VIRY.CZ

Dobrý den.
Včera jsme řešili identické zavirování počítačů u dvou zákazníků (zcela nepropojených, v různých sítích,..), symptomy: svchost.exe bere 100% CPU, rezidentní antivir periodicky upozorňuje na Ceneric12.AEIU,... příčinou byl winesm32.exe.
Antiviry to nechytaly (Avast, AVG, ani NOD), takže to stálo hodně práce i nervů, ale nakonec jsme to zvládli s podstatnou podporou tohoto fóra, za což rádcům velmi děkuji.

Dotaz: ačkoliv jsem se dost snažil, nikde jsem nevygooglil způsob šíření tohoto viru. Uživatelé těchto počítačů jsou zodpovědní a poučení, rozhodně neklikají bezhlavě na každé "stáhni" nebo "instaluj" ve spamu nebo na webu, nebrouzdají v podezřelých wwwodách. Alespoň doufám, že to tak je, protože za přiznání není trest, ale pochvala. Svoje wokna i antiviry mají normálně aktualizované. Od asi 24.2., kdy se ta havěť patrně objevila, nebylo na těch počítačích nic instalováno. Jediná společná www, kterou v těch pár dnech navštívili jeden i druhý, byly zprávy na Seznamu a "KB-mojebanka".

Někde máme bezpečnostní díru a nevíme kde. Nemáte k tomu někdo víc informací?
Díky
P.Ch.

Nene, šíření e-mailem se v našem případě dá téměř s jistotou vyloučit. V původní příspěvku jsem to sice vylučoval pouze na základě důvěry k informacím od uživatele, ale později jsem si dal tu práci a zkontroloval nejen obsah e-mailů v mail klientovi, ale i souhlas se žurnálem mailserveru, který je v tomto případě naštěstí náš a máme k němu přístup.
Ještě probírám cache web browseru, ale to ještě nemám hotové a nakonec to tam ani nemusí být, i kdyby to touhle cestou přišlo. Když něco najdu, napíšu to sem.
P.Ch.

Moc toho nemám.
Infekce byla 1.3., samozřejmě jsem poštval Avast taky na cache browseru a nenašel nic.
Ale: 5.3. Avast při scanu souborů v cache našel trojana - viz úsek žurnálu:
5.3.2010 14:55:23 SYSTEM 1792 Virus "JS:Illredir-Z [Trj]" byl nalezen v souboru
"C:\Documents and Settings\...\Temporary Internet Files\Content.IE5\PCPG4A1M\flashDetector[1].js".
5.3.2010 14:59:22 SYSTEM 1792 Virus "JS:Illredir-Z [Trj]" byl nalezen v souboru
"C:\Documents and Settings\...\Temporary Internet Files\Content.IE5\XBU43G9R\AC_RunActiveContent[1].js".
Ale bohužel, požadovaná akce byla "do trezoru", jenže v trezoru nic nebylo. Nevím, zda Avast není tak chytrý že ví že z cache může beztrestně cokoliv mazat, nebo co se stalo. Kdyby to bylo jednou, mohl to být můj překlep na akce=smazat, ale dvakrát po sobě to není pravděpodobné.
Taky není jasné, kdy se to tam dostalo. Avast update history http://www.avast.com/virus-update-history-2010 říká, že ho chytá až od 5.3.2010, tudíž tam mohl být už dřív a mohla to být prvotní příčina infekce. Tomu nasvědčuje i to, že nezařvala rezidentní ochrana, ale našlo se to až při skenování cache.
Na tom druhém stroji bylo a je skenování cache negativní.
Škoda že nemám víc informací, ale tohle je asi tak maximum, co z toho umím dostat.
Pavel Chyský