Что за напасть [OK]

[terminal]

ЗдравствУйте.

 

Стоит Windows Server 2003 R2 SP2. Раньше лечил её от вирУсов, в т.ч. новых (писал письма, где было подтверждено, что это новые вирУсы). Боролся долгое время (переУстанавливать системУ нельзя), но осталась одна напасть, с которой не знаю что делать. Логи я приложил, но некоторые процессы я не могУ закрыть (рабочий сервер).

 

Дополнительно могУ сказать, при сканировании с помощью программы "Process Monitor" от Sysinternals видно, что зараженные файлы создаются файлом "C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe". Сам файл я отправлят на проверкУ, ничего подозрительного выявлено не было.

 

Постоянно появляются 2-а файла, sermssql.dll и msint64.dll в папке System32. АнтивирУс KIS 2010 их Успешно Удаляет (не спрашивайте, как я его поставил). В день может так продолжаться несколько раз. За 3-и дня свыше 50 попыток создания и Удаления данных файлов. Файлы по отчётУ заражены "Trojan-Downloader.Win32.Agent.cfig".

 

Весело, пока писал, антивирУс обрарУжил еще один вирУс. На этот раз Trojan.Win32.Agent.cvxx (что-то новенькое).

 

Вот пришел отчёт:

 

Архив 090924_141900_virusinfo_files_SQLSERVER_4abb4794a5 ed9.zip, загружен 24.09.2009 14:40:16, размер 9797839 байт

Всего файлов: 50 (исполняемых 50), из них:

зловреды или опасные объекты: 0

подозрительные: 0

занесены в базу безопасных AVZ: 0

В очереди на добавление в базу безопасных:

высокий приоритет: 35

обычный приоритет: 15

 

Обновления все Установны на сервер через Windows Update. SQL сервер стоит 2000 SP4. ДрУгой ставить нельзя.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Apollon]

В AVZ выполнить ниже написанный скрипт

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS\system32\relog_ap.dll','');
QuarantineFile('C:\WINDOWS\system32\inetsrv\iisres.dll;C:\WINDOWS\system32\ws03res.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\vmnetuserif.sys','');
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\WINDOWS\System32\lserver.exe;C:\WINDOWS\System32\ws03res.dll','');
QuarantineFile(';C:\WINDOWS\system32\ws03res.dll;C:\WINDOWS\system32\w03a2409.dll','');
DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
DeleteFile('C:\WINDOWS\system32\MsSip2.dll');
DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

 

Пофиксить в HiJackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=UOI987J3&id=menu_ie_frame
O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=UOI987J3&id=menu_ie_image
O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=UOI987J3&id=menu_ie_link
O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=UOI987J3&id=menu_ie_exclude
O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=UOI987J3&id=menu_ie_report
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

Знакомый Адрес?

 91.144.140.4 91.144.142.3

Если нет то так же пофикстить в HiJackThis

 

После выполнения скрипта выполнить два ниже указанных

1.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправить newsvirus@kaspersky.com

 

2.

begin
SetAVZPMStatus(True);
end.

 

Логи повторить

[terminal]

91.144.140.4 точно DNS нашего провайдера, 91.144.142.3 надо смотреть.

 

из того, что знаю

 

QuarantineFile('C:\WINDOWS\system32\drivers\Haspnt.sys','');

 

это драйвер ключа защиты, зачем его в карантин?

 

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

 

это от программы для записи дисков

 

завтра на сервере снимУ логи

Изменено 25 сентября, 2009 пользователем terminal

[Apollon]

terminal

Принято ждём от вас логов

[terminal]

Каюсь, AVZPM не включал, но остальное всё сделал. ВирУсы как были, так и остались. Пропатчил сегодня SQL патчами, которые после SP4 вышли, бУдет видно, что это даст. Просто в логе Helkern замечен был, вот и решил посмотреть, что вышло после SP4.

 

Раньше, когда стоял KIS 2009, вирУсы приводили к Удалению слУжбы "БрандмаУэры и общий достУп...". Интернет на компьютерах клиентов пропадал при этом. Приходилось восстанавливать слУжбУ и перезагрУжать компьютер.

 

Добавлю, файлов

 

DeleteFile('C:\WINDOWS\system32\MsSip1.dll');

DeleteFile('C:\WINDOWS\system32\MsSip2.dll');

DeleteFile('C:\WINDOWS\system32\MsSip3.dll');

 

не было на момент Удаления, видать их прибил KIS до этого.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 30 сентября, 2009 пользователем terminal

[ТроПа]

Вы посылали карантин после выполнения скрипта и получили ответ на него?

