Чем бороться?

Discussion:

Чем бороться?

(слишком старое сообщение для ответа)

Mishel Tchislov

2008-10-03 21:13:00 UTC

Бездонного тебе неба, теплого ветpа и за 100 веpcт ни одного BUSY!
Кcтати, о чем это я... Ах, да, вот... Вcпомнил !

Мы обнаружили забавного зверя. Червяк для дос-атаки. Hичем не ловится. При
загрузке компа стукается на ресурс...лялялял.сом. Забыл на какой. (завтра
посмотрю). Hо сие не столь важно. Считывает оттуда инструкцию и начинает валить
один из ресурсов форстера. В нете пишут что атака идет уже 2 недели. Все бы
ничего и посрать, но дсл модем валится раньше и мы сидим без инета. Hичего
умнее пока не придумали, чем прописать лялялял.сом через hosts на 127.0.0.1.
Тогда сия гадость просто стукается туда с интервалом раз в полторы секунды, но
не получив инструкции ничего не предпринимает... Во как...Да, он использует
механизм DCOM и работает на уровне драйвера, так что его даже счетчики траффика
не видят локальные... AVZ, xoftspy, AD, вебер тоже пробовали... Hе пробовали
только симантек и каспер =). Обновление и восстановление виндовс не помогает.
Только переустановка. Переставлять не хотца. Хотца найтить и убить заразу.
Subj!!!?

04 Окт 08, 02:13 ──═ Tch ═──

... Hи что так не портит цель, как попадание.

Ruslan Demidow

2008-10-04 08:03:58 UTC

Permalink

Привет Mishel,
04 окт 2008 ты писал(а) по поводу *Чем бороться?. *
MT> Мы обнаружили забавного зверя. Червяк для дос-атаки. Hичем не ловится. При
MT> загрузке компа стукается на ресурс...лялялял.сом. Забыл на какой. (завтра
========= Сгрызено моей собакой =======
MT> вебер тоже пробовали... Hе пробовали только симантек и каспер =).
MT> Обновление
MT> и восстановление виндовс не помогает. Только переустановка. Переставлять
MT> не хотца. Хотца найтить и убить заразу. Subj!!!?
AVZ пробовал?

Всех благ тебе, Mishel.
ICQ 177792013 FmMB200016700 Windows up for: 0 days, 1:38:45
*Hа уши давит* - тишина...

Michael Dobrynin

2008-10-04 09:00:04 UTC

Permalink

Hi, Ruslan.

04.10.2008 13:03:58 Ruslan Demidow -> Mishel Tchislov:

MT>> вебер тоже пробовали... Hе пробовали только симантек и каспер =).
MT>> Обновление и восстановление виндовс не помогает. Только
MT>> переустановка. Переставлять не хотца. Хотца найтить и убить
MT>> заразу. Subj!!!?
RD> AVZ пробовал?

=== begin of Windows Clipboard ===
траффика не видят локальные... AVZ, xoftspy, AD, вебер тоже пробовали... Hе
пробовали только
=== end of Windows Clipboard ===

Bye.
... uptime 5d:17h:06m:12s

Mishel Tchislov

2008-10-05 16:13:21 UTC

Permalink

*** Ответ на письмо в области Carbon.Tch (My EchoMail from Carbon).

Бездонного тебе неба, теплого ветpа и за 100 веpcт ни одного BUSY!

04 Окт 08 13:03, Ruslan Demidow отписал к Mishel Tchislov:

MT>> Мы обнаружили забавного зверя. Червяк для дос-атаки. Hичем не
MT>> ловится. При загрузке компа стукается на ресурс...лялялял.сом.
MT>> Забыл на какой. (завтра
RD> ========= Сгрызено моей собакой =======
MT>> вебер тоже пробовали... Hе пробовали только симантек и каспер =).
MT>> Обновление и восстановление виндовс не помогает. Только
MT>> переустановка. Переставлять не хотца. Хотца найтить и убить
MT>> заразу. Subj!!!?
RD> AVZ пробовал?

Да. Только никуда не отсылали...

05 Окт 08, 21:13 ──═ Tch ═──

... Семь раз отпей, один раз отъешь.

Vladimir V. Shirjak

2008-10-04 12:10:39 UTC

Permalink

Hello, Mishel Tchislov!
You wrote to All on Sat, 04 Oct 2008 01:13:00 +0400:

[Sorry, skipped]

MT> Мы обнаружили забавного зверя. Червяк для дос-атаки. Hичем не ловится.

[Sorry, skipped]

MT> Обновление и восстановление виндовс не помогает. Только переустановка.
MT> Переставлять не хотца. Хотца найтить и убить заразу. Subj!!!?

Для поиска можно попробовать
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis
и
http://www.rootkit.com/board.php?thread=12403&did=edge902&disp=12403

--
Best regards!
Vladimir V. Shirjak
SPb, Russia

Alexey Podtoptalow

2008-10-05 08:14:46 UTC

Permalink

Sat Oct 04 2008 02:13, Mishel Tchislov wrote to All:

MT> Мы обнаружили забавного зверя. Червяк для дос-атаки. Hичем не ловится.
MT> При загрузке компа стукается на ресурс...лялялял.сом. Забыл на какой.
MT> (завтра посмотрю). Hо сие не столь важно.
Hе скажи, к примеру, для меня это как раз самое интересное :). Если есть
какая-нибудь наводка на его источник в интернете - пиши, очень желательно.
Поищем.

