-
Обратная связь: [email protected]
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
Анализ вирусов посредством ProcMon и ProcExp
- Автор темы модемщик
- Дата начала
- Регистрация
- 10.05.2013
- Сообщения
- 36
- Репутация
Анализ вируса penetrator
Win32.HLLW.Kati (по классификации Dr.Web)
Глянул пенетратора. Мусорный червь, что атас. Пытается безуспешно создать (UAC) мусорные ctfmon lsass svchosts и т.д
Date & Time: 11.05.2013 20:19:17
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\DETER177\svсhоst.exe
TID: 1472
Duration: 0.0000074
Desired Access: Generic Write, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: A
ShareMode: None
AllocationSize: 0
Постоянно меняет значение отображения скрытых файлов
Date & Time: 11.05.2013 20:19:23
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
TID: 1472
Duration: 0.0000034
Type: REG_DWORD
Length: 4
Data: 0
Гы, кстати на безопасный режим ему не похрену, просто он так же как и предыдущий вирус прописан в Shell. Токо вот незадача, что на Shell из HKLM в отличие от HKCU у пользователя уже нет Fullaccess, и вот он бедняжка никак не может прописать себя.
Ну и в режиме с поддержкой командной строки можно запуститься легко.
Date & Time: 11.05.2013 20:29:08
Event Class: Registry
Operation: RegSetValue
Result: ACCESS DENIED
Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
TID: 1472
Duration: 0.0000036
Type: REG_SZ
Length: 96
Data: Explorer.exe C:\Windows\System32\АHTОMSYS19.exe
постоянно пытается записаться на носитель.
Собственно всю его деятельность характеризует один скриншот
он совершает это все по кругу.
Распространение:
Распространяется через флешки, причем делает это достаточно успешно.
Опасность: Не представляет, UAC отрабатывает на полную, вирус так и не смог прописать себя в автозагрузку. Единственное что он может - это вызвать проблемы со скрытыми файлами, т.к. к данному параметру у пользователей имеется fullaccess.
Лечение: Удалить тело вируса. При отключенном UAC придется почистить Shell, Run как в HKLM, так и в HKCU. Плюс придется почистить фейковые файлы типа svchost и тд. Так же придется восстановить параметры HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\, иначе он портит настройки отображения папок. типа
Date & Time: 11.05.2013 20:20:20
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoFolderOptions
TID: 1472
Duration: 0.0000061
Type: REG_DWORD
Length: 4
Data: 1
Резюме - данный вирус может представлять угрозу при отсутствии антивируса и с выключенным UAC.
В архиве лог ProcMon
Win32.HLLW.Kati (по классификации Dr.Web)
Глянул пенетратора. Мусорный червь, что атас. Пытается безуспешно создать (UAC) мусорные ctfmon lsass svchosts и т.д
Date & Time: 11.05.2013 20:19:17
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\DETER177\svсhоst.exe
TID: 1472
Duration: 0.0000074
Desired Access: Generic Write, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: A
ShareMode: None
AllocationSize: 0
Постоянно меняет значение отображения скрытых файлов
Date & Time: 11.05.2013 20:19:23
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
TID: 1472
Duration: 0.0000034
Type: REG_DWORD
Length: 4
Data: 0
Гы, кстати на безопасный режим ему не похрену, просто он так же как и предыдущий вирус прописан в Shell. Токо вот незадача, что на Shell из HKLM в отличие от HKCU у пользователя уже нет Fullaccess, и вот он бедняжка никак не может прописать себя.
Ну и в режиме с поддержкой командной строки можно запуститься легко.
Date & Time: 11.05.2013 20:29:08
Event Class: Registry
Operation: RegSetValue
Result: ACCESS DENIED
Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
TID: 1472
Duration: 0.0000036
Type: REG_SZ
Length: 96
Data: Explorer.exe C:\Windows\System32\АHTОMSYS19.exe
постоянно пытается записаться на носитель.
Собственно всю его деятельность характеризует один скриншот
он совершает это все по кругу.
Распространение:
Распространяется через флешки, причем делает это достаточно успешно.
Опасность: Не представляет, UAC отрабатывает на полную, вирус так и не смог прописать себя в автозагрузку. Единственное что он может - это вызвать проблемы со скрытыми файлами, т.к. к данному параметру у пользователей имеется fullaccess.