[terminal]

ответ не полУчил

[Cracker]

Здрасти! Наткнулся на те же грабли! По всей видемости это червяк, который через дыру в SQL сервере выполняет злые sql запросы котрые мне удалось отследить (см. в атаче) sql-профайлером. Кто знает sql тот поймет содержание скрипта.. очень изящно злоумышлиники написали. У меня симтомы были такие появлялись выше упомянутые dll, также обнаружил что после выполнения запросов запускается ftp.exe и качает всякую "каку" на котору сразуже выругивается антивирь, запретил ftp.exe лазить в инет и все! А вот sqlservr.exe попрежнему выполняет злой скрипт, после атаки черьвя на дырку. Запускается злой скрипт из под sql учётки sa. Следовательно, ИМХО, подобрал пароль т.к. у меня стоял тупо "123"! Теперь у него задача посложнее, хыхыых так пароль усложнился до не реальности хыхыхы! Как поймать черьвя за RйTSa незнаю! Паралельно сканю анти вирем компы с которых были атаки на SQL!

 

Если изучить скрипт то внем создается те самые DLL (куча строк и цифр) и котрыем путем включения команд (по дефолту они отключенны) тем же злым скриптом, выполняет подключени к FTP, скачку всяких "вирей", и запуск их с определёнными параметрами через cmdshell.

 

Строгое предупреждение от модератора Falcon

На форуме запрещено выкладывать подобные файлы (см. пункт № 11 правил)

Изменено 1 октября, 2009 пользователем Falcon

[terminal]

Здрасти! Наткнулся на те же грабли! По всей видемости это червяк, который через дыру в SQL сервере выполняет злые sql запросы котрые мне удалось отследить (см. в атаче) sql-профайлером. Кто знает sql тот поймет содержание скрипта.. очень изящно злоумышлиники написали. У меня симтомы были такие появлялись выше упомянутые dll, также обнаружил что после выполнения запросов запускается ftp.exe и качает всякую "каку" на котору сразуже выругивается антивирь, запретил ftp.exe лазить в инет и все! А вот sqlservr.exe попрежнему выполняет злой скрипт, после атаки черьвя на дырку. Запускается злой скрипт из под sql учётки sa. Следовательно, ИМХО, подобрал пароль т.к. у меня стоял тупо "123"! Теперь у него задача посложнее, хыхыых так пароль усложнился до не реальности хыхыхы! Как поймать черьвя за RйTSa незнаю! Паралельно сканю анти вирем компы с которых были атаки на SQL!

 

Если изучить скрипт то внем создается те самые DLL (куча строк и цифр) и котрыем путем включения команд (по дефолту они отключенны) тем же злым скриптом, выполняет подключени к FTP, скачку всяких "вирей", и запуск их с определёнными параметрами через cmdshell.

 

На форуме запрещено выкладывать подобные файлы (см. пункт № 11 правил)

 

действительно, вирУс запУскал ftp и качал дрУгие вирУсы, которые Устанавливали левые слУжбы и гасили сеть. Я с этим решил гильотиной - просто взял и Удалил файл ftp до лУчших времён.

 

залей на обменник, я глянУ, а то ответа до сих пор нет.

 

Можно Узнать, что это: "Как поймать черьвя за RйTSa незнаю!"?

Изменено 1 октября, 2009 пользователем terminal

[Cracker]

Можно Узнать, что это: "Как поймать черьвя за RйTSa незнаю!"?

 

Это метафора! RйTSa - это ЯЙЦА! Со вчерашнего дня червь не как не появил себя, видать задумался на паролем "sa"! Так что комрады меняйте пароль sa, на SQL, на более сложные! И ещё настроил антивирь на прослушку и защиту потока по порту 1433 - SQL порт, ИМХО, вирь из класса рекоштников, отрозил один комп летит к другому понему проходит эта атака!

 

залей на обменник, я глянУ, а то ответа до сих пор нет.

 

Смотри Личку!

Изменено 2 октября, 2009 пользователем Cracker

[terminal]

посмотрел пароль на "sa"... позориться не бУдУ поставил 17 значный глянУ, как бУдУт развиваться события.

[terminal]

проблема решена. В бУдУщем может комУ и пригодится наш опыт.

[Misterio]

можно пояснить еще раз это

QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');

QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');

QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');

вредоносные файлы?

У меня они тоже присутствуют в автозапуске, но отсутствуют на компе почему-то. (Поиск ничего не дал)

[akoK]

Androno12, легитимные это файлы...