W32.Stration.@mm robak wysyłający maile

12.10.06, 21:46
Objawy: NAV zgłasza, że wykrył robala (worm) W32.Stration.@mm, zbiory
C:\Windows\system32\winbpowr.exe i snmpmmcn.dll zostały przeniesione do
kwarantanny Bravo NAV ! Ale to nie koniec.
Po kilku minutach od wykrycia komputer po prostu szaleje. Norton e-mail proxy
zgłasza mi mniej więcej co 2-3 sekundy, że nie może wysłać co raz to innego
maila z różnych powodów. No ale NAV usunął te zbiory więc po zresetowaniu
powinno przejśc. Gdzie tam ! Znowu to samo !
Wyskakujące denerwujące wiadmości można usunąć wyłączając opcję Internet E-
mail Auto-Protect w konfiguracji NAV. Nie usuwa to oczywiście przyczyny
problemu. Maile dalej są wysyłane. Szukam więc w internecie hasła
W32.Stration.@mm - znajduję dużo ale między innymi tu:
www.protectorplus.com/virus_info/worms/strationp.htm
inofrmację, że to, to instaluję się w
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sprawdzam więc czy wszystkie programy tam są mi znane. Nie !
Jeden wygląda podejrzanie :
egdiag | C:\WINDOWS\system32\yapconf.exe
Szukam dalej w internecie hasła "egdiag". Znajduję jakąś malutką wzmiankę
zawierającą jednak
ciekawy zestaw:
Files to delete:
%windir%\system32\confega.dll
%windir%\system32\dmimmdt2.exe
%windir%\system32\dssconf.exe
%windir%\system32\e1.dll
%windir%\system32\egamgr32.dll
%windir%\system32\egastat.dll
%windir%\system32\evenncob.dll
%windir%\system32\lprmneth.dll
%windir%\system32\lprmneth.exe
%windir%\system32\msisnwcf.dll
%windir%\system32\snmpmmcn.dll
%windir%\system32\sysshtic.dll
%windir%\system32\sysshtic.exe
%windir%\system32\winbpowr.exe

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dssmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lprmneth
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysshtic

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | egdiag

U mnie w komputerze znajduję "wersję" sysshtic.dll / sysshtic.exe
Widocznie "sprowadza" ona w czasie startu komputera znajdowane przez NAV
winbpowr.exe i snmpmmcn.dll odpowiedzialne za wysyłanie tych cholernych
maili. Robi to ciągle na nowo ! Usuwam te zbiory, recordy w registrach i
restartuje kompa. Pomaga.

Dla pewności przeglądam w Administrative Tools / Services w poszukiwaniu
podejrzanych procesów. Wszystko OK - wszystkie procesy znane i lubiane :-)
Zaznaczam więc spowrotem w NAV Internet E-mail Auto-Protect.

Na koniec jeszcze jedna uwaga. Pakuję te zarażone zbiory w zipa i wysyłam
przez yahoo. Odbieram pocztę i widzę tam standatową informację, że
"attached files were scanned by Norton Antivirus.
No virus threat detected" :-)

Miłego dnia !
Pełna wersja