Анализ вирусов посредством ProcMon и ProcExp

[Rafail]

[HIDE=7]Только для тестирования и ознакомления!!! 3 Винлока: 1MBR, 2 и 3-й, обычный Winlock.

Pass: 111
код разблокировки: 111

http://rghost.ru/46007180[/HIDE]

 

[0eck]

Только для тестирования и ознакомления!!!

Касперский удалил все

 

[модемщик]

Анализ вредоносной программы Fuck.exe с

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

......
(Trojan.Winlock.2959 по классификации Dr.Web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Винлок писал явно какой-то любитель красоты, поэтому троян начал свою деятельность с красивых шрифтов

Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegEnumValue
Result: SUCCESS
Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontLink\SystemLink
TID: 320
Duration: 0.0000019
Index: 0
Name: MS PGothic MC
Type: REG_MULTI_SZ
Length: 216
Data: C:\Windows\ehome\WTVGOTHIC-S.ttc,Windows TV PGothic, MINGLIU.TTC,PMingLiU, SIMSUN.TTC,SimSun, GULIM.TTC,Gulim

Далее троян попытался записать себя в корень Windows, правда безуспешно.

Date & Time: 17.05.2013 15:00:41
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\Sound.exe
TID: 320
Duration: 0.0000207
Desired Access: Generic Write, Read Data/List Directory, Read Attributes, Delete
Disposition: Create
Options: Sequential Access, Non-Directory File
Attributes: A
ShareMode: None
AllocationSize: 0

Далее идет стандартный шаг - запись себя в автозагрузку пользователя

Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sound
TID: 320
Duration: 0.0000218
Type: REG_SZ
Length: 42
Data: C:\Windows\Sound.exe

Далее жалкая попытка удалить диспетчер задач

Date & Time: 17.05.2013 15:00:41
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\taskmgr.exe
TID: 320
Duration: 0.0002419
Desired Access: Read Attributes, Delete, Synchronize
Disposition: Open
Options: Synchronous IO Non-Alert, Open Reparse Point
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a

Следующий шаг более интересный и нестандартный.
Винлок открывает ветку реестра отвечающую за загрузку в безопасном режиме,
создает копию содержимого дочерних веток под другим именем (вместо Minumal - M, вместо Network - N) и удаляет стандартные ветки. Загрузка в безопасном режиме после такого невозможна.

Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegEnumKey
Result: SUCCESS
Path: HKLM\System\CurrentControlSet\Control\SafeBoot\Network
TID: 320
Duration: 0.0000890
Index: 17
Name: EventLog
Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKLM\System\CurrentControlSet\Control\SafeBoot\N\EventLog\(Default)
TID: 320
Duration: 0.0000208
Type: REG_SZ
Length: 16
Data: Service
Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegDeleteKey
Result: SUCCESS
Path: HKLM\System\CurrentControlSet\Control\SafeBoot\Network\EventLog
TID: 320
Duration: 0.0000075

Резюме, вирус так и не смог обеспечить себе автозагрузку, т.е. перезагрузка привела бы к нейтрализации вируса. Другое дело, что он умудрился полностью запороть запуск в безопасном режиме.
Данный винлок практически не представляет угрозы.

Лечение: Ручное переименование веток SafeBoot или откат системы.

В архиве логи ProcMon

 

[DeRo]

Протестируй пожалуйста этот винлок, интересно, остается ли он в системе после ввода пароля?
Winlock
пароль для скачивания 55555q
[HIDE=15]
http://rghost.ru/46032095
[/HIDE]
Код разблокировки 7997

 

[модемщик]

Анализ вредоносной программы из файла GoogleChrome.exe c

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

.....
Trojan.DownLoader9.10989(по классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Начнем с антивирусного теста. Более двух третей антивирусов благополучно прохлопали это чудо, и этому есть свое объяснение, об этом будет позже.
Так же данная ВП (вредоносная программа) снабжена щитком UAC, то бишь без повышения прав не запускается.

Начинает программа с распаковки себя в %TEMP%

Date & Time: 18.05.2013 13:14:02
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\$inst\2.tmp
TID: 1772
Duration: 0.0001780
Desired Access: Generic Write, Read Attributes
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created

Далее копирует в папку C:\Windows\System32\oobe\info\backgrounds .bat файл и картинку.
Кстати картинка ничо так, любители всяких кошачьих оценят :)

Date & Time: 18.05.2013 13:14:02
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Windows\System32\oobe\info\backgrounds\block.bat
TID: 1772
Duration: 0.0000780
Desired Access: Generic Write, Read Attributes
Disposition: OpenIf
Options: Sequential Access, Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created
Date & Time: 18.05.2013 13:14:02
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Windows\System32\oobe\info\backgrounds\backgroundDefault.jpg
TID: 1772
Duration: 0.0009867
Desired Access: Generic Write, Read Attributes
Disposition: OpenIf
Options: Sequential Access, Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created

