Анализ вирусов посредством ProcMon и ProcExp

Тема в разделе "Обзоры новых вирусов", создана пользователем модемщик, 10 май 2013.

↑ ↓
  1. модемщик Уважаемый пользователь
    модемщик
    Ответить в чате

    Форумчанин

    Регистрация:
    10.05.2013
    Сообщения:
    36
    Симпатии:
    161
    Пол:
    Мужской
    Репа:
    +161 / 1 / -0
    Прошу уважаемых форумчан помочь с поиском:
    Trojan.Mods.1 ака Trojan.Redirect.140
    Trojan.ArchiveLock.20
    Trojan.Hosts (любой из свежих)
    Trojan.Winlock (любой из свежих)
    Win32.HLLP.Neshta (или подобный червь)

    В свою очередь обещаю выложить обзор с пошаговым разбором действий этих зверьков под микроскопом "ProcMon"а, плюс защита и лечение посредством средств Sysinternals и windows.
     
    • Мне нравится Мне нравится x 6
  2. 0eck Заблокирован
    0eck
    Ответить в чате

    Заблокирован

    Регистрация:
    05.01.2013
    Сообщения:
    4.339
    Симпатии:
    17.573
    Пол:
    Мужской
    Репа:
    +17.638 / 20 / -26
    Вроде винлок от 02.05.2013
    Второй от 27.04.2013
    пароль infected


     

    Вложения:

    • dREbbSq.rar
      Размер файла
      70,6 КБ
      Просмотров:
      5
    • DMWD.rar
      Размер файла
      52,8 КБ
      Просмотров:
      3
    • Мне нравится Мне нравится x 7
  3. модемщик Уважаемый пользователь
    модемщик
    Ответить в чате

    Форумчанин

    Регистрация:
    10.05.2013
    Сообщения:
    36
    Симпатии:
    161
    Пол:
    Мужской
    Репа:
    +161 / 1 / -0
    Спасибо, начнем.
     
    • Мне нравится Мне нравится x 4
  4. модемщик Уважаемый пользователь
    модемщик
    Ответить в чате

    Форумчанин

    Регистрация:
    10.05.2013
    Сообщения:
    36
    Симпатии:
    161
    Пол:
    Мужской
    Репа:
    +161 / 1 / -0
    Как и обещал - анализ вредоносной программы в архиве dREbbSq.rar,
    Trojan.PWS.Stealer.1932 (По классификации Dr.web)
    Исходные данные:
    ОС Win7 ult x32
    Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
    Установленные обновления:
    Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

    Безымянный.
    Началось все с эпик фэйла, защитник виндовс зарубил софтину на корню, пришлось трояну помочь, разрешив его выполнение.
    Далее произошло следующее
    Безымянный4.

    Троян почитал настройки интернета, поковырялся в истории ИЕ, в кукисах, изменил настройки безопасности зон интранета, и полез на сервер 37.10.104.92:4915 никаких данных не передавал, скорее всего получил файл фейкового хоста.
    Безымянный3.
    После этого создал в %temp% фейковый hosts, попытался создать тот же файл в папке Windows, на что ему не хватило доступа. В файле, на самом донышке обнаружились записи перенаправляющие страницы входа соцсетей mail, vk, odnoklassniki на сервер зловредов. Т.е. пользователь при попытке входа в соцсети подарит свои учетные данные, плюс для восстановления доступа к соцсетям ему предложат привязать анкету к телефону(ещё и с денежкой расстанется)
    Но пока этот файл мирно покоится в папке %temp% и ничем нам не угрожает, Зловредный код все ещё не активирован.
    Далее идет активация cmd.exe
    "C:\Windows\System32\cmd.exe" /c copy C:\Windows\system32\drivers\etc\hosts C:\Windows\system32\drivers\etc\hosts.sam /Y && at 22:49:00 /every:M,T,W,Th,F,S,Su cmd.exe "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\Freelncr\AppData\Local\Temp\1857847aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
    Эти данные позднее будут переданы в at.exe(приложения для создания назначенных заданий)
    Безымянный1.
    Все таки нам приходится ещё раз помочь трояну, и мы повышаем привилегию процесса.
    после успешного старта cmd.exe родительский процесс 622блабла.exe завершает свою работу и больше не запускается никогда.
    Безымянный5.


    at.exe создает задание
    Безымянный2.


