CHKLST.RU
В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Win32/Patched.IB

отредактировано Май 2016 Раздел: Форум лечения заражений
Совсем недавно на форумах столкнулись с массовой проблемой блокирования доступа в социальные сети. Вместо соответствующих интернет-ресурсов в окне браузера демонстрировались веб-страницы с сообщением о том, что профиль пользователя в социальной сети заблокирован, и предложением ввести в соответствующее поле номер телефона и подтверждающий код, полученный в ответном СМС. Проверка hosts, настроек DNS сетевых подключений, поиск в системе известных троянов к решению проблемы не привели. Тем не менее, хелперы pchelpforum.ru обратили внимание на одну закономерность. Во всех проблемных темах в образе автозапуска uVS известный системный файл rpcss.dll не прошел проверку по цифровой подписи.
Кроме того, добавленный в uVS критерий (ССЫЛКА ~ \PARAMETERS\SERVICEDLL) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ) выделяет системные сервисные dll, не прошедшие проверку цифровой подписи в список подозрительных.
Полное имя                  C:\WINDOWS\SYSTEM32\RPCSS.DLL
Имя файла RPCSS.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]

www.virustotal.com 2013-04-05 [2013-04-01 15:49:41 UTC ( 1 week, 3 days ago )]
Kaspersky Trojan.Win32.Patched.pj
BitDefender Gen:Variant.Kazy.160775
ESET-NOD32 Win32/Patched.IB

Удовлетворяет критериям
FALSESERVICEDLL (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
Размер 377344 байт
Создан 21.11.2010 в 05:29:12
Изменен 21.11.2010 в 05:29:12
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя rpcss.dll
Версия файла 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание Distributed COM Services
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Доп. информация на момент обновления списка
SHA1 5E79F045B06CB61B67DE3D839C2F5373998B31F7
MD5 170AEA2C0B1C89C6D3C2552965A5129E

Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\DcomLaunch\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\rpcss.dll

Ссылка HKLM\System\CurrentControlSet\Services\RpcSs\Parameters\ServiceDLL
ServiceDLL %SystemRoot%\system32\rpcss.dll
Рост количества проблемных тем привел к рождению качественной мысли о том, что возможно файл rpcss.dll модифицирован и является источником данной проблемы. Vvvyg: "Погодите, может ещё RPCSS.DLL - плод моей паранойи . Но я порядка десятка логов отсмотрел с подобной проблемой - симптом общий." Была подготовлена библиотека чистых файлов для систем Windows XP, Vista, Windows7, Windows 8 различной разрядности.
Пользователям было предложено заменить модифицированные rpcss.dll на соответствующие чистые версии файлов, используя загрузочные диски.

И сразу же появились сообщения о положительном решении проблемы.

Далее предложены три варианта решения:

1. замена модифицированных файлов на чистые используя Live.CD

Win8x64/6.2.9200.16384/

Win8x86 /6.2.9200.16384/
---------------
Win7x64SP1 /6.1.7601.17514/

Win7x64 /6.1.7600.20870/

Win7x86SP1 /6.1.7601.17514/

Win7x86 /6.1.7600.16385/
----------------
Vistax64SP2 /6.0.6002.18005/

Vistax86SP2 /6.0.6002.18005/
----------------
W2k3x64/5.2.3790.4455/

Win X2k3x86/5.2.3790.3959/
---------------
Win XPx86SP3 /5.1.2600.5755/

Win XPx86SP3 /5.1.2600.5512/
---------------
W2K /5.00.2195.7059/

2. установка патча системы от Microsoft, который приводит к обновлению системного файла rpcss.dll
например:
На компьютере под управлением Windows Server 2003 с пакетом обновления (SP2), Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2, процесс Svchost.exe, на котором размещены службы вызова удаленной процедуры аварийно завершает работу.

Данный патч позволяет в том числе обновить rpcss.dll до следующих версий:

Для всех поддерживаемых 32 разрядных выпусков Windows 7

Имя файла Версия файла Размер файла Дата Время Платформа
RPCSS.dll 6.1.7600.20870 376,320 01-Янв-2011 06: 43 x 86
RPCSS.dll 6.1.7601.21631 376 832 01-Янв-2011 06: 47 x 86

Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2

Имя файла Версия файла Размер файла Дата Время Платформа
RPCSS.dll 6.1.7600.20870 509,952 01-Янв-2011 07: 30 x 64
RPCSS.dll 6.1.7601.21631 512,000 01-Янв-2011 07: 39 x 64

3. Так же хелперами был создан скрипт uVS с использованием замены модифицированного файла на чистый из подготовленной библиотеки.
;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll"
czoo
restart
здесь, соответствующий чистый файл rpcss.dll из библиотеки необходимо предварительно поместить в каталог c Universal Viris Sniffer / uVS /

Таким образом замечаем, что это уже не первая проблема которая была решена благодаря функционалу uVS (например, ведение списков чистых проверенных системных файлов) и его способности создать расширенный образ автозапуска системы, который позволяет хелперу выполнить анализ системы за кратчайшее время.

см. Как удалить бэкдор crexv и восстановить нормальную работу меню Пуск в XP/Vista/Seven

Функционал uVS позволил оперативно собрать в карантин модифицированные файлы для отправки в вирлабы компаний ESET, DrWeb, Kaspersky.
Спустя несколько дней появился первый детект: вначале у ESET / Win32/Patched.IB /, затем у ЛК / Trojan.Win32.Patched.pj/, затем у DrWeb / Trojan.Starter.2229 /

Однако, корректного лечения модифицированного rpcss.dll антивирусными утилитами из активной системы на сегодня нет. Поэтому мы рекомендуем использовать для решения данной проблемы перечисленные выше варианты.

(c), chklst.ru
Войдите или Зарегистрируйтесь чтобы комментировать.