Зачем то прописывает себя в установку и удаление программ :) Причем с путем на C:\Program Files\Google\Google Chrome\Uninstall.exe

Date & Time: 18.05.2013 13:14:02
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome 24.00\DisplayName
TID: 1772
Duration: 0.0001481
Type: REG_SZ
Length: 40
Data: Google Chrome 24.00

Далее добавляет эту картинку на окно входа в систему

Date & Time: 18.05.2013 13:14:03
Event Class: Process
Operation: Process Start
Result: SUCCESS
Path:
TID: 916
Duration: 0.0000000
Parent PID: 912
Command line: reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\Background" /v OEMBackground /t reg_dword /d 1 /f
Current directory: C:\Windows\system32\oobe\info\backgrounds\

Следующий шаг - смена пароля пользователя через утилиту net.exe

Date & Time: 18.05.2013 13:14:03
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 916
Duration: 0.0000000
PID: 1624
Command line: net user Freelncr "7997"

Повторяет то же самое через утилиту net1.exe

Date & Time: 18.05.2013 13:14:03
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net1.exe
TID: 2024
Duration: 0.0000000
PID: 1960
Command line: C:\Windows\system32\net1 user Freelncr "7997"

Блокирует компьютер.

Date & Time: 18.05.2013 13:14:03
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\rundll32.exe
TID: 916
Duration: 0.0000000
PID: 1912
Command line: RUNDLL32.exe USER32.dll,LockWorkStation

Удаляет свои временные файлы.

Date & Time: 18.05.2013 13:14:03
Event Class: File System
Operation: SetDispositionInformationFile
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\$inst
TID: 1772
Duration: 0.0000125
Delete: True

Резюме:
Программа отличается весьма нетипичным поведением, что вызывает трудности с ее обнаружением у антивирусов. Есть мнение, что эта зараза разработана оголтелыми зелеными в поддержку амурских тигров :)
В системе никак себя не прописывает, опасности практически не представляет.

Лечение: Не требуется.

 

[X-Shar]

Если возможно, можно проанализировать этот вирус, делает синий экран смерти (Не фейк), более того у меня чуть не спалил ноут и обнулил настройки Оутпоста...

Долго его не обнаруживали антивирусы, сейчас правда обнаруживают уже !

В своё время создавал тему здесь:http://ru-sfera.pw/threads/Очень-опасный-вирус.501/

Пароль:111

 

[модемщик]

Если возможно, можно проанализировать этот вирус, делает синий экран смерти (Не фейк), более того у меня чуть не спалил ноут и обнулил настройки Оутпоста...

Долго его не обнаруживали антивирусы, сейчас правда обнаруживают уже !

В своё время создавал тему здесь:http://ru-sfera.pw/threads/Очень-опасный-вирус.501/

Пароль:111

Попробую сегодня-завтра. Запороть железо через виртуальную машину он сможет, нет.

 

[X-Shar]

Попробую сегодня-завтра. Запороть железо через виртуальную машину он сможет, нет.

Он по мойму на виртуалбоксе не запустится, я на реальной тестил, ну что-то ноут стал трещать вовремя его выключил, видно в каком-то драйвере ошибку делает...

Кроме синего экрана смерти вроде ничего не должен делать, но уменя почему-то Оутпост заглючил, что привело к обнулению настроек, видимо глюк в программе произощёл !

 

[модемщик]

Анализ вредоносной программы из архива Deals_Win
Trojan.Siggen4.53961 (по классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Собственно данная вредоносная программа выполняет ровно одно действие:
Это запуск утилиты taskkill с ключом /IM "wininit.exe" /T /F
Т.е. всего лишь убивает процесс winnit.exe, что приводит к закономерному БСОДу.
Для интереса попробуйте убить на своем компьютере этот процесс

Никаких драйверов данный вирус не затрагивает, ошибки возникают в силу самого внезапного завершения работы.


Date & Time: 19.05.2013 12:00:22
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\System32\taskkill.exe
TID: 3352
Duration: 0.0000000
PID: 3364
Command line: "C:\Windows\System32\taskkill.exe" /IM "wininit.exe" /T /F

Резюме:
UAC заблокировал выполнение taskkill, процесс вируса завершил свою работу с ошибкой.
В систему вирус себя не прописывает, опасности не представляет.
В силу малой угрозы обнаружение данного вируса через эвристику невозможно, только по конкретным сигнатурам, поэтому он долгое время не ловился антивирусами.

 

[DeRo]

Вот еще файл, протестируй если есть свободное время!
Winlock
Pass: 111
[HIDE=20]
http://rghost.ru/private/46263752/3415eb16f473e47c99e45eb022b447bc
[/HIDE]