    Данное задание периодически заменяет нормальный хост фейковым.

    После создания задачи все процессы завершаются, и далее вся работа ложится на планировщик, который тупо будет заменять хост фейковым.

    Лечение.
    Для маскировки троян больше не проявляет себя, оставив только задание в планировщике, в котором никакого вредоносного кода нет, только стандартная операция копирования. С большой вероятностью даже при обнаружении антивирусом тела, и очистки hosts задание будет продолжать исправно работать.
    Сооствественно лечение состоит в удалении тела, задания и файла hosts.
    Просмотр Autoruns, ProcExp, ProcMon после перезагрузки никаких следов деятельности трояна не показал, излечение полное. Записей в автозагрузке троян не оставляет, никакие системные файлы не модифицирует.
    Ну и напоследов разница между фейковым хостом и настоящим:

    Безымянный7.
     
    • Мне нравится Мне нравится x 12
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Классный обзор, спасибо !wink1
     
    • Мне нравится Мне нравится x 7
  6. модемщик Уважаемый пользователь
    модемщик
    Ответить в чате

    Форумчанин

    Регистрация:
    10.05.2013
    Сообщения:
    36
    Симпатии:
    161
    Пол:
    Мужской
    Репа:
    +161 / 1 / -0
    Обзор винлокера из архива DMWD.rar
    Trojan.Winlock.6049 (по классификации Dr.web)
    Исходные данные:
    ОС Win7 ult x32
    Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
    Установленные обновления:
    Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

    Пробный пуск выдал ожидаемый результат.
    1.
    Запуск в безопасном режиме выдал то же самое
    2.
    Следующей попыткой был запущен безопасный режим с поддержкой командной строки.
    Отличительной чертой этого режима является то, что вместо стандартного shell запускается cmd.exe, что в нашем случае привело к штатному запуску.
    3.
    Запустить оттуда autoruns было делом 10 секунд.
    5.

    Как мы видим троянец обосновался HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell заменив собой explorer.exe
    и в HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ банально добавив себя в автозагрузку пользователя.
    Лечение в нашем случае - это удаление ключей из run и замене exeшника вируса в Shell на explorer.exe Можно удалить тело вируса, но это совсем необязательно.

    Теперь разбор в ProcMon.
    Т.к. троян надежно блокирует все попытки завершить свой процесс, а посмотреть шо там у него внутри procmonом очень хочется мы воспользуемся тем, что прописывает он себя HKCU, т.е. в реестр конкретного пользователя. Мы создадим второго тестового пользователя с админскими правами. Если бы троян прописывал бы себя HKLM, то особой проблемы бы это тоже не вызвало, мы бы просто сняли fullaccess права пользователей с нужной ветки, и троян бы не смог записать ничего(при условии, что UAC включен)
    Теперь мы запускаем трояна и нажатием трех волшенбных кнопок меняем пользователя. Далее мы завершаем процесс и возвращаемся обратно
    9.
    Далее анализируем то, что нам насобирал ProcMon 10.
    В итоге получается, что данный winlock - творение очень ленивых разработчиков. По факту каждую свою загрузку он прописывает себя в Shell и в Run.
    Дальше вы видите, как через csrss он задает параметры окон для текущих объектов. Например ставит себе размер в полный экран, выдвигает себя на первый план.

    Собственно проблема состоит в fullaccess правах пользователей на такие ветки реестра как HKCU..... Shell и Run.
     