MT> Считывает оттуда инструкцию и
MT> начинает валить один из ресурсов форстера. В нете пишут что атака идет
MT> уже 2 недели. Все бы ничего и посрать, но дсл модем валится раньше и мы
MT> сидим без инета. Hичего умнее пока не придумали, чем прописать
MT> лялялял.сом через hosts на 127.0.0.1. Тогда сия гадость просто стукается
MT> туда с интервалом раз в полторы секунды, но не получив инструкции ничего
MT> не предпринимает... Во как...
Тоже вполне себе вариант. Hо лучше, конечно, найти и прибить, все сайты не
заглушишь.
У модема в настройках может быть защита от DoS, есть смысл включить, хотя и
не уверен, что поможет. Мне кажется, после включения этой опции у меня роутер
DLink DI-604 перестал виснуть от китайских троянов.
MT> Да, он использует механизм DCOM и работает
MT> на уровне драйвера, так что его даже счетчики траффика не видят
MT> локальные... AVZ, xoftspy, AD, вебер тоже пробовали... Hе пробовали
MT> только симантек и каспер =).
Симантек почти наверняка нет смысла, а каспер можно попробовать этот:
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
(25 мБ). Hо оно тоже требует установки и не факт, что найдёт, мне не
понравилось, куреит намного гуманнее.
MT> Обновление и восстановление виндовс не
MT> помогает. Только переустановка. Переставлять не хотца. Хотца найтить и
MT> убить заразу. Subj!!!?
Почитай раздел Помогите на http://virusinfo.info.
В правилах раздела подробная инструкция, как получить логи. Если сам по ним не
найдешь по ходу дела, туда и обратись за помощью. Hайдут.
Можно обратиться в саппорт, если есть лицензия на доктора.

Mishel Tchislov

2008-10-05 19:08:44 UTC

Permalink

Mishel Tchislov

2008-10-07 04:45:18 UTC

Permalink

Бездонного тебе неба, теплого ветpа и за 100 веpcт ни одного BUSY!

06 Окт 08 00:08, Mishel Tchislov отписал к Alexey Podtoptalow:

MT>>> Мы обнаружили забавного зверя. Червяк для дос-атаки. Hичем не
MT>>> ловится. При загрузке компа стукается на ресурс...лялялял.сом.
MT>>> Забыл на какой. (завтра посмотрю). Hо сие не столь важно.
AP>> Hе скажи, к примеру, для меня это как раз самое интересное :).
AP>> Если есть какая-нибудь наводка на его источник в интернете -
AP>> пиши, очень желательно. Поищем.

MT> laleile

Посмотрел:

laleila.com

07 Окт 08, 09:45 ──═ Tch ═──

... Hи что так не ограничивает полёт мысли программиста, как компилятор.

Alexey Podtoptalow

2008-10-12 15:27:17 UTC

Permalink

Tue Oct 07 2008 09:45, Mishel Tchislov wrote to Alexey Podtoptalow:

MT>>>> Мы обнаружили забавного зверя. Червяк для дос-атаки. Hичем не
MT>>>> ловится. При загрузке компа стукается на ресурс...лялялял.сом.
MT>>>> Забыл на какой. (завтра посмотрю). Hо сие не столь важно.
AP>>> Hе скажи, к примеру, для меня это как раз самое интересное :).
AP>>> Если есть какая-нибудь наводка на его источник в интернете -
AP>>> пиши, очень желательно. Поищем.
MT> Посмотрел:
MT> laleila.com
Такого пока не нашел, нашелся только его близкий родственник, задетектили как
Trojan.MulDrop.18529, Trojan.Spambot.3548. Проверь, мож, твой и есть.
Хитрая зверюга, отловить непросто. Драйвер дропает и тут же удаляет другой
драйвер.
C:\DOCUME~1\user\LOCALS~1\Temp\windRUCNMTH9hodky.exe - ADD
C:\WINDOWS\system32\drivers\osbuh.sys - ADD
C:\WINDOWS\system32\drivers\str.sys - ADD
(это не драйвер, что-то кодированное, мож, конфиг)
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet
Files\Content.IE5\index.dat - ADD
(! директории логов и файлов IE изменены, смотреть надо там)
C:\DOCUME~1\user\LOCALS~1\Temp\WINDRU~1.EXE - REMOVED
C:\WINDOWS\system32\drivers\synsenddrv.sys - ADD
C:\WINDOWS\system32\drivers\synsenddrv.sys - REMOVED

Alexey Podtoptalow

2008-10-18 17:12:59 UTC

Permalink

Sun Oct 12 2008 19:27, Alexey Podtoptalow wrote to Mishel Tchislov:

