scrgrd.exe: Νέος άγνωστος ιός

[cybersledge]

Κατ'αρχας το κάνω post σε ξεχωριστό thread επειδή είναι επείγον και άγνωστο

προς το κοινό, παρακαλούνται οι mods να το επισημάνουν.

Συγνώμη για τα greeklish αλλα δεν εχω χρόνο να το γράψω κανονικά γιατί αύριο δίνω εξετάσεις. Θα το μετατρέψω με edit μου κάποια άλλη στιγμή.

 

Επισης το ξέρω πολύ καλά ότι κατα καιρούς βγαίνουν μούφες email για μαπα virii του τύπου "διαγράψτε τον ιο που λεγεται KERNEL32.DLL" αλλά αυτό δεν έχει καμία σχέση, σας διαβεβαιώ προσωπικά μιας και το βρήκα εγώ ο ίδιος.

Το παρακάτω είναι μεταφορά από το προσωπικό μου forum (warwickoverground.tk):

Loipon. Tis proalles brhka enan io sto systhma mou

pou einai agnwstos ston kosmo (to google shkwse ta

xeria psila). Ton anelysa ligo monos mou kai einai

poly sobaro ******, periexei aposteyta pragmata..

mazeyei passowrd, serial number apo paixnidia pou exete

egkatesthmena, anoigei backdoor sto systhma sas kai

epitrepei opoio malaka to egrapse na kanei oti 8elei,

sniffarei network traffic, psaxnei gia ena SQL vulnerability,

exei IRC extension apo to opoio pi8anotata pairnei

entoles otan xreiazetai, klp.

Tespa, einai apisteyto pragma, emeina me to stoma

anoixto. den 3erw pws legetai, alla to filename einai

SCRGRD.EXE

kai ama trexei sta processes sas [ctrl+alt+delete->processes]:

1] Kante epilogh tou process me image name SCRGRD.EXE

2] End process->yes

3] Start->Run->regedit.exe

4] epile3te to "My Computer" panw panw sth lista pou einai sto aristero

meros tou para8yrou

5] edit->find: "scrgrd.exe" [xwris ta "]

6] 8a anoi3ei ena para8yro "Searching the registry" pou 8a kanei ligh wra..

7] otan brei kati, ama leei "Microsoft Restore" kai apo dipla "scrgrd.exe"

pathste delete gia na to sbhsete.

8] pathste to plhktro F3 gia na synexisei na psaxnei, kante delete ola ta values pou 8a brei, mexri to F3 na bgazei "Finished searching through the registry"

 

Ayto..

Gia tou logou to alh8es, pio katw einai to report pou esteila stis megales etairies antivirus [norton-mcafee-fsecure]

 

Hello.

Recently I noticed that I had a process running

with which I was not familiar. scrgrd.exe

I searched my registry to find it's key and

It was listed as "Microsoft Restore".

I installed a firewall and it caught scrgrd.exe

trying to access the internet and that was

when I knew that something was wrong. The file was

under c:\windows\system32 and it had more than 1

registry initialization keys:

[software\Microsoft\Windows\CurrentVersion\Run]

[software\Microsoft\Windows\CurrentVersion\RunServices]

[...]

 

The file was upx packed. It was also hidden, system

and read-only. I upx-unpacked it, and viewed it with

a hex editor. It contained strings which indicate password-collecting functions and file-transfer functions. It also contained SQL functions like SQLDisconnect, SQLExecDirect, odbc32.dll etc.

 

Other functions it contains are DeleteService , StartServiceA, etc. e.g. Windows Services manipulation.

 

The program also seems to create msdos batch files for scanning IP's.

"@echo off

:repeat

del "%%1"

if exist "%%1" go to repeat

del "%s" %sdel.bat

"

 

One of the string is "\\192.168.1.210\IPC$"

 

It is written in Microsoft Visual C++.

 

References to "ARP cache", "DNSFlush", "PSNIFF" might indicate

ARP-poisoning and/or sniffing abilities.

