NGF
02-11-2006, 19:19
Μολις πριν απο λιγο εβγαλα ενα οπως φαινεται rootkit. Εχει την ονομασια cwvmynjxed.exe και παει και καθετε μεσα στο system32. Το καταλαβα απο τα alerts που πετουσε το comodo firewall. Οριστε και μερικα logs του comodo
Date/Time :2006-11-02 14:23:19
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: C:\WINDOWS\system32\svchost.exe
Parent: C:\WINDOWS\system32\services.exe
Protocol: UDP In
Destination: 192.168.1.33:upnp-mcast(1900)
Details: C:\WINDOWS\system32\cwvmynjxed.exe modified the memory of C:\WINDOWS\system32\svchost.exe in memory.
----------
Date/Time :2006-11-02 14:23:19
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (alg.exe)
Application: C:\WINDOWS\system32\alg.exe
Parent: C:\WINDOWS\system32\services.exe
Protocol: TCP In
Destination: 127.0.0.1:listen(1025)
Details: C:\WINDOWS\system32\cwvmynjxed.exe modified the memory of the Parent application C:\WINDOWS\system32\services.exe in memory.
----------------
Date/Time :2006-11-02 14:23:37
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (YahooMessenger.exe)
Application: C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
Parent: C:\WINDOWS\explorer.exe
Protocol: TCP Out
Destination: 127.0.0.1:6061
Details: C:\WINDOWS\system32\cwvmynjxed.exe modified the memory of C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe in memory.
-----------
Επισης πειραζει και το nod:
Date/Time :2006-11-02 15:13:14
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (nod32krn.exe)
Application: C:\Program Files\ESET\nod32krn.exe
Parent: C:\WINDOWS\system32\services.exe
Protocol: TCP Out
Destination: 205.234.232.6:http(80)
Details: C:\WINDOWS\system32\cwvmynjxed.exe modified the memory of C:\Program Files\ESET\nod32krn.exe in memory.
---------------
Στην αρχη αν και μου φανηκε παραξενο το αφησα να συνδεεται (εδω και 2-3 μερες). Αλλα σημερα που εψαξα στο system32 οπως ελεγε το comodo δεν βρηκα τιποτα. Ειχα ενεργοποιημενες επιλογες για κρυφα αρχεια και φακελους και αρχεια συστηματος ωστε να φαινονται ολα. Δοκιμασα αναζητηση στο system32 οπως και scan με το nod και δεν βρηκε τιποτα. Επισης δεν υπηρχε τιποτα στις διεργασιες. Κατεβασα αυτο το εργαλειο και το ελυσα το προβλημα (ετσι φαινεται τουλαχιστον):
http://www.f-secure.com/blacklight/
Οποτε εχετε το νου σας για τιποτα παραξενο σας αυτο. Αν πεσετε σε τιποτα τετοιο μην ξεχασετε να αλλαξετε κωδικους που χρησιμοποιησατε απο τοτε που ειδατε αυτα τα περιεργα
Date/Time :2006-11-02 14:23:19
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: C:\WINDOWS\system32\svchost.exe
Parent: C:\WINDOWS\system32\services.exe
Protocol: UDP In
Destination: 192.168.1.33:upnp-mcast(1900)
Details: C:\WINDOWS\system32\cwvmynjxed.exe modified the memory of C:\WINDOWS\system32\svchost.exe in memory.
----------
Date/Time :2006-11-02 14:23:19
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (alg.exe)
Application: C:\WINDOWS\system32\alg.exe
Parent: C:\WINDOWS\system32\services.exe
Protocol: TCP In
Destination: 127.0.0.1:listen(1025)
Details: C:\WINDOWS\system32\cwvmynjxed.exe modified the memory of the Parent application C:\WINDOWS\system32\services.exe in memory.
----------------
Date/Time :2006-11-02 14:23:37
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (YahooMessenger.exe)
Application: C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
Parent: C:\WINDOWS\explorer.exe
Protocol: TCP Out
Destination: 127.0.0.1:6061
Details: C:\WINDOWS\system32\cwvmynjxed.exe modified the memory of C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe in memory.
-----------
Επισης πειραζει και το nod:
Date/Time :2006-11-02 15:13:14
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (nod32krn.exe)
Application: C:\Program Files\ESET\nod32krn.exe
Parent: C:\WINDOWS\system32\services.exe
Protocol: TCP Out
Destination: 205.234.232.6:http(80)
Details: C:\WINDOWS\system32\cwvmynjxed.exe modified the memory of C:\Program Files\ESET\nod32krn.exe in memory.
---------------
Στην αρχη αν και μου φανηκε παραξενο το αφησα να συνδεεται (εδω και 2-3 μερες). Αλλα σημερα που εψαξα στο system32 οπως ελεγε το comodo δεν βρηκα τιποτα. Ειχα ενεργοποιημενες επιλογες για κρυφα αρχεια και φακελους και αρχεια συστηματος ωστε να φαινονται ολα. Δοκιμασα αναζητηση στο system32 οπως και scan με το nod και δεν βρηκε τιποτα. Επισης δεν υπηρχε τιποτα στις διεργασιες. Κατεβασα αυτο το εργαλειο και το ελυσα το προβλημα (ετσι φαινεται τουλαχιστον):
http://www.f-secure.com/blacklight/
Οποτε εχετε το νου σας για τιποτα παραξενο σας αυτο. Αν πεσετε σε τιποτα τετοιο μην ξεχασετε να αλλαξετε κωδικους που χρησιμοποιησατε απο τοτε που ειδατε αυτα τα περιεργα