Архив за 23.07.2009

Самопроизвольная остановка служб

Давненько я не гонял вирусов. Вот, довелось исследовать интересный случай. Вводная: 8 компьютеров с Windows XP SP3 в одноранговой сети, на всех установлен NOD32. В один прекрасный момент на всех компьютерах самопроизвольно перестали запускаться (или стали останавливаться?) службы Сервер, Рабочая станция, Брандмауэр Windows.

Начал копаться. Тип запуска у всех, естественно, Авто. Вручную все службы прекрасно запускаются, то есть причина не в поврежденных файлах. Прогнал на одном компьютере проверенный OSAM — чисто. Второй — чисто. А службы продолжают останавливаться. Что за невидимка?

А вот третий компьютер во время проверки повёл себя подозрительно — браузер периодически отказывался открывать страницы, пропадал доступ к удаленному рабочему столу. В конце концов нашелся подозрительный процесс и соответствующий файл C:\WINDOWS\usb_mgr.exe. NOD32 на него не реагировал, но на специализированных форумах файл однозначно классифицировался как вредный. Вылечить удалось на удивление легко, это не руткит: останавливал процесс, удалял этот файл и C:\WINDOWS\SYSTEM32\Ms07.exe, чистил автозагрузку в реестре.

Он-лайн проверка на сайте Касперского подтвердила, что файлы вредные, причем в базу включены только вчера (а заражение было почти три недели назад!). NOD32 действительно его не ловит. Вот отчет с virustotal.com: usb_mgr.exe, Ms07.exe.

А теперь секрет фокуса: почему вирус не был найден на первом же компьютере? Во-первых, где-то я прочитал, что этот вирус использует уязвимость в службе сервера MS08-067, что и приводит к остановке службы при сетевой атаке чистого компьютера. А во-вторых, на всех компьютерах было отключено автоматическое обновление, поэтому соответствующие исправления, которые вышли уже давно, не были установлены.»

23.07.2009  Метки: ,   Рубрики: Программы  Один комментарий