Лечение: Удалить тело вируса. При отключенном UAC придется почистить Shell, Run как в HKLM, так и в HKCU. Плюс придется почистить фейковые файлы типа svchost и тд. Так же придется восстановить параметры HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\, иначе он портит настройки отображения папок. типа
Date & Time: 11.05.2013 20:20:20
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoFolderOptions
TID: 1472
Duration: 0.0000061
Type: REG_DWORD
Length: 4
Data: 1
Резюме - данный вирус может представлять угрозу при отсутствии антивируса и с выключенным UAC.
В архиве лог ProcMon
Вложения
- Регистрация
- 10.05.2013
- Сообщения
- 36
- Репутация
Сейчас посмотрим, что там
- Регистрация
- 10.05.2013
- Сообщения
- 36
- Репутация
Анализ вируса из архива cr_worms12.rar
Trojan.Qhost.72 (по классификации dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.
Собственно worm.exe не отслеживается из-за того, что он является 16 битным приложением, гы.
В общем он запускает 16битный обработчки NTVDM.EXE, который распаковывает тело вируса в %temp%
Далее распаковывается программа Reg.exe, единственное назначение которой добавить в автозагрузку сам вирус.
Date & Time: 11.05.2013 21:32:37
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\expl0re1
TID: 3156
Duration: 0.0000329
Type: REG_SZ
Length: 48
Data: C:\Windows\expl0re1.exe
Далее reg.exe закрывается и более не проявляется.
После этого тело вируса из под 16битного обработчика копирует исполняемый файл вируса EXPL0RE1.EXE , который будет работать из под автозагрузки.
К сожалению :) в нашем случае вирус не смог записаться в папку виндовс(UAC)
Date & Time: 11.05.2013 21:32:37
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\EXPL0RE1.EXE
TID: 976
Duration: 0.0000741
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: N
ShareMode: Read, Write, Delete
AllocationSize: 0
Так же в папке ProgramData/Microsoft/eData формируется ещё один exeшник, который является так же является какой-то частью вредоносного кода.
Date & Time: 11.05.2013 21:32:38
Event Class: File System
Operation: CreateFile
Result: REPARSE
Path: C:\ProgramData\Microsoft\eHome\HVGLG.EXE
TID: 976
Duration: 0.0000244
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: N
ShareMode: Read, Write, Delete
AllocationSize: 0
OpenResult: <unknown>
Резюме:
Вирус так и не смог установиться в системе, UAC не дал вирусу сработать на полную, вирус в текущий момент неработоспособен и угрозы не представляет.
Лечение: Не требуется.
UPDATE
Червь запущен с правами администратора. В целом установка прошла более успешно, автозагрузка начинает работать.
И тут начинается интересное, вирус лезет в ветку минифильтра luafv, в ветку procmon23.
Date & Time: 11.05.2013 22:24:53
Event Class: Registry
Operation: RegEnumKey
Result: SUCCESS
Path: HKLM\System\CurrentControlSet\services\PROCMON23\Instances
TID: 2800
Duration: 0.0000020
Index: 0
Name: Process Monitor 23 Instance
Этот момент весьма интересен, и требуется время, чтобы разобраться, что собственно он там делал, и чем это грозит.
Далее вирус интересуется что таки у нас на диске Д
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: DeviceIoControl
Result: NO MEDIA
Path: D:
TID: 2800
Duration: 0.0002465
Control: 0x2402c (Device:0x2 Function:11 Method: 0)
Зачем то пытается записать файл hosts в папке system32
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: CreateFile
Result: NAME NOT FOUND
Path: C:\Windows\System32\HOSTS
TID: 2800
Duration: 0.0000088
Desired Access: Generic Read/Write
Disposition: Open
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
И напоследок кладет свою копию в C:\PerfLogs\
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\PerfLogs\GVQY.EXE
TID: 2800
Duration: 0.0002892
Desired Access: Generic Read/Write
Disposition: Open
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
OpenResult: Opened
В архиве логи ProcMon
Trojan.Qhost.72 (по классификации dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.
Собственно worm.exe не отслеживается из-за того, что он является 16 битным приложением, гы.
В общем он запускает 16битный обработчки NTVDM.EXE, который распаковывает тело вируса в %temp%
Далее распаковывается программа Reg.exe, единственное назначение которой добавить в автозагрузку сам вирус.