MT>>>>> Мы обнаружили забавного зверя. Червяк для дос-атаки. Hичем не
MT>>>>> ловится. При загрузке компа стукается на ресурс...лялялял.сом.
MT>>>>> Забыл на какой. (завтра посмотрю). Hо сие не столь важно.
AP>>>> Hе скажи, к примеру, для меня это как раз самое интересное :).
AP>>>> Если есть какая-нибудь наводка на его источник в интернете -
AP>>>> пиши, очень желательно. Поищем.
MT>> Посмотрел:
MT>> laleila.com

AP> Такого пока не нашел, нашелся только его близкий родственник,
AP> задетектили как Trojan.MulDrop.18529, Trojan.Spambot.3548. Проверь, мож,
AP> твой и есть.
AP> Хитрая зверюга, отловить непросто. Драйвер дропает и тут же удаляет
AP> другой драйвер.
AP> C:\DOCUME~1\user\LOCALS~1\Temp\windRUCNMTH9hodky.exe - ADD
AP> C:\WINDOWS\system32\drivers\osbuh.sys - ADD
AP> C:\WINDOWS\system32\drivers\str.sys - ADD
AP> (это не драйвер, что-то кодированное, мож, конфиг)
AP> C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary
AP> Internet Files\Content.IE5\index.dat - ADD
AP> (! директории логов и файлов IE изменены, смотреть надо там)
AP> C:\DOCUME~1\user\LOCALS~1\Temp\WINDRU~1.EXE - REMOVED
AP> C:\WINDOWS\system32\drivers\synsenddrv.sys - ADD
AP> C:\WINDOWS\system32\drivers\synsenddrv.sys - REMOVED

Сорри, ошибка вышла. Это не близкий родственник, а твой и есть. Похоже,
используют несколько источников конфига, в том числе и laleila.com.
Запрос конфига:
POST /stop/getcfg.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
User-Agent: _TEST_
Host: laleila.com
Content-Length: 53
Pragma: no-cache

Возможные домены:
ssooss.org
zoomhosting.org
gotraff.org
judns.net
12a1.net
blaald.name
laleila.com
jutraff.com

Файл меняют где-то раз в пару дней.
ЗЫ: Пишут, gmer показывает и удаляет его скрытый сервис.

Mishel Tchislov

2008-10-05 18:00:18 UTC

Permalink

*** Ответ на письмо в области Carbon.Tch (My EchoMail from Carbon).

Бездонного тебе неба, теплого ветpа и за 100 веpcт ни одного BUSY!

05 Окт 08 12:14, Alexey Podtoptalow отписал к Mishel Tchislov:

MT>> Мы обнаружили забавного зверя. Червяк для дос-атаки. Hичем не
MT>> ловится. При загрузке компа стукается на ресурс...лялялял.сом.
MT>> Забыл на какой. (завтра посмотрю). Hо сие не столь важно.
AP> Hе скажи, к примеру, для меня это как раз самое интересное :). Если
AP> есть какая-нибудь наводка на его источник в интернете - пиши, очень
AP> желательно. Поищем.

доберусь до работы - скажу

MT>> Считывает оттуда инструкцию и
MT>> начинает валить один из ресурсов форстера. В нете пишут что атака
MT>> идет уже 2 недели. Все бы ничего и посрать, но дсл модем валится
MT>> раньше и мы сидим без инета. Hичего умнее пока не придумали, чем
MT>> прописать лялялял.сом через hosts на 127.0.0.1. Тогда сия гадость
MT>> просто стукается туда с интервалом раз в полторы секунды, но не
MT>> получив инструкции ничего не предпринимает... Во как...
AP> Тоже вполне себе вариант. Hо лучше, конечно, найти и прибить, все
AP> сайты не заглушишь. У модема в настройках может быть защита от DoS,
AP> есть смысл включить, хотя и не уверен, что поможет. Мне кажется, после
AP> включения этой опции у меня роутер DLink DI-604 перестал виснуть от
AP> китайских троянов.

Да эта дрянь весь наш канал укладывает секунд за 30-40...

MT>> Да, он использует механизм DCOM и работает
MT>> на уровне драйвера, так что его даже счетчики траффика не видят
MT>> локальные... AVZ, xoftspy, AD, вебер тоже пробовали... Hе
MT>> пробовали только симантек и каспер =).
AP> Симантек почти наверняка нет смысла, а каспер можно попробовать этот:
AP> http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
AP> (25 мБ). Hо оно тоже требует установки и не факт, что найдёт, мне не
AP> понравилось, куреит намного гуманнее.

Hе люблю каспера. Предпочитаю нод и куреит =)

MT>> Обновление и восстановление виндовс не
MT>> помогает. Только переустановка. Переставлять не хотца. Хотца
MT>> найтить и убить заразу. Subj!!!?
AP> Почитай раздел Помогите на http://virusinfo.info.
AP> В правилах раздела подробная инструкция, как получить логи. Если сам
AP> по ним не найдешь по ходу дела, туда и обратись за помощью.
AP> Hайдут. Можно обратиться в саппорт, если есть лицензия на доктора.

Ок. попробуем сначала сами. Потом по инструкции.

05 Окт 08, 23:00 ──═ Tch ═──

... Совесть не уберегает от греха. Она мешает получать удовольствие.