maanantaina, heinäkuuta 12, 2004

StartPage.FH

Lystiä on riittänyt koko päiväksi. Kesäkuun 20. päivästä lähtien maailman IE-selaimia häirinnyt ja minukin About:blank -sivuni Exploreristani kaapannut StartPage.FH -virus muunnelmineen on aika ilkeä otus. Eikä sitä tämmöinen ylisivari saa millään tapetuksi.

Henkistä lohtua usein tuonut AdAware ei auta. Myöskään SpyBot-ei auta, vaikka sillä sentään pystyy käyttäjältä näppärästi suljetut kotisivumääritykset muuttamaan helposti. Taito kyllä kehittyy myöhemminkin, sillä yhdellä kerralla ei tästä taivaanlahjasta pääse. Eivätkä auta muutkaan vastaavat ohjelmat (esim. cwshredder).

Ensimmäisellä kerralla Internet Explorerin avattua esimerkiksi SpyBotin avulla väännetty muutos kotisivuun pitää, mutta toisella kerralla ei sitten pidäkään. Palaamme jälleen minä ja selaimeni about:blank määrittelyn kautta sujuvasti sp.html -nimiseksi sivuksi, joka on italialaisperäisen Search for... hakemistosivu. Luulisi, että tämmöisen kauppamiehen (tai -naisen, tasa-arvo muistui hädästä huolimatta mieleen) joku pistäisi liriin. Lupaan katsoa sivuun sen ajan. Lisäksi viirus piirtelee kuvaruudulle loputtomiin mainoksia, jotka kertovat koneellasi olevan viiruksia ja tarjolla olisi sitten hyvä ohjelma näitä varten.

Sp-tiedosto(t) sijaitsevat ...Documents&Settings/Locals ~1/Temp/ -hakemistossa. Lisäksi virus valjastaa käyttöönsä BHO-tiedostoja (kertoo usein ettei kyseistä sivua ole olemassa). Viruksen eri versiot käyttävät nettitietojen mukaan erilaisia systeemejä: saastuneita .dll -tiedostoja ja .cab -tiedostoja on ainakin olemassa. Ne uusintavat viruksen näennäisen tapon jälkeenkin, mutta miten? Viruksen valekuolema ei riitä minun verenhimoiselle mielelleni.

Norton Antivirus tunnisti viruksen, kun se livahti koneelle visiteeratessani epäilyttävillä sivuilla - tai ainakin ne semmoisiksi osoittautuivat - muttei pystynyt tekemään sille mitään, minkä ohjelmisto ystävällisesti ilmoitti. Myöhemmin Norton ei tiennyt asiasta yhtään mitään. Pandan Active Scan, joka toimii on-line, pystyy ilmeisesti ainoana ohjelmana tällä hetkellä poistamaan tämän viruksen muunnelmia [eka kerralla uskomattomat 58 kappaletta..., toisesta skannauksesta lähtien 2 kerrallaan: Norton Antivirus ei valita mistään, mikä ei näin tilaajana lakkaa hämmästyttämästä].

Mutta Pandaskannauskaan ei pystynyt pitämään vihulaista poissa. Se piilotteli muistissa. Ja tilannetta heikensi se, että Pandan Scannin voi tehdä vain Internet Explorerilla. Mozilla sun muut ilmoittavat virheestä sivulla.

Saksalaisen troijalaisfirman FjhFix (tai jotain sinne päin) ei onnistunut tätä pirulaista tappamaan, vaikka lupasi ja saksalaiseen näissä asioissa yleensä luotan: Siitä pettymyksestä toivuttuani poistelin erilaisilla ohjelmilla kaikki mahdolliset ylimääräiset ohjelmat käynnistyksestä pois, toisilla ohjelmilla siivoilin väliaikaistiedostoja ja niiden piilotettuja muotoja. Ja vähällä oli etten ottanut kirvestä ja viskonut palasia ulkona aurinkoisena hetkenä piknikkaavien naapureitteni niskaan. Tupakkia ja kahvia kului enemmän kuin Asterixin piirtämisessä.