Date & Time: 11.05.2013 21:32:37
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\expl0re1
TID: 3156
Duration: 0.0000329
Type: REG_SZ
Length: 48
Data: C:\Windows\expl0re1.exe
Далее reg.exe закрывается и более не проявляется.
После этого тело вируса из под 16битного обработчика копирует исполняемый файл вируса EXPL0RE1.EXE , который будет работать из под автозагрузки.
К сожалению :) в нашем случае вирус не смог записаться в папку виндовс(UAC)
Date & Time: 11.05.2013 21:32:37
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\EXPL0RE1.EXE
TID: 976
Duration: 0.0000741
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: N
ShareMode: Read, Write, Delete
AllocationSize: 0
Так же в папке ProgramData/Microsoft/eData формируется ещё один exeшник, который является так же является какой-то частью вредоносного кода.
Date & Time: 11.05.2013 21:32:38
Event Class: File System
Operation: CreateFile
Result: REPARSE
Path: C:\ProgramData\Microsoft\eHome\HVGLG.EXE
TID: 976
Duration: 0.0000244
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: N
ShareMode: Read, Write, Delete
AllocationSize: 0
OpenResult: <unknown>
Резюме:
Вирус так и не смог установиться в системе, UAC не дал вирусу сработать на полную, вирус в текущий момент неработоспособен и угрозы не представляет.
Лечение: Не требуется.
UPDATE
Червь запущен с правами администратора. В целом установка прошла более успешно, автозагрузка начинает работать.
И тут начинается интересное, вирус лезет в ветку минифильтра luafv, в ветку procmon23.
Date & Time: 11.05.2013 22:24:53
Event Class: Registry
Operation: RegEnumKey
Result: SUCCESS
Path: HKLM\System\CurrentControlSet\services\PROCMON23\Instances
TID: 2800
Duration: 0.0000020
Index: 0
Name: Process Monitor 23 Instance
Этот момент весьма интересен, и требуется время, чтобы разобраться, что собственно он там делал, и чем это грозит.
Далее вирус интересуется что таки у нас на диске Д
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: DeviceIoControl
Result: NO MEDIA
Path: D:
TID: 2800
Duration: 0.0002465
Control: 0x2402c (Device:0x2 Function:11 Method: 0)
Зачем то пытается записать файл hosts в папке system32
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: CreateFile
Result: NAME NOT FOUND
Path: C:\Windows\System32\HOSTS
TID: 2800
Duration: 0.0000088
Desired Access: Generic Read/Write
Disposition: Open
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
И напоследок кладет свою копию в C:\PerfLogs\
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\PerfLogs\GVQY.EXE
TID: 2800
Duration: 0.0002892
Desired Access: Generic Read/Write
Disposition: Open
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
OpenResult: Opened
В архиве логи ProcMon
- Регистрация
- 03.06.2012
- Сообщения
- 6 202
- Репутация
Это мусорный червь, загаживает диски C, D,..., далее блокирует доступ к сайтам популярных антивирусов, для верности сделал добавление в автозагрузку пользователя, это expl0re1.exe и ещё один екзешник, добавляется в реестр автозагрузку для всех пользователей, название екзешника не помню, но название сделал похожим на explorer.exe или svchost, не помню уже...
Далее этот вирус заражает все exe файлы на компе...
А как ты его запустил ?
У меня максимум, что он смог сделать, это заблокировать доступ к антивирусам, путём модификации hosts !
Далее этот вирус заражает все exe файлы на компе...
А как ты его запустил ?
У меня максимум, что он смог сделать, это заблокировать доступ к антивирусам, путём модификации hosts !
- Регистрация
- 03.06.2012
- Сообщения
- 6 202
- Репутация
Откомпилировал на Делфи+ кое-что там поменял, пробуем !
Это для любителей парнухи, Оутпост не детектит !:)
Пароль:111
0
0eck
Гость
- Регистрация
- 26.01.2013
- Сообщения
- 33
- Репутация
| Автор темы | Похожие темы | Форум | Ответы | Дата |
|---|---|---|---|---|
|
Информация Анализ шифровальщика Wana Decrypt0r 2.0 | Обзоры новых вирусов | 0 |
| Похожие темы |
|---|
| Информация Анализ шифровальщика Wana Decrypt0r 2.0 |