 

A really alarming feature is some IRC commands along with the string "paypal.com". It is certain that

this [worm? trojan?] works as an IRC bot.

 

It also has screen-capturing and key logging abilities:

"[CAPTURE]:Screen capture saved to: %s"

"[KEYLOG]:Keylogger active"

 

"rlogin","rloginstop" and other references to rlogin

indicate that an rlogin server might be an option too.

 

It also contained critical registry values

like "Software\Activision\Soldier of fortune II" and

many other game registry values where the games store

their serial numbers. Obviously the program collects

them and sends them to it's creator.. [Over IRC?]

 

Finally some suspicious strings contained are

{beagle1

beagle2

mydoom

MyDoom

lsass

netdevil

sub7}

etc..

 

Another interesting part is:

"Connected to %s

3.72.0.0 131.131.131.131 netninjaz_place 12/12/04 13:13:13 netmaniac was here neTmaNiac""

Could this be a time trigger?

 

Other wierd strings include "MEOW" all over the place

and \\ \C$\123456111111111111111.doc"

 

The program also has the ability to set up and delete network shares.

There is also a small dictionary of something,

most likely names.

 

To sum it up - I think this is REALLY big.

It contains most of the tricks in the book

and nobody has nothing on it yet.

[i googled it for "scrgrd.exe" and nothing was found]

This requires urgent attention IMHO, unless it is already known.

 

Thank you for your attention,

Anastasios Bitsios

 

Για του λόγου το αληθές το ανεβάσα στον προσωπικό μου forum για όποιον θέλει να το μελετήσει. Για ευνόητους λόγους δεν το ανεβάζω εδώ. Το link gia to forum μου όπου υπάρχει ειναι αυτό.

ΠΡΕΠΕΙ ΝΑ ΥΠΟΓΡΑΜΜΙΣΤΕΙ ΠΟΛΛΕΣ ΦΟΡΕΣ ΟΤΙ ΔΕΝ ΤΟ ΚΑΝΩ ΓΙΑ ΛΟΓΟΥΣ ΔΙΑΦΗΜΙΣΗΣ, ΑΛΛΑ ΕΠΕΙΔΗ ΔΕΝ ΝΟΜΙΖΩ ΟΤΙ ΕΙΝΑΙ ΚΑΛΗ ΙΔΕΑ ΝΑ ΑΝΕΒΑΣΩ ΕΝΑΝ ΙΟ ΣΤΟ MYPHONE.GR ΓΙΑ ΤΗΝ ΠΕΡΙΠΤΩΣΗ ΠΟΥ ΚΑΠΟΙΟΣ ΘΕΛΕΙ ΝΑ ΤΟΝ ΜΕΛΕΤΗΣΕΙ. ΓΙΑ ΑΥΤΟ ΤΟΝ ΛΟΓΟ ΤΟ ΑΝΕΒΑΣΑ ΣΤΟ ΔΙΚΟ ΜΟΥ ΧΩΡΟ ΚΑΙ ΜΟΝΟ.

Αν οι moderators/admins συμφωνήσουν να το ανεβάσω εδώ τότε πολύ ευχαρίστως.

 

Update: Η fsecure απάντησε πως ανήκει στην κατηγορία http://www.f-secure.com/v-descs/sdbot_mb.shtml]SdBot, και οτι το αναγνώρισε generically. Το συγκεκριμμένο variant όμως είναι unknown.

[sigmacom]

Ο Nortonας με αρχεία Virus Definitions από 19/05/2004, μου πέταξε ότι πρόκειται για τον Bloodhound.Packed virus, και επίσης ανίχνευσε τον W32.Spybot.Worm.

 

(καιρός να κάνω ένα update τα virus definitions μου, ε?)

[cybersledge]

ta definitions mou einai 25/05/2004 kai den mou ton brhke! :eek: :eek: :confused: :confused: pws ginetai ayto?

[ng78]

Αρχικό Μήνυμα από το μέλος cybersledge ( 4 Ιούν. 2004 , 20:13)

 

ta definitions mou einai 25/05/2004 kai den mou ton brhke! :eek: :eek: :confused: :confused: pws ginetai ayto?

