"Русский щит" на RU-Board: ГОЛОСОВАНИЕ - [16] :: Флейм

Я вот случайно нашёл применение для "орлов" из "РЩ":

Цитата:

Столкнулся с таким опасным фактом - Интернет-провайдер ЗАО «Центел» ("дочка" Центрального Телеграфа, г. Москва) устанавливает на машины клиентов вредоносное ПО.

Как это выяснилось: позвонила знакомая с жалобой, что у неё не работает машина, вернее работает, но настолько медленно, что работать на ней не возможно. Вдобавок не отправляется почта. Я задал вопрос какой почтовой программой она пользуется? (раньше она работала с Web-почтой и MS Outlook Express). Она ответила, что The Bat! Ну, а так я уже сталкивался с тем, что "мышь летучая" может по необъяснимой причине "забастовать", то заподозрил вирусы, тем более что она сказала, что стоявший у неё Dr.Web их вроде уничтожал. Пришлось ехать и разбираться на месте. И первое что я увидел это ряд странных запущенных процессов. Он загружали процессор на 90% и активно работали с сетью. Информацию об этом сразу дал Process Explorer запущенный с защищённой от записи SD-ки. Я запустил AVZ 4.27 в режиме поиска руткитов и с максимальным уровнем эвристики и через два часа он удалил с машины 11 руткитов и около сотни троянов. Естественно, что Ethernet-кабел был перед чисткой отключён. Затем на машину, поскольку файловая система была уже сильно повреждена, а сама Windows XP из-за сбитых параметров запуска работал с ошибками, после их исправления был установлен ClamAV/ClamWin 0.92.1 с последними базами. Но как только машину подключили к Ethernet-кабелю сети "Центел" антивирусы сразу стали фиксировать и удалять вновь инсталлируемое вредоносное ПО. Осмотр повреждённой системы показал, что в ней имеются остатки ранее установленных антивирусов Avast, Dr.Web, KAV, Norton Antivirus. В основном в виде каталога, программной группы и нескольких библиотек MFC???.dll или от систем разработки Borland. На мой вопрос как были удалены антивирусы я получил ответ, что они сами переставили работать, и после этого приходилось ставить новые, но специально их никто не удалял.

Данные с повреждённой машины в конце концов были скопированы на флешку, но использовать для этого диск с системой Windows PE или UNIX не удалось из-за чипсета SiS 651 со встроенным графическим адаптером и особенностей конкретного LCD монитора не способного работать если видео карта не опознана ОС.

Пришлось ставить временную копию Windows XP и работать из под неё. И вот тут-то и удалось точно отследить источник заражения - при обратной трассировке цепочки IP "вышел" на их DNS сервера 87.240.1.1 и 87.240.1.2. При этом одним из троянов оказался троян W32.SillyFDC размещающий в корневой папке абсолютно всех дисков подключённых к заражаемой машине структуру: \Autorun.inf, \Recycled\INFO.EXE, \Recycled\descktop.ini с атрибутами s+, h+, r+, a+ - "скрытый, системный, архивный, только для чтения". Приэтом что я заметил - файл info.exe имеет не обычную структуру - локальная структура VERSION_INFO в нём расположена в начале файла, сразу после заголовка, сам заголовок имеет нестандартный PE-формат. А в качестве версии записано (цитирую по памяти):

Производитель: Microsoft Corporation
Язык: Китайский
Продукт: ODBC
Версия: 5.1.2600.2180
Внутреннее имя: ODBC.exe
...

Система была перестановлена после затирания рабочей поверхности обоих жёстких дисков по двойной схеме - сначала трёх проходным алгоритмом DoD STD, а затем рабочая поверхность была заполнена шестнадцатеричным значением 0x00 для предотвращения возможных ошибок при установке системы. Система была установлена заново с прилагавшегося к машине оригинального CD-ROM, и до подключения в сеть данного провайдера была установлена и запущена AVZ 4.27 в режиме контроля и лечения руткитов. И снова в течении 30 секунд после подключения к Интернет AVZ формирует сообщения о попытке установки на машину сначала серии kernel-моде руткитов, причём сообщает, что да, это новейшие руткиты пытающиеся установить перехватчики системных сообщений в модули NTOSKERNEL.EXE, LSASS.EXE, WINLOGON.EXE, NET1.EXE, SC.EXE, TCPIP.SYS, но они опознаны как таковые именно по своим действиям нейросетью и системой эвристического анализа, но в данный момент в базе их ещё нет, хотя естественно, что база свежайшая, скачанная с сайта автора на другой машине меньше чем пару минут тому назад, и так же начинает формировать сообщения о обнаружении попыток заражения ClamAV 0.92.1 так же использующий он-лайн обновление, в данный момент вынужденно через GPRS. И вдобавок мой "старый знакомый" - W32.SillyFDC вместе с "компанией" ранее уже зафиксированных в данной системе троянов и вирусов.

Не однократные обращения в службу техподдержки провайдера не имели успеха, поскольку Call-центр отказывает в соединении с техническими специалистами компании.

Думаю, что вот этим им и надо заняться - за помощь в пресечении распространения вирусов, троянов и руткитов многие им "спасибо" скажут, и я в такой ситуации не только не стану исключением, но и помогу им в этом, но только в этом. У меня чистка двух машин и восстановление повреждённых данных заняла двое суток непрерывной работы, хотя я опытный профессионал. А что говорить о тех пользователях у кого нет такого инженерного опыта или знакомых умеющих выполнить подобную работу? Ведь их-то по статистике большинство. Получается, что если провайдер заражает машины своих пользователей, он безнаказан, а если человек скачал программу и установив её обнаружил ошибку и исправив её выложил в Сети обновление он преступник. Я просто отказываюсь понимать логику тех, кто это утверждает.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Модерирует : 3xp0, TechSup
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19