MyCity » Ambulanta -> Arhiva Ambulante » Win32: Mutant-AG Trojan / Rootkit

Win32: Mutant-AG Trojan / Rootkit

Napisano na dan: 2.6.2008

Win32: Mutant-AG Trojan / Rootkit
Sledeća strana Pagination

Idi na vrh

Poslao: 02 Jun 2008 04:40
Idi na vrh
offline
  • Pridružio: 28 Apr 2005
  • Poruke: 3686
  • Gde živiš: The Circle

Na jednu masinu je stigao trojan putem USB flash diska... dodao je autorun na flash drive, i dupli klik inicira VB skripticu koja sa neta dovlaci ostatak rootkit-a.

Avast je uspeo delimicno da resi stvar, ali je trojanac uspeo da napravi stetu tako sto je par dana slao enormne kolicine spam-a ka svetu, dakle masina je bila hijack-ovana...

HT log:

[Link mogu videti samo ulogovani korisnici]

Sumnjiv proces iexplore.exe i to 4x se pojavljuje... naravno IE nije startovan niti se koristi:


Svchost je poceo da luduje, od 20-ak mb punio se do 400... cpu usage 100%...


Posto Avast nije uspeo da se izbori sa ovim cudom, instalirana je Avira AntiVir Personal koja je nasla jos nekoliko exploita/malware-a kao i Rootkit koji nikako ne moze da se obrise (Access denied):



Samo je taj Winnt32.dll ostao u system32 folderu, ni iz safe mode-a, ni sa CMD-a ne moze da se obrise...


Testirane su i druge masine u mrezi, sve je cisto osim na jednoj sumniv proces u poslednjoj liniji loga:
[Link mogu videti samo ulogovani korisnici]

Eto, ispade ovo studija slucaja Razz

Inace za ovaj Mutant-AG / Agent-VGV trojanac/crv tesko je naci opis na netu, koliko sam uspeo da nadjem pojavio se tek sada u maju.. znaci sveze celjade dodje i u nase krajeve Razz

====================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05:25, on 31.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Misa\Desktop\SECURIT\xclean_micro.exe
C:\Documents and Settings\Misa\Desktop\SECURIT\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Link mogu videti samo ulogovani korisnici]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Link mogu videti samo ulogovani korisnici]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Link mogu videti samo ulogovani korisnici]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Link mogu videti samo ulogovani korisnici]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Link mogu videti samo ulogovani korisnici]
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - [Link mogu videti samo ulogovani korisnici]\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [Link mogu videti samo ulogovani korisnici]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\hpzipm12.exe

--
End of file - 3890 bytes



Poslao: 02 Jun 2008 07:42
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Skini ComboFix sa jedne od sledecih adresa na Desktop:
[Link mogu videti samo ulogovani korisnici]
[Link mogu videti samo ulogovani korisnici]
[Link mogu videti samo ulogovani korisnici]

Startuj ga i ne diraj prozor programa dok skenira.
Sledi uputstva na ekranu. Kada zavrsi pojavice se log (C:\ComboFix.txt) koji ces nam ovde iskopirati.



MyCity » Ambulanta -> Arhiva Ambulante » Win32: Mutant-AG Trojan / Rootkit

Ko je trenutno na forumu
 

Ukupno su 1681 korisnika na forumu :: 79 registrovanih, 5 sakrivenih i 1597 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 6018 - dana 19 Dec 2025 13:41

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 357magnum, A.R.Chafee.Jr., Alexandar-1973, Andrija357, Antoni S, boromir, calvi, cifra, d.arsenal321, dankisha, darkojbn, Dexlex, Dimitrije Paunovic, Dioniss, Djota1, Dzoni70, Filip1, Georgius, gobrad, hellenic, In_hero, jalos, Jeremiah, Kajzer Soze, kaskadija, kihot, Leonov, Ljusa, lord sir giga, luka35, lukisa, madza, Makarid, markolopin, mercedesamg, Miki01, MIKI63, mikrimaus, milanovic, milenko crazy north, Millennium, Milos ZA, milutin134, Mrav Obrad, mxzzz, nebojsag, nenaddz, niksa517, nobutado, Nole, opt1, Orc, orfanel, Papadubi, Patent, PMsnow, Pururin, raketaš, redstar72, Rema000, Remarqe, sasovsky, Sass Drake, Sirius, sistem22, sony771, stegonosa, Stoilkovic, strela, SympathyForTheDevil, TheBeastOfMG, tomo2, Uros Cuore Sportivo, vaci, Vanderx, vathra, Volkhov-M, VX1, zivojin32