Разное

Нас сегодня поутру подломил какой-то добрый человек. В большей части папок появились 5 файлов:
a.php,
a.pl,
a.asp
- эти три - видимо, наудачу, какой сработает, - делают одно и то же: прописывают код на VB, который призван создать две записи в системном реестре и вызывают 4-й
(HTML HELP FILE.hta),
хранящийся в архиве help.zip. Ну и в каждой папке появился пустой
index.html
- это, видно, так, чтоб жизнь медом не казалась и сайт пустым повисел. В файле архива какой-то немыслимый код на Javascript (по крайней мере, он так объявляется).
Если я прикреплю сюда эти файлы - это как-то поможет проследить историю взлома?
Большое спасибо всем ответившим.

Ну приклейте. Я попробую.

a.php

a.pl

a.asp

help.zip

Это вирус Win32.HLLM.Graz в классификации DrWeb, не советую никому качать.

Ну а index.html, как я говорил, пуст. Большое спасибо за участие, ZC.

Как сказал cheops, это виря и ее качать не рекомендуется. Но я все-таки посмотрю. Если что выясню, то напишу.

Win32.HLLM.Graz
(Worm.Win32.Feebs, Rootkit-Kmax, W32/Ider@MM)

Добавлен в вирусную базу Dr.Web®: 2005-12-19 00:00:00

Описание

Win32.HLLM.Graz - почтовый червь массовой рассылки.

Распространение

1. По почте как сообщение с приложенным zip-архивом.
Пример текста сообщения:

You have received Protected Mail from MSN.com user. This message is addressed personally for you. To decrypt your message use the following details: ID: 25747 Password: qeopgelhk Keep your password in a safe place and under no circumstances give it to ANYONE. Protected Mail and instruction is attached. Best Regards, Protected Mail System, MSN.com

К сообщению прилагается zip-архив с одним из следующих имен:

msg.zip message.zip data.zip mail.zip

В архиве - файл hta, содержащий зашифрованное тело вируса. Имя этого файла составляется из двух случайно выбранных строк. Первая строка может быть "Encrypted", "Protected", "Secure" или "Extended", а вторая - "Mail", "E_Mail", "Message" или "Html".
При открытии этого файла в корень диска C: сбрасывается файл с именем COMMAND.EXE и запускается. В это же время появляется окно, предлагающее ввести ID и Password.

2. По ICQ.
Следит за траффиком на зараженной машине и получает UIN и пароль.
Получает список контактов для данного UIN.
Пользователям из списка контактов рассылаются сообщения, содержащие ссылку http://popcapfree.t35.com/. На данной странице пользователю предлагается скачать "универсальный генератор ключей для игр PopCap".
Возможный текст сообщения:

PopCap deluxe games absolutely free you like PopCap deluxe games?Play them free and no limited PopCap deluxe games without limit I see your drive C: you a hacked, look! this is your local drives?not a joke:))

3. На зараженной машине создается http-сервер и при попытке скачать с него что-либо отдается тело вируса в формате hta. Может быть запаковано в zip - зависит от типа запрашиваемого файла.

Запуск вируса

При запуске вируса он копирует свое тело в системную папку %SystemRoot%\System32 под именем ms??.exe и сбрасывает в эту же папку файл ms??32.dll.
Для обеспечения автозапуска своей копии прописывает сброшенный dll-файл в ветку реестра

HKLM\Windows\CurrentVersion\ShellServiceObjectDelayLoad.

Действия

Отслеживает трафик на определенных портах и разбирает передаваемые данные в соответствии с протоколами для извлечения паролей (telnet,smtp,pop3,ftp,icq,irc, ...).
Далее эта информация использует для дальнейшего распространения вируса. Например, рассылка сообщений по ICQ от имени пользователя по всему контактному листу или заражение сайтов которые пользователь имел неосторожность обновить через FTP.

Содержит функцию управления программой WebMoney Keeper.

