Worm:Win32/Renocide.GenC, как эта пакость пролазит? |
Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6722-й день
![]() |
Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua |
Worm:Win32/Renocide.GenC, как эта пакость пролазит? |
Stroh |
Пост
#1
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 56 С нами с: 14-December 08 ![]() |
Повадилось на расшаренном диске время от времени появляться тройка файлов - exe-шник с псевдослучайным именем, авторан и флаг нулевой длины с трехбуквенным именем. Все - как водится скрытые, системные... Дефендер говорит, что это сабж - Worm:Win32/Renocide.GenC.
Так как к диску обращается несколько тазиков - проверил все, все чистые, не заражены. Проверял как антивирусами, так и по признакам заражения, опубликованным у мелкомягких. Все машинки - чистые. Сделал несколько шар, к каждой из которых подключил только по одному тазику, вычислил тот, который раскладывает. Проверил его еще раз - ничего. Поднял из бекапа, сделанного за полгода до первого случая - ничего не изменилось: в нерегулярные промежутки времени на той же шаре появляются те же три файла, только имя exe-шника меняется. Может появляться два раза в день, бывают перерывы и до месяца. Тазик постоянно смотрит в нет хромом и оперой, сидит за двумя натами - роутера и вмваревским. Кто-нибудь встречался с таким? Откуда оно ползет? |
![]() ![]() |
Koka-ftp |
Пост
#2
|
Репутация: ![]() ![]() Старожил ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 3 276 С нами с: 10-April 08 ![]() |
|
Stroh |
Пост
#3
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 56 С нами с: 14-December 08 ![]() |
В процессах - ничего не видно, никаких лишних файлов по сравнению с версией тазика за полгода до начала этого цирка не появилось...
Просто что удивляет - набор софта на тазике тот же, что и на других машинках, точно так же смотрящих в нет, но гадит только эта. Причем - крайне нерегулярно. Под "акулой" имеется в виду Wireshark? Просто никогда им пользоваться не приходилось. Он может висеть неделями и срабатывать по попытке записи на сетевой диск? |
Koka-ftp |
Пост
#4
|
Репутация: ![]() ![]() Старожил ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 3 276 С нами с: 10-April 08 ![]() |
|
Мирянин |
Пост
#5
|
Репутация: ![]() ![]() Старожил ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 168 С нами с: 13-August 07 ![]() |
флешками пользуетесь?
|
Stroh |
Пост
#6
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 56 С нами с: 14-December 08 ![]() |
В планировщике не то чтобы "лишнего" - вообще ничего нет. Это первым делом проверено.
Флешками на этой машинке не пользуюсь, да и авторан все равно запрещен с любых носителей. А WireShark вообще живой? А то сайт вроде работает, но download мертвый - ни один файл не отдается. |
-13- |
Пост
#7
|
Благодарности: 5715 Репутация: ![]() ![]() Ветеран ![]() ![]() ![]() ![]() ![]() Группа: Модеры Сообщений: 6 284 С нами с: 17-October 06 ![]() |
https://www.wireshark.org/#download
все 5 ссылок рабочие |
Stroh |
Пост
#8
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 56 С нами с: 14-December 08 ![]() |
Спасибо. Поднялся, значит. Качает. А три часа назад - Connection Refused и все... Буду изучать. |
Stroh |
Пост
#9
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 56 С нами с: 14-December 08 ![]() |
Так и не понял, как можно мониторить отдельные редко встречающиеся события.
Беда в том, что машинка эта постоянно что-то качает из сети, складывая в другую папку. А как повесить wireshark на мониторинг записи в конкретный диск - так и не понял. Пару часов назад опять отложило обычный набор - exe-шник со странным именем, autorun и флаг. |
![]() ![]() |
![]() |
Упрощённая версия | Сейчас: 9th August 2024 - 21:26 |
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст. |