 

 

25/5/2004 είναι πολύ παλιά definitions για τα σημερινά δεδομένα των ιών. Έχουν ήδη περάσει 10 μέρες από το τελευταίο update που έκανες.

[cybersledge]

Αρχικό Μήνυμα από το μέλος ng78 ( 4 Ιούν. 2004 , 20:25)

 

25/5/2004 είναι πολύ παλιά definitions για τα σημερινά δεδομένα των ιών. Έχουν ήδη περάσει 10 μέρες από το τελευταίο update που έκανες.

 

sigoura alla o filos sigmacom to epiase me definitions 19/05/2004....

*puzzled*

[Φίλιππος]

Symantec antivirus products exclusively use the virus name Bloodhound.Packed when a potentially unknown virus is found using Symantec Bloodhound technology. Bloodhound technology consists of heuristic algorithms used to detect unknown viruses.

 

Δες αν έχεις απενεργοποιημένα τα heuristics, ή αν δεν τα έχεις σε highest level όπως πιθανόν να το έχει ο sigmacom.

Cybersledge έχεις επομένως δίκαιο, δεν είναι αναγνωρισμένος ιος και καλά έκανες και τον ανέφερες!

[AGNOSTOS]

To f-secure με definitions εδω κ 2 εβδομαδες το βρηκε ως Backdoor.Rbot.gen.....................με το που εγινε unzip

[sigmacom]

Όντως, έχω "σηκωμένα" τα Bloodhood settings στον Nortonα, όπως είπε ο Φίλιππος. Γι' αυτό και το "τσάκωσε" ακόμα και με παλαιότερα από τα δικά σου virus definitions φιλε cybersledge. ;)

[AGNOSTOS]

Παντα να εχετε τα bloodhood settings στο μαξ!!! Λιγες φορες μπορει να χτυπησει λανθασμενα κ σιγουρα εχετε πολυ μεγαλυτερες πιθανοτητες να προστατευτειτε ακομη κ απο αγνωστους ιους!!!!

[kostassl45i]

Επίσης καλό είναι να κάνουμε update definitions τουλάχιστον 1 με 2 φορές τη βδομάδα ;)

[lazaross]

τον KERNEL32.DLL τον εχω εδω και κατι μηνες στο pc!!!! και δεν σβηνει. τι να κανω και τι μου εχει κανει?

[TrobocopR]

:!: Πριν λίγο ο Νόρτονας εντόπισε και μπλόκαρε τον ιό W32.Spybot.Worm :!:

 

Κανένα απολύτως πρόβλημα, έβγαλε το γωνστό κόκινο ποπ-απ και αυτό ήταν.

 

Virus Alert

 

Object name: C:\urmomz1231goat.exe

 

Virus name: W32.Spybot.Worm

 

Action taken: The file was automatically deleted.

 

Peace on my hard drive... :happy:

[sigmacom]

Αρχικό Μήνυμα από το μέλος lazaross ( 5 Ιούν. 2004 , 22:23)

 

τον KERNEL32.DLL τον εχω εδω και κατι μηνες στο pc!!!! και δεν σβηνει. τι να κανω και τι μου εχει κανει?

 

 

Τον έχεις από τότε που έστησες τα Windows, σου κάνει τα πάντα, κι εσύ να τον αφήσεις ήσυχο!!! :lol:

ΕΙΝΑΙ ΤΟ ΚΥΡΙΟΤΕΡΟ ΑΡΧΕΙΟ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ ΤΩΝ NT/2k/XP ΑΥΤΟ!!!

 

Αν το βρήκες στο system32 ή στο system32/dllcache και είναι με μέγεθος >430 κBytes, είναι το αρχείο συστήματος των Windows σου. Κάνε δεξί κλικ properties πάνω του και δες.

[lazaross]

και ο cybersledge γιατι λεει αυτο :

 

 

 

διαγράψτε τον ιο που λεγεται KERNEL32.DLL"

 

 

??

[csk4023]

O cybersledge λέει...

