Также интересно... Нашел у себя в локалке, появляется в Share-папках но не пойму какой комп их туда бросает )
Аналогичная трабла, чем бы запалить запись в шару (Ip компа) , рассылку как я понял делает не постоянно, а раз в сутки. Вчера во всех шарах поубивали, сегодня снова разослал, после удаления из шары уже не шлёт... P.S. Используется простой общий доступ к файлам и принтерам, без контроллера домена, AD и т.д. пациент на VirusTotal UP: Начал тестить тварь в виртуалке, первая инфа: 1. Создаёт ключи реестра для своего автозапуска, в системе виден после запуска как процесс csrcs.exe запускаемый из System32. Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "csrcs"="C:\WINNT\system32\csrcs.exe" Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe csrcs.exe" Меняет настройки безопасности и устанавливает настройки плагинов IE Code: 18.11.2008 12:03:27 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение Hidden, данные 0x00000002 (2)). 18.11.2008 12:04:04 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение Hidden, данные 0x00000002 (2)) разрешена. 18.11.2008 12:04:05 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)). 18.11.2008 12:04:08 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)) разрешена. 18.11.2008 12:05:43 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация). 18.11.2008 12:05:57 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена. 18.11.2008 12:05:57 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация). 18.11.2008 12:05:59 Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена. 18.11.2008 12:09:47 Процесс C:\WINNT\Explorer.EXE (PID: 1212): подозрительное действие. Попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00). 18.11.2008 12:10:13 Процесс C:\WINNT\Explorer.EXE (PID: 1212): попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00) разрешена. Пытается бороться с Антивирусом Касперского: 2. Далее использует стандартные комманды cmd: - сначала пингует что-то (даже при откл. сетевом подключении, скорее всего пытается отстучаться). - затем скорее всего пытается определить конфигурацию сети (c помощью ipconfig) - на данном этапе у меня был отключен сетевой адаптер - так что это только предположение из его дальнейших действий: - поскольку класс подсети он не смог определить, стал тупо сканить по диапазону 127.0.0.2-127.0.0.255 (используя комманду net view) продолжение следует...
Такс... вроде нашёл чем определить откуда идёт рассылка, качаем NetBIOS Monitor (http://www.freeware.ru/program_prog_id_12524.html) смотрим подозрительную (частую) активность IP. Идём на тачки и проверям факт заражения (по процессам, ключам реестра). У меня три машины обнаружились с интенсивной активностью по NetBIOS... P.S. Пошёл их проверять, продолжение следует...
Одного прихлопнул, ломился в интернет на следующие сайты: Code: LEMOX.MYHOME.CX ZKARMY.DIP.JP TONKOR.OR.TP DIESAM.MOE.HM - правда на шлюзе авторизация, так что безуспешно... P.S. Заходить не рекомендую, потому как сайты походу заряжены свежими сплоитами (по крайней мере у Оперы 9.51 сносит крышу).