca fisierul nu e de gasit.Trebuia sa fie o referinta acolo referitoare la acel fisier dll ?
Ulterior cele doua foldere din registry le-am sters si s-a intamplat un fenomen ciudat ,imediat dupa ce am postat aici ,a disparut conexiunea LAN din Network Connections total si din taskbar.Dupa restart-ul PC-ului a reaparut dar la incercari de a umbla la acel LAN imi aparea ceva cu "not enoough privileges".Ulterior am rulat un reset de stack o sa revin cu logul.
Au vreo legatura registrii respectivi cu LAN-ul ?
Imi cer scuze pentru sample-ul fake ,a fost fara intentie.
Sper sa nu fie o vantoare de vrajitoare.
Alt sample nu am .0 -
Si pentru ca tot m-am facut de ras revin si cu logul reset tcp stack
reset SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\15\RegLocation
old REG_MULTI_SZ =
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\?\DhcpDomain
SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\DhcpDomain
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{6E6162FD-5779-4802-A379-2C678FE8757A}\NetbiosOptions
reset SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{8D0037A2-8A27-496F-8861-4A85604AC839}\NetbiosOptions
old REG_DWORD = 2
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{ABCC5286-9B0B-48B6-9970-557303E5E6C8}\NetbiosOptions
deleted SYSTEM\CurrentControlSet\Services\Netbt\Parameters\EnableLmhosts
added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\DisableDynamicUpdate
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\IpAutoconfigurationAddress
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\IpAutoconfigurationMask
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\IpAutoconfigurationSeed
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\RawIpAllowedProtocols
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\TcpAllowedPorts
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\UdpAllowedPorts
old REG_MULTI_SZ =
0
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DontAddDefaultGatewayDefault
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableIcmpRedirect
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableSecurityFilters
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SearchList
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\UseDomainNameDevolution
reset Linkage\UpperBind for PCI\VEN_1186&DEV_4300&SUBSYS_43001186&REV_10\4&2966AB86&0&10A4. bad value was:
REG_MULTI_SZ =
afw
reset Linkage\UpperBind for ROOT\MS_NDISWANIP\0000. bad value was:
REG_MULTI_SZ =
afw
<completed>
Imi cer scuze daca am creat neplaceri si pieredere de timp stafului BD.Merit un warn
Scuze Cris !0 -
Stai calm, că nu a pierdut nimeni timpul cu fișierul tău. Nu trimit nimic mai departe fără să verific, mai ales că astfel de greșeli sunt omenești.
Cât despre regiștrii, nu ai spus exact care este calea. Iar numai din screenshoturi nu îmi pot da seama.
Cât despre ce mi-ai trimis pe PM, sunt destul de irelevante. AVIS nu a fost făcut pentru scanare decât sub îndrumare directă a unui analist BitDefender, deoarece încorporează metode de scanare euristice foarte agresive și are o rată extrem de mare de alarme false. Deci ceea ce mi-ai trimis, din moment ce acea scanare nu a fost făcută într-un context anume, pot fi considerate alarme false.
Dacă dorești o analiză mai atentă a situației sistemului tău, citește acest articol: http://kb.bitdefender.com/KB490
Încarcă pe SendSpace cele două loguri (BDSI și GMER) și trimite-mi pe PM linkurile de descărcare.
Cris.0 -
Multumesc Cris!
S-ar parea ca ce am pus in print e locatia unde functia Search isi pastreaza istoricul ,si logic ,numele fisierului aparea pentru ca-l cautasem anterior " /> .
Cred ca se poate inchide topicul si eventual arunca intr-un Recycle Bin.Pana la urma un HIPS agresiv te poate face sa crezi ca esti infectat cu ce-ti doresti " /> .
Avand in vedere ca am scanat la greu ,cu tot felul de softuri ,si n-au gasit nimic ,cred ca se poate inchide.
Noroc de week-end ,altfel as fi perturbat activitatea suportului in mod inutil.0 -
OK.
== ÎNCHIS ==
== Problemă rezolvată ==0
Liderul tuturor timpurilor
Categorii de discuții
- Toate Categoriile
- 2 Știri și bloguri
- 10 Subiecte generale
- 2 Securitate pentru companii
- 4 Sugestii și idei pentru produse
- 12 Alte produse și servicii
- 19 Central & Abonamente
- 16 VPN
- 14 Mobile Security
- 2 Mac
- 39 Windows
- 1.3K Protectie utilizatori individuali
- 949 Arhiva
- 199 Discu355ii generale
- 199 Discu355ii malware
- 6 Discu355ii spam 351i phishing
- 58 Produse
- 49 Sta355ii de lucru
- 1 Unix
- Servere windows
- 3 Protec355ie enterprise
- 5 Mobile
- 487 350tiri