Αρχικό Μήνυμα από το μέλος cybersledge ( 4 Ιούν. 2004 , 19:53)

Επισης το ξέρω πολύ καλά ότι κατα καιρούς βγαίνουν μούφες email για μάπα virus του τύπου

"διαγράψτε τον ιο που λεγεται KERNEL32.DLL" αλλά αυτό δεν έχει καμία σχέση...

...με άλλα λόγια λέει ότι ο συγκεκριμένος ιός για τον οποίον μιλάει είναι υπαρκτός και δεν πρόκειται για hoax...

[TrobocopR]

Παιδιά, επείγον! Έβγαλε νέο ποπ απ!

 

Virus Alert

 

Object name: C:\Documents and Settings mpla-mpla \infer[1].exe

 

Virus name: Bloodhound.Packed

 

Action taken: Unable to repair this file

 

Σχετίζεται με τον προηγούμενο ή είναι άσχετος; :worry: Πρώτη φορά σκάνε μύτη δυο ο ένας πίσω από τον άλλον...

 

Αμέσως μετά πέταξε νέο ποπ απ...

 

Virus Alert

 

Object name: C:\Documents and Settings mpla-mpla \infer[1].exe

 

Virus name: Bloodhound.Packed

 

Action taken: Access to this file was denied

 

Kαι τα ξαναπέταξε άλλες δυο φορές. Τι παίζει;

[sigmacom]

...καλό ξε-ίωμα Trobocop® :lol:

[TrobocopR]

Φυσικά! Για όλα υπάρχει η πρώτη φορά... :p Τώρα όμως τι γίνεται;

[AGNOSTOS]

Τωρα τελειωσες....αρχισε να εξαπλωνεται στο pc.......Για να αναφερει οτι ειναι bloodhood.packed σημαινει οτι δεν τον εχει καταχωρημενο τον ιο στη βαση του ο Νορτονας!!!!!Η βαλε κανενα αλλο αντιβαιρους να το τσεκαρει η στειλε το αρχει να το δει αλλος με αλλο αντιιικο..........:)

[sigmacom]

@Trobocop®:

Μηπως να τ' αφήσεις όπως είναι? Μπορείς μετά να διεκδικήσεις επίδομα πολυτέκνου (με τόσους ιούς...) :lol:

[cybersledge]

ΙΙΙΙΙΙΙ ΑΜΑΝ!

Μόλις είδα το ποστ για τον KERNEL32.DLL ιό..

 

Για όνομα του θεού πλάκα έκανα..

Σόρρυ αν κάποιος το πήρε σοβαρά..

Δόξα το θεό που δεν εγινε καμία ζημιά..

 

Επισης το ξέρω πολύ καλά ότι κατα καιρούς βγαίνουν μούφες email για μαπα virii του τύπου "διαγράψτε τον ιο που λεγεται KERNEL32.DLL" αλλά αυτό δεν έχει καμία σχέση, σας διαβεβαιώ προσωπικά μιας και το βρήκα εγώ ο ίδιος.

Δεν ξέρω.. Μου φαίνεται ξεκάθαρο το νόημα.. Βέβαια άμα το περάσεις γρήγορα μπορεί να πάρεις άλλο feeling..

 

Σορρυ και πάλι :(

[jog]

Εγώ πάντως με virus definitions στις 2/06 και με scan δεν έχω ευτυχώς τπτ!

 

Ποτέ δεν έχω κολλήσει ιό στο pc μου μέχρι στιγμής....(ευτυχώς) :)

[lazaross]

ναι το ειδα στα γρηγορα αλλα δεν το εσβησα γιατι και μια αλλη φορα ετσι την πατησα...δικο μου το λαθος.

[cybersledge]

Ω ΘΕΟΙ!

Οι θεοί των υπολογιστών που λέτε με τιμωρούν που δεν έχω αλλάξει ακόμα σε linux full-time.

Στο computer μου γίνεται ΠΑΝΙΚΟΣ από ιούς και δεν έχω ιδέα γιατί και πως.

