Win32:Sirefef-RZ [Drp]
Napsal: 31 bře 2012 16:20
Zdravím,
již několik let pracuji jako programátor a jsem si tedy vědom všemožných hrozeb, které se na internetu vyskytují (přesto antivir nepoužívám).
Dnes jsem si potřeboval stáhnout teamspeak, takže normálka .. google "ts 3" -> teamspeak.com -> download ... stáhla se mi binárka 3.0.5_gamed_win64.exe (503 kB - podezřele málo, myslel jsems i ale, že je to takový ten hnus, jako má adobe při instalaci flashplayeru). Ukázalo se, že nikoliv. U oficiálního mirroru teamspeaku jsem to skutečně nečekal. Soubor pochází ze stránek http://www.leasecompare.com (normálně jsem klik na stránkách teamspeaku na link, rovnou mi to hodilo binárku). (virustotal analýza - https://www.virustotal.com/file/52eba76 ... 333205905/ )
Za chvíli koukám, že mám vytížení 4jader na 90%, přitom nic nedělám. Vydím asi 15 iexplore.exe procesů (IEčka), tak je zabiju pár dalších divných (když jsem je zabil a koukal na file location, tak už tam soubor nebyl - moje chyba). Teď se čas od času nahodí ping.exe (legitimní windowsácký ping.exe). Proces jsem si dumpnul do souboru a prozkoumal. Ukázalo se, že "někdo" pustil ping.exe -t http://tang0-hotel1.com:8344.
Má někdo zkušenosti s kompletním odstraněním takového šmejda? Obvykle když se stane podobný incident (nebo prostě preventivně jednou za půl roku) mažu disk a reinstaluji windows "od podlahy", ale teď mě dost tlačí čas a nemohu si dovolit ztratit celý den instalovací windowsů a tun softwaru, se kterým pracuji atp. Zatím jsem se jen odpojil od sítě a pracuji dál.
Děkuji za tipy (pokud to nebude "omfg omfg ty nemas antivir omfg")!
S pozdravem,
MailINator
již několik let pracuji jako programátor a jsem si tedy vědom všemožných hrozeb, které se na internetu vyskytují (přesto antivir nepoužívám).
Dnes jsem si potřeboval stáhnout teamspeak, takže normálka .. google "ts 3" -> teamspeak.com -> download ... stáhla se mi binárka 3.0.5_gamed_win64.exe (503 kB - podezřele málo, myslel jsems i ale, že je to takový ten hnus, jako má adobe při instalaci flashplayeru). Ukázalo se, že nikoliv. U oficiálního mirroru teamspeaku jsem to skutečně nečekal. Soubor pochází ze stránek http://www.leasecompare.com (normálně jsem klik na stránkách teamspeaku na link, rovnou mi to hodilo binárku). (virustotal analýza - https://www.virustotal.com/file/52eba76 ... 333205905/ )
Za chvíli koukám, že mám vytížení 4jader na 90%, přitom nic nedělám. Vydím asi 15 iexplore.exe procesů (IEčka), tak je zabiju pár dalších divných (když jsem je zabil a koukal na file location, tak už tam soubor nebyl - moje chyba). Teď se čas od času nahodí ping.exe (legitimní windowsácký ping.exe). Proces jsem si dumpnul do souboru a prozkoumal. Ukázalo se, že "někdo" pustil ping.exe -t http://tang0-hotel1.com:8344.
Má někdo zkušenosti s kompletním odstraněním takového šmejda? Obvykle když se stane podobný incident (nebo prostě preventivně jednou za půl roku) mažu disk a reinstaluji windows "od podlahy", ale teď mě dost tlačí čas a nemohu si dovolit ztratit celý den instalovací windowsů a tun softwaru, se kterým pracuji atp. Zatím jsem se jen odpojil od sítě a pracuji dál.
Děkuji za tipy (pokud to nebude "omfg omfg ty nemas antivir omfg")!
S pozdravem,
MailINator
V době psaní příspěvku jsem akorát doinstaloval avasta a pustil scan během bootu windowsů (už na mě vyskočilo snad 6 objektů infikovaných sirefefem) .. a jak tak pročítám, co ta mrcha, co jsem chytil, všechno provádí, tak asi přeci jen bude (i pro mé lepší spaní 
) lepší, když to celé reinstalnu (on už se ten preventivní půlrok stejně blížil). Podstatná data pro práci mám readonly jinde, tak to už nějak zmáknu.