    • Мне нравится Мне нравится x 8
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    По поводу винлоков, здесь на сайте есть исходники, старющие правда, ну думаю современные не далеко ушли, их тоже при желании можно проанализировать, вот этот шифрует данные на компе, а потом просит отправить СМС:http://ru-sphere.ru/threads/Исходник-программы-вымогателя.158/

    А вот этот совсем простенький, но примечателен тем, что написан на Делфи, его исходник можно глянуть:http://ru-sphere.ru/threads/Простенький-trojan-winlock-на-делфи.109/
     
    • Мне нравится Мне нравится x 6
  8. модемщик Уважаемый пользователь
    модемщик
    Ответить в чате

    Форумчанин

    Регистрация:
    10.05.2013
    Сообщения:
    36
    Симпатии:
    161
    Пол:
    Мужской
    Репа:
    +161 / 1 / -0
    Вот спасибо, как раз то, что нужно.

    Ещё бы только боевого свежего червя найти.
     
    • Мне нравится Мне нравится x 3
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Удалось найти исходник, написан на делфи, не компилировал, т.к. делфи у меня не установлен, установлен только C++ Bulder 6, обычно в нём пишу, как-то после института, открывать Делфи не хочу, да и высокоуровневым программированием что-то уже давно не занимаюсь, пишу в основном в Кейле...

    Вот если нужно исходник Win32.HLLP.Neshta, во вложении 99_worm.zip !

    Вот и нашёл какой-то Вирус Penetrator не знаю червь это, или нет, вот его особенности:

    1.Долбит файлы формата( avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip)
    2.Меняет файлы картинок и текстовых форматов на свой(penetrator, нах..уй послана сука....И т.п)
    3.Блокирует антивирусы(если комп им заражён) и становится для них невидимым
    4.Ему чихать на безопасный режим
    5.Долбит всё по локальной сети.........
    и т.п

    Ps: Вирус действует не сразу,а лишь в определённые числа !

    Во вложении:80_penetr.rar

    Пароль:3256
     

    Вложения:

    • 99_worm.zip
      Размер файла
      13,2 КБ
      Просмотров:
      7
    • 80_penetr.rar
      Размер файла
      1,8 МБ
      Просмотров:
      6
    • Мне нравится Мне нравится x 8
  10. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.805
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Вот удалось вытащить на одном хакерском сайте из под хайда 15 лайков червяка, в начале хотел по хорошему, набрал 15-ть, а потом оказалось, что это лайки, меня ещё и забанили за флуд, пришлось по плохому, зря время только потерял...sm3888

    В общем, что делает этот червяк:

    Zunker+Zupacha — контрольный центр управления ботнетом и бот-клиент.

    Полный функционал Zupacha был довольно внушительным. Помимо загрузки других файлов в систему его основной задачей было дальнейшее самораспространение. Об одном из таких способов (встраивании своих текстов в сообщения на форумах) мы писали выше. Всего же Zupacha мог «спамить» свои ссылки тремя способами:

    ICQ\Jabber-спам. Тексты со ссылкой на вредоносные сайты добавляются во все сообщения, которые пользователь отправляет из этих Instant Messengers.
    Web-спам. Тексты добавляются в любые веб-формы, заполняемые пользователем. Как правило, это форумы, а также веб-интерфейсы почтовых систем.
    Почтовый спам. Текст добавляется к тексту писем пользователя.

    Необходимо отметить, что во всех этих случаях Zupacha самостоятельно не инициирует рассылку сообщений всеми описанными методами. Он только контролирует активность пользователя и добавляет свои тексты в любые исходящие сообщения, причем сам пользователь этого не видит.

    Однако Zupacha не занимается кражей данных — это всего лишь самораспространяющийся троянец-загрузчик. Следовательно, он не мог выступить в роли пресловутого «универсального» кода.

    Это червь хоть не самый новый, но что-то в паблике скрывается под хайдом аж 100 сообщений, либо лайков 10-15, а здесь можно его и так скачать для теста.

    Основной файл вируса config/file.exe, а config/config.exe, его настройки, раньше продавался...
    Пароль:111
     

    Вложения:

    • zunkerb01t.rar
      Размер файла
      971 КБ
      Просмотров:
      7
    • Мне нравится Мне нравится x 9

Поделиться этой страницей