Анализ вирусов посредством ProcMon и ProcExp


R

Rafail

Гость
[HIDE=7]Только для тестирования и ознакомления!!! 3 Винлока: 1MBR, 2 и 3-й, обычный Winlock.

Pass: 111
код разблокировки: 111

http://rghost.ru/46007180[/HIDE]
 
0

0eck

Гость
Только для тестирования и ознакомления!!!
Касперский удалил все
1.png
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Анализ вредоносной программы Fuck.exe с ......
(Trojan.Winlock.2959 по классификации Dr.Web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Винлок писал явно какой-то любитель красоты, поэтому троян начал свою деятельность с красивых шрифтов
Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegEnumValue
Result: SUCCESS
Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontLink\SystemLink
TID: 320
Duration: 0.0000019
Index: 0
Name: MS PGothic MC
Type: REG_MULTI_SZ
Length: 216
Data: C:\Windows\ehome\WTVGOTHIC-S.ttc,Windows TV PGothic, MINGLIU.TTC,PMingLiU, SIMSUN.TTC,SimSun, GULIM.TTC,Gulim

Далее троян попытался записать себя в корень Windows, правда безуспешно.

Date & Time: 17.05.2013 15:00:41
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\Sound.exe
TID: 320
Duration: 0.0000207
Desired Access: Generic Write, Read Data/List Directory, Read Attributes, Delete
Disposition: Create
Options: Sequential Access, Non-Directory File
Attributes: A
ShareMode: None
AllocationSize: 0
Далее идет стандартный шаг - запись себя в автозагрузку пользователя

Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sound
TID: 320
Duration: 0.0000218
Type: REG_SZ
Length: 42
Data: C:\Windows\Sound.exe
Далее жалкая попытка удалить диспетчер задач

Date & Time: 17.05.2013 15:00:41
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\taskmgr.exe
TID: 320
Duration: 0.0002419
Desired Access: Read Attributes, Delete, Synchronize
Disposition: Open
Options: Synchronous IO Non-Alert, Open Reparse Point
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
Следующий шаг более интересный и нестандартный.
Винлок открывает ветку реестра отвечающую за загрузку в безопасном режиме,
создает копию содержимого дочерних веток под другим именем (вместо Minumal - M, вместо Network - N) и удаляет стандартные ветки. Загрузка в безопасном режиме после такого невозможна.


Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegEnumKey
Result: SUCCESS
Path: HKLM\System\CurrentControlSet\Control\SafeBoot\Network
TID: 320
Duration: 0.0000890
Index: 17
Name: EventLog
Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKLM\System\CurrentControlSet\Control\SafeBoot\N\EventLog\(Default)
TID: 320
Duration: 0.0000208
Type: REG_SZ
Length: 16
Data: Service
Date & Time: 17.05.2013 15:00:41
Event Class: Registry
Operation: RegDeleteKey
Result: SUCCESS
Path: HKLM\System\CurrentControlSet\Control\SafeBoot\Network\EventLog
TID: 320
Duration: 0.0000075


Резюме, вирус так и не смог обеспечить себе автозагрузку, т.е. перезагрузка привела бы к нейтрализации вируса. Другое дело, что он умудрился полностью запороть запуск в безопасном режиме.
Данный винлок практически не представляет угрозы.

Лечение: Ручное переименование веток SafeBoot или откат системы.

В архиве логи ProcMon
Безымянный.jpg
 

Вложения

  • FuckWinlockLogs.rar
    47.4 КБ · Просмотры: 4

DeRo

独家
Форумчанин
Регистрация
26.01.2013
Сообщения
33
Репутация
60
Протестируй пожалуйста этот винлок, интересно, остается ли он в системе после ввода пароля?
Winlock
пароль для скачивания 55555q
[HIDE=15]
http://rghost.ru/46032095
[/HIDE]
Код разблокировки 7997
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Анализ вредоносной программы из файла GoogleChrome.exe c .....
Trojan.DownLoader9.10989(по классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Начнем с антивирусного теста. Более двух третей антивирусов благополучно прохлопали это чудо, и этому есть свое объяснение, об этом будет позже.
Так же данная ВП (вредоносная программа) снабжена щитком UAC, то бишь без повышения прав не запускается.
Безымянный2.jpg


Начинает программа с распаковки себя в %TEMP%

Date & Time: 18.05.2013 13:14:02
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\$inst\2.tmp
TID: 1772
Duration: 0.0001780
Desired Access: Generic Write, Read Attributes
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created

Далее копирует в папку C:\Windows\System32\oobe\info\backgrounds .bat файл и картинку.
Кстати картинка ничо так, любители всяких кошачьих оценят :)


Date & Time: 18.05.2013 13:14:02
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Windows\System32\oobe\info\backgrounds\block.bat
TID: 1772
Duration: 0.0000780
Desired Access: Generic Write, Read Attributes
Disposition: OpenIf
Options: Sequential Access, Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created
Date & Time: 18.05.2013 13:14:02
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Windows\System32\oobe\info\backgrounds\backgroundDefault.jpg
TID: 1772
Duration: 0.0009867
Desired Access: Generic Write, Read Attributes
Disposition: OpenIf
Options: Sequential Access, Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created

backgroundDefault.jpg



Зачем то прописывает себя в установку и удаление программ :) Причем с путем на C:\Program Files\Google\Google Chrome\Uninstall.exe

