Win32/Patched.IB

safety · 25.04.2013, 11:35

Совсем недавно на форумах столкнулись с массовой проблемой блокирования доступа в социальные сети. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Проверка hosts, настроек DNS сетевых подключений, поиск в системе известных троянов к решению проблемы не привели. Тем не менее, хелперы... обратили внимание на одну закономерность. Во всех проблемных темах в образе автозапуска uVS известный системный файл rpcss.dll не прошел проверку по цифровой подписи.
Кроме того, добавленный в uVS критерий (ССЫЛКА ~ \PARAMETERS\SERVICEDLL) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ) выделяет системные сервисные dll, не прошедшие проверку цифровой подписи в список подозрительных.

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\RPCSS.DLL
Имя файла RPCSS.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]

www.virustotal.com 2013-04-05 [2013-04-01 15:49:41 UTC ( 1 week, 3 days ago )]
Kaspersky Trojan.Win32.Patched.pj
BitDefender Gen:Variant.Kazy.160775
ESET-NOD32 Win32/Patched.IB

Удовлетворяет критериям
FALSESERVICEDLL (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
Размер 377344 байт
Создан 21.11.2010 в 05:29:12
Изменен 21.11.2010 в 05:29:12
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
<b>Цифр. подпись Отсутствует либо ее не удалось проверить</b>

Оригинальное имя rpcss.dll
Версия файла 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание Distributed COM Services
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 5E79F045B06CB61B67DE3D839C2F5373998B31F7
MD5 170AEA2C0B1C89C6D3C2552965A5129E

Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\DcomLaunch\ Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\rpcss.dll

Ссылка HKLM\System\CurrentControlSet\Services\RpcSs\Param eters\ServiceDLL
ServiceDLL %SystemRoot%\system32\rpcss.dll

Рост количества проблемных тем привел к рождению качественной мысли о том, что возможно файл rpcss.dll модифицирован и является источником данной проблемы. Vvvyg: "Погодите, может ещё RPCSS.DLL - плод моей паранойи . Но я порядка десятка логов отсмотрел с подобной проблемой - симтом общий." Была подготовлена библиотека чистых файлов для систем Windows XP, Vista, Windows7, Windows 8 различной разрядности.
Пользователям было предложено заменить модифицированные rpcss.dll на соответствующие чистые версии файлов, используя загрузочные диски.

И сразу же появились сообщения о положительном решении проблемы.

Далее предложены три варианта решения:

1. замена модифицированных файлов на чистые используя Live.CD

Win8x86 /6.2.9200.16384/
Win7x64SP1 /6.1.7601.17514/
Win7x64 /6.1.7600.20870/
Win7x86SP1 /6.1.7601.17514/
Vistax86SP2 /6.0.6002.18005/
Win XPx86SP3 /5.1.2600.5755/
Win XPx86SP3 /5.1.2600.5512/

2. установка патча системы от Microsoft, который приводит к обновлению системного файла rpcss.dll
например:
На компьютере под управлением Windows Server 2003 с пакетом обновления (SP2), Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2, процесс Svchost.exe, на котором размещены службы вызова удаленной процедуры аварийно завершает работу.

Данный патч позволяет в том числе обновить rpcss.dll до следующих версий:

Для всех поддерживаемых 32 разрядных выпусков Windows 7

Имя файла Версия файла Размер файла Дата Время Платформа
RPCSS.dll 6.1.7600.20870 376,320 01-Янв-2011 06: 43 x 86
RPCSS.dll 6.1.7601.21631 376 832 01-Янв-2011 06: 47 x 86

Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2

Имя файла Версия файла Размер файла Дата Время Платформа
RPCSS.dll 6.1.7600.20870 509,952 01-Янв-2011 07: 30 x 64
RPCSS.dll 6.1.7601.21631 512,000 01-Янв-2011 07: 39 x 64

3. Так же хелперами был создан скрипт uVS с использованием замены модифицированного файла на чистый из подготовленной библиотеки.

Код:

;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
 
OFFSGNSAVE
zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" 
czoo
restart

здесь, соответствующий чистый файл rpcss.dll из библиотеки необходимо предварительно поместить в каталог c Universal Viris Sniffer / uVS /

Таким образом замечаем, что это уже не первая проблема которая была решена благодаря функционалу uVS (например, ведение списков чистых проверенных системных файлов) и его способности создать расширенный образ автозапуска системы, который позволяет хелперу выполнить анализ системы за кратчайшее время.

Функционал uVS позволил оперативно собрать в карантин модифицированные файлы для отправки в вирлабы компаний ESET, DrWeb, Kaspersky.
Спустя несколько дней появился первый детект: вначале у ESET / Win32/Patched.IB /, затем у ЛК / Trojan.Win32.Patched.pj/, затем у DrWeb / Trojan.Starter.2229 /

Однако, корректного лечения модифицированного rpcss.dll антивирусными утилитами из активной системы на сегодня нет. Поэтому мы рекомендуем использовать для решения данной проблемы перечисленные выше варианты.

(c), chklst.ru

25.04.2013, 11:35
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Ранее на нашем форуме участники создавали аналогичные топики Не является приложением Win32 вирус Win32/Scano WIN32 servis

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070