Έστειλα το norton που με απογοήτευσε με το scrgrd.exe και έβαλα f-secure.

Το f-secure λοιπόν φαινομενικά δεν δούλευε μέχρι σήμερα το πρωί.

Μέχρι σήμερα το πρωί λοιπόν όποτε bootαρα μου έβγαζε το firewall ότι ένα messenger.exe ήθελε internet access&server.

Το κατάλαβα ότι δεν πήγαινε κάτι καλά γιατι δεν υπάρχει 'νόμιμο' πρόγραμμα με αυτό το όνομα.

Το F-secure ύπνο βαθύ. Όταν δεν του έδινα access λοιπόν μου έβγαζε "lite installer has experienced an error and .." τα κλασσικά.

 

Επίσης σκάλιζα το registry μου και όλα τα exe άνοιγαν με την εντολή [c:\windows\system32\mpldfg.exe PASS "%1 %*"] οπότε και ήξερα ότι κάτι σίγουρα δεν πήγαινε καλά.

Το mpldfg.exe δεν υπάρχει σε επίσημο site. Το messenger.exe υπάρχει ως κάποιο trojan γραμμένο σε delphi, που δεν ισχύει σε αυτή την περίπτωση.

 

Σήήήήμερα το πρωί λοιπόν, το f-secure ξύπνησε. Εντόπισε τον Backdoor.optix.B

Πριν συνεχίσετε να διαβάζετε, παραθέτω το γκούγκλιασμα για "Backdoor.optix.b"

 

Your search - backdoor.optix.b - did not match any documents.

 

Suggestions:

 

- Make sure all words are spelled correctly.

- Try different keywords.

- Try more general keywords.

 

Also, you can try Google Answers for expert help with your search.

Ο οποίος δεν υπάρχει!

Και το περίεργο είναι πως τον εντόπισε στα:

scrgrd.exe

mpldfg.exe

messenger.exe

που α] το scrgrd.exe το ξέρουμε για κάτι άλλο

β] το mpldfg.exe δεν το ξέρουμε

και

γ] το messenger.exe επίσης το ξέρουμε για κάτι άλλο.

 

Τι γίνεται στο computer μου? Θα τρελαθώ. να σημειωθεί ότι βγάζω συνέχεια όλα τα references από το registry που μπορούν να ξεκινούν αυτούς τους διαόλους και επίσης έχω κοιτάξει και τα services μου και δεν υπάρχει τίποτα ύποπτο..

 

Η μόνη πιθανή εξήγηση είναι κάνει infect 'αθώα' αρχεία .exe όπως οι παλιοί γ*μάτοι* ιοί και να ξεκινάει μαζί με το explorer.exe πχ...

 

Βοήθεια!

 

update: Τέλεια. Προκειμένου να εξαλείψω την πιθανότητα του να είναι κάποιο SYSTEM process ή service, άλλαξα το start up mode από το msconfig σε diagnostic. Δοκίμασα να βρώ τίποτα - δεν βρήκα, το ξαναάλλαξα σε normal- τίποτα. Τα μισά services δεν δουλεύουν. Δεν έχω audio, το style έγινε το classic των 2000 αντί για XP... Τέλεια.

 

Υστερόγραφο: Έπεσε στα χέρια μου ο υπολογιστής μιας φίλης μου που "[panic]είχε ιο, είχε ιο, ήθελε βοήθεια![/panic]" και μαντέψτε τι βλέπω! mpldfg.exe / scrgrd.exe

Είναι στο ίδιο δίκτυο πανεπιστημίου αλλά τα IP ήταν τελείως διαφορετικά.. Μόνο class A ίδιο.. [10.Χ.Χ.Χ]

______________

*Δεν είναι ειρωνικό, οι ιοί εκείνοι ήταν masterpieces..

[eLeKtriK EyE]

Cybersledge: Κάποιος φτιάχνει ιούς και τους χώνει στους υπολογιστές σας μάλλον!

 

Όσο για την υπογραφή σου, την πρωτοπάτησα όταν έγραφα προγράμματα σε QBasic!