Блокирует доступ к сайтам, имена которых содержат следующие подстроки:

fsi    vcatch    feste    norton resplendence    softwin    filseclab    ntivi una    panda    free-av    numentec adware    trojan    freeav    phx.corporate-ir alwil    agnitum    frsirt    secu avg    altn    gdata.de    sina grisoft    antiy    grisoft    skynet bitdef    anvir    iavs    softbase clam    asw    iss    sophos hbedv    atdmt    kasper    spam esafe    atwola    lavasoft    stocona aladdin    avast    mcafee    symantec quickhea    avp    messagel    trendmicro avgate    awaps    microsoft    update tds3    bitdefender    msn    viru onecare    ca.com    my-etrust    webroot ahnlab    drweb    nai.com    haker vnunet    eset    networkass    spy virdet    vnunet    nod32    itsafe avinfo    fbi    norman

это то же список использует для полного блокирования доступа к сети у приложений по их именам.

Завершает сервисы, удаляет записи о них из реестра, а с диска файлы, имеющие в своем имени подстроки:

zonealarm     dpf     spfirewallsvc zapro     xfilter     sppfw ca     leviathantrial    kavpf vsmon     looknstop     sspfwtry2 zlclient     mpftray     keypatrol pavfnsvr     netlimiter     s-wall avgcc     npgui     smc fsdfwd     npfsvice     umxtray dfw     npfmsg     persfw fireballdta     npfc     pccpfw fbtray     ccapp     tzpfw goldtach     ccsetmgr     xeon ipcserver     ccevtmgr     bullguard aws     ccproxy     bgnewsui jammer     symlcsvc     fw armorwall     sndsrvc     fwsrv armor2net     opfsvc iamapp     opf iamserv     ipatrol blackd     spfw

Подобных списков в вирусе несколько, кроме файерволов в них входит ряд антивирусов, программ обеспечения безопасности (анти-кейлоггеры, анти-трояны и т.д.), мониторинга сетевых соединений и т.д.

P2P-Worm.

Папки, в именах которых есть строки: "download", "upload", "incom", "share" заполняет .zip архивами с именами:

ICQ_2006 winamp_5.2 3dsmax_9_(3D_Studio_Max) ACDSee_9 Adobe_Photoshop_10_(CS3) Adobe_Premiere_9_(2.0_pro) Ahead_Nero_8 DivX_7.0 Internet_Explorer_7 Kazaa_4 Microsoft_Office_2006 Longhorn

которые содержат копию вируса в файле websetup.exe

Путем перехвата системных API-функций прячет свой процесс в памяти и файлы на диске.

Рекомендации по восстановлению системы

1. Загрузить ОС Windows в Безопасном режиме (Safe Mode) ;
2. Просканировать память и локальные диски компьютера сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT!. Действие для найденных файлов - удалить .


P.S.

Не хилый червяк! :)

И как он на сайте оказался интересно, это же Сетевой червяк?

Ну и что что он почтовый, наверное с помощью тогосамого ужасного и непонятного яваскрипта и дырки в enternet explorere он зпгружается на машины пользователей и устанавливается там, а уже оттуда распостраняется по почте

То есть попадание его на сайт - не целевая акция? Он подгрузился с компьютера одного из пользователей?
Можно ли сейчас определить, с чьего? Каковы должны быть полномочия пользователя?
PS.Огромное спасибо.

Мне кстати сегодня на мыло подобная фигня пришла. Хорошо что каспер стоит...

Хм...=( Жаль я не успел скачать...Файл в атаче удалили...=( Эх...=)

P.S. говорите HTA? HTML Application? Мда...Пригодилось бы...=)

Всем желающим могу выслать на e-mail. )) Хм... архивом...

Вот уж не знал, что вирус может через дырку в эксплорере попасть на сайт! Помоему это невозможно.

Вот стянуть пароли доступа к сайту, и кудато их передать....

Давай...Присылай...Адрес в профиле...=)