Date & Time: 18.05.2013 13:14:02
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome 24.00\DisplayName
TID: 1772
Duration: 0.0001481
Type: REG_SZ
Length: 40
Data: Google Chrome 24.00



Далее добавляет эту картинку на окно входа в систему

Date & Time: 18.05.2013 13:14:03
Event Class: Process
Operation: Process Start
Result: SUCCESS
Path:
TID: 916
Duration: 0.0000000
Parent PID: 912
Command line: reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\Background" /v OEMBackground /t reg_dword /d 1 /f
Current directory: C:\Windows\system32\oobe\info\backgrounds\

Следующий шаг - смена пароля пользователя через утилиту net.exe

Date & Time: 18.05.2013 13:14:03
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 916
Duration: 0.0000000
PID: 1624
Command line: net user Freelncr "7997"

Повторяет то же самое через утилиту net1.exe

Date & Time: 18.05.2013 13:14:03
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net1.exe
TID: 2024
Duration: 0.0000000
PID: 1960
Command line: C:\Windows\system32\net1 user Freelncr "7997"

Блокирует компьютер.

Date & Time: 18.05.2013 13:14:03
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\rundll32.exe
TID: 916
Duration: 0.0000000
PID: 1912
Command line: RUNDLL32.exe USER32.dll,LockWorkStation

Удаляет свои временные файлы.

Date & Time: 18.05.2013 13:14:03
Event Class: File System
Operation: SetDispositionInformationFile
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\$inst
TID: 1772
Duration: 0.0000125
Delete: True
Безымянный3.jpg



Резюме:
Программа отличается весьма нетипичным поведением, что вызывает трудности с ее обнаружением у антивирусов. Есть мнение, что эта зараза разработана оголтелыми зелеными в поддержку амурских тигров :)
В системе никак себя не прописывает, опасности практически не представляет.

Лечение: Не требуется.
 

Вложения

  • LogfileChrome.rar
    27.9 КБ · Просмотры: 4

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 207
Если возможно, можно проанализировать этот вирус, делает синий экран смерти (Не фейк), более того у меня чуть не спалил ноут и обнулил настройки Оутпоста...

Долго его не обнаруживали антивирусы, сейчас правда обнаруживают уже !

В своё время создавал тему здесь:http://ru-sphere.ru/threads/Очень-опасный-вирус.501/

Пароль:111
 

Вложения

  • Deals_Win.rar
    405 байт · Просмотры: 8

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Если возможно, можно проанализировать этот вирус, делает синий экран смерти (Не фейк), более того у меня чуть не спалил ноут и обнулил настройки Оутпоста...

Долго его не обнаруживали антивирусы, сейчас правда обнаруживают уже !

В своё время создавал тему здесь:http://ru-sphere.ru/threads/Очень-опасный-вирус.501/

Пароль:111

Попробую сегодня-завтра. Запороть железо через виртуальную машину он сможет, нет.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 207
Попробую сегодня-завтра. Запороть железо через виртуальную машину он сможет, нет.
Он по мойму на виртуалбоксе не запустится, я на реальной тестил, ну что-то ноут стал трещать вовремя его выключил, видно в каком-то драйвере ошибку делает...

Кроме синего экрана смерти вроде ничего не должен делать, но уменя почему-то Оутпост заглючил, что привело к обнулению настроек, видимо глюк в программе произощёл !
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Анализ вредоносной программы из архива Deals_Win
Trojan.Siggen4.53961 (по классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Собственно данная вредоносная программа выполняет ровно одно действие:
Это запуск утилиты taskkill с ключом /IM "wininit.exe" /T /F
Т.е. всего лишь убивает процесс winnit.exe, что приводит к закономерному БСОДу.
Для интереса попробуйте убить на своем компьютере этот процесс big010101

Никаких драйверов данный вирус не затрагивает, ошибки возникают в силу самого внезапного завершения работы.


Date & Time: 19.05.2013 12:00:22
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\System32\taskkill.exe
TID: 3352
Duration: 0.0000000
PID: 3364
Command line: "C:\Windows\System32\taskkill.exe" /IM "wininit.exe" /T /F


Безымянный.jpg



Резюме:
UAC заблокировал выполнение taskkill, процесс вируса завершил свою работу с ошибкой.
В систему вирус себя не прописывает, опасности не представляет.
В силу малой угрозы обнаружение данного вируса через эвристику невозможно, только по конкретным сигнатурам, поэтому он долгое время не ловился антивирусами.
 

Вложения

  • LogfileDealsW.rar
    19.1 КБ · Просмотры: 5

DeRo

独家
Форумчанин
Регистрация
26.01.2013
Сообщения
33
Репутация
60
Вот еще файл, протестируй если есть свободное время!
Winlock
Pass: 111
[HIDE=20]
http://rghost.ru/private/46263752/3415eb16f473e47c99e45eb022b447bc
[/HIDE]
 
Автор темы Похожие темы Форум Ответы Дата
virt Обзоры новых вирусов 0
Верх Низ