Nyt olen putsannut Pandalla vehkeet kolmeen kertaan, HijackThis osoittaisi kaiken olevan päällisin puolin kunnossa. Mutta silti IE:n avaaminen ei tunnut hyvältä vaihtoehdolta. [Lisäys: Hämmästyttävää kyllä homma näytti toimivan vielä tuntia myöhemmin, kun joku juttu avautui IE:n kautta eikä spyware-mainoksia tai hakemistokotisivua ilmaantunutkaan.]

Jos joku tästä keksii jotakin, niin kertokoon. Tuopin tarjoan, jos kaikki sujuu hyvin.

Logfile of HijackThis v1.97.7
Scan saved at 22:15:07, on 12.7.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\PROGRA~1\LSOFTT~1\ACTIVE~1\PopUpKill.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Ajari\Työpöytä\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.mikrobitti.fi
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fi
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.helsinki.fi/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://www-cache.helsinki.fi:8000
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.mikrobitti.fi
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.mikrobitti.fi
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ComStart] C:\Program Files\Norton AntiVirus\Navwnt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Active@ PopUp Killer] C:\PROGRA~1\LSOFTT~1\ACTIVE~1\PopUpKill.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Share in Hello (HKLM)
O9 - Extra 'Tools' menuitem: Share in H&ello (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: ZDelete Auto-Cleaner (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.mtv3.fi/
O15 - Trusted Zone: shopit.elisa.fi
O15 - Trusted Zone: www.helsinki.fi
O15 - Trusted Zone: www.uta.fi
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37677.4328819444
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

2 kommenttia:

Anonyymi kirjoitti...

Kai palomuuri on pystyssä - muuten muuttuu tuo homma kuuluisan antiikin sankarin kiven pyöritykseksi? Tuossa running process -listassakin näytti vielä olevan viruksia (lsass.exe)...

Jari Sedergren kirjoitti...

Ei sentään tässä hakemistossa :-)) (Virusneuvoja ei saa antaa nimettömänä... Eikä nimettömiä neuvoja noudattaa :-( ))

Uskaltaakohan tuota edellistä neuvoa jättää edes jäljelle, jos vaikka joku kotioloissa erehtyisi ryhtymään hävityspuuhiin. Sitähän viestissä ei kyllä ehdotettu, kyse oli ainoastaan matofarmiohjeista... Saman niminen mato kyllä saattaa tehdä sen saman tuhon ko. tiedostolle...

Mikäs tämä sitten on näin laillisena tiedostona:
"lsass.exe" is the Local Security Authentication Server. It verifies the validity of user logons to your PC/Server. It generates the process responsible for authenticating users for the Winlogon service. This process is performed by using authentication packages such as the default Msgina.dll. If authentication is successful, Lsass generates the user's access token, which is used to launch the initial shell. Other processes that the user initiates inherit this token. More info

Mutta voisi se periaatteessa olla virustiedostokin:

Note: The lsass.exe file is located in the c:\windows\System32 folder. In other cases, lsass.exe is a virus, spyware, trojan or worm!

Eri muunnoksia esiintyy:
W32.Nimos.Worm - Symantec Corporation
W32.Sasser.E.Worm (Lsasss.exe) - McAfee
W32.HLLW.Lovgate.C@mm - Symantec Corporation

The virus copies itself to the Windows directory as avserve.exe and creates a registry run key to load itself at startup

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe
As the worm scans random ip addresses it listens on successive TCP ports starting at 1068. It also acts as an FTP server on TCP port 5554, and creates a remote shell on TCP port 9996.

A file named win.log is created on the root of the C: drive. This file contains the IP address of the localhost.

Copies of the worm are created in the Windows System directory as #_up.exe.

Examples

c:\WINDOWS\system32\11583_up.exe
c:\WINDOWS\system32\16913_up.exe
c:\WINDOWS\system32\29739_up.exe
A side-effect of the worm is for LSASS.EXE to crash, by default such system will reboot after the crash occurs. Virus saattaa vilauttaa tiettyä banneriakin...