Анализ вирусов посредством ProcMon и ProcExp

[модемщик]

Прошу уважаемых форумчан помочь с поиском:
Trojan.Mods.1 ака Trojan.Redirect.140
Trojan.ArchiveLock.20
Trojan.Hosts (любой из свежих)
Trojan.Winlock (любой из свежих)
Win32.HLLP.Neshta (или подобный червь)

В свою очередь обещаю выложить обзор с пошаговым разбором действий этих зверьков под микроскопом "ProcMon"а, плюс защита и лечение посредством средств Sysinternals и windows.

 

[0eck]

Trojan.Winlock (любой из свежих)

Вроде винлок от 02.05.2013
Второй от 27.04.2013
пароль infected
[HIDE=3]

[/HIDE]

 

[модемщик]

Вроде винлок от 02.05.2013
Второй от 27.04.2013
пароль infected
***Скрытый текст***

Спасибо, начнем.

 

[модемщик]

Как и обещал - анализ вредоносной программы в архиве dREbbSq.rar,
Trojan.PWS.Stealer.1932 (По классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.


Началось все с эпик фэйла, защитник виндовс зарубил софтину на корню, пришлось трояну помочь, разрешив его выполнение.
Далее произошло следующее

Троян почитал настройки интернета, поковырялся в истории ИЕ, в кукисах, изменил настройки безопасности зон интранета, и полез на сервер 37.10.104.92:4915 никаких данных не передавал, скорее всего получил файл фейкового хоста.

После этого создал в %temp% фейковый hosts, попытался создать тот же файл в папке Windows, на что ему не хватило доступа. В файле, на самом донышке обнаружились записи перенаправляющие страницы входа соцсетей mail, vk, odnoklassniki на сервер зловредов. Т.е. пользователь при попытке входа в соцсети подарит свои учетные данные, плюс для восстановления доступа к соцсетям ему предложат привязать анкету к телефону(ещё и с денежкой расстанется)
Но пока этот файл мирно покоится в папке %temp% и ничем нам не угрожает, Зловредный код все ещё не активирован.
Далее идет активация cmd.exe
"C:\Windows\System32\cmd.exe" /c copy C:\Windows\system32\drivers\etc\hosts C:\Windows\system32\drivers\etc\hosts.sam /Y && at 22:49:00 /every:M,T,W,Th,F,S,Su cmd.exe "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\Freelncr\AppData\Local\Temp\1857847aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"
Эти данные позднее будут переданы в at.exe(приложения для создания назначенных заданий)

Все таки нам приходится ещё раз помочь трояну, и мы повышаем привилегию процесса.
после успешного старта cmd.exe родительский процесс 622блабла.exe завершает свою работу и больше не запускается никогда.

at.exe создает задание

Данное задание периодически заменяет нормальный хост фейковым.

После создания задачи все процессы завершаются, и далее вся работа ложится на планировщик, который тупо будет заменять хост фейковым.

Лечение.
Для маскировки троян больше не проявляет себя, оставив только задание в планировщике, в котором никакого вредоносного кода нет, только стандартная операция копирования. С большой вероятностью даже при обнаружении антивирусом тела, и очистки hosts задание будет продолжать исправно работать.
Сооствественно лечение состоит в удалении тела, задания и файла hosts.
Просмотр Autoruns, ProcExp, ProcMon после перезагрузки никаких следов деятельности трояна не показал, излечение полное. Записей в автозагрузке троян не оставляет, никакие системные файлы не модифицирует.
Ну и напоследов разница между фейковым хостом и настоящим:

 

[X-Shar]

Классный обзор, спасибо !

 

[модемщик]

Обзор винлокера из архива DMWD.rar
Trojan.Winlock.6049 (по классификации Dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Пробный пуск выдал ожидаемый результат.

Запуск в безопасном режиме выдал то же самое

Следующей попыткой был запущен безопасный режим с поддержкой командной строки.
Отличительной чертой этого режима является то, что вместо стандартного shell запускается cmd.exe, что в нашем случае привело к штатному запуску.

Запустить оттуда autoruns было делом 10 секунд.

Как мы видим троянец обосновался HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell заменив собой explorer.exe
и в HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ банально добавив себя в автозагрузку пользователя.
Лечение в нашем случае - это удаление ключей из run и замене exeшника вируса в Shell на explorer.exe Можно удалить тело вируса, но это совсем необязательно.

Теперь разбор в ProcMon.
Т.к. троян надежно блокирует все попытки завершить свой процесс, а посмотреть шо там у него внутри procmonом очень хочется мы воспользуемся тем, что прописывает он себя HKCU, т.е. в реестр конкретного пользователя. Мы создадим второго тестового пользователя с админскими правами. Если бы троян прописывал бы себя HKLM, то особой проблемы бы это тоже не вызвало, мы бы просто сняли fullaccess права пользователей с нужной ветки, и троян бы не смог записать ничего(при условии, что UAC включен)
Теперь мы запускаем трояна и нажатием трех волшенбных кнопок меняем пользователя. Далее мы завершаем процесс и возвращаемся обратно

Далее анализируем то, что нам насобирал ProcMon

В итоге получается, что данный winlock - творение очень ленивых разработчиков. По факту каждую свою загрузку он прописывает себя в Shell и в Run.
Дальше вы видите, как через csrss он задает параметры окон для текущих объектов. Например ставит себе размер в полный экран, выдвигает себя на первый план.

Собственно проблема состоит в fullaccess правах пользователей на такие ветки реестра как HKCU..... Shell и Run.

 

[X-Shar]

По поводу винлоков, здесь на сайте есть исходники, старющие правда, ну думаю современные не далеко ушли, их тоже при желании можно проанализировать, вот этот шифрует данные на компе, а потом просит отправить СМС:http://ru-sphere.ru/threads/Исходник-программы-вымогателя.158/

А вот этот совсем простенький, но примечателен тем, что написан на Делфи, его исходник можно глянуть:http://ru-sphere.ru/threads/Простенький-trojan-winlock-на-делфи.109/

 

[модемщик]

По поводу винлоков, здесь на сайте есть исходники, старющие правда, ну думаю современные не далеко ушли, их тоже при желании можно проанализировать, вот этот шифрует данные на компе, а потом просит отправить СМС/

Вот спасибо, как раз то, что нужно.

Ещё бы только боевого свежего червя найти.

 

[X-Shar]

Win32.HLLP.Neshta

Удалось найти исходник, написан на делфи, не компилировал, т.к. делфи у меня не установлен, установлен только C++ Bulder 6, обычно в нём пишу, как-то после института, открывать Делфи не хочу, да и высокоуровневым программированием что-то уже давно не занимаюсь, пишу в основном в Кейле...

Вот если нужно исходник Win32.HLLP.Neshta, во вложении 99_worm.zip !

Вот и нашёл какой-то Вирус Penetrator не знаю червь это, или нет, вот его особенности:

1.Долбит файлы формата( avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip)
2.Меняет файлы картинок и текстовых форматов на свой(penetrator, нах..уй послана сука....И т.п)
3.Блокирует антивирусы(если комп им заражён) и становится для них невидимым
4.Ему чихать на безопасный режим
5.Долбит всё по локальной сети.........
и т.п

Ps: Вирус действует не сразу,а лишь в определённые числа !

Во вложении:80_penetr.rar

Пароль:3256

 

[X-Shar]

Вот удалось вытащить на одном хакерском сайте из под хайда 15 лайков червяка, в начале хотел по хорошему, набрал 15-ть, а потом оказалось, что это лайки, меня ещё и забанили за флуд, пришлось по плохому, зря время только потерял...

В общем, что делает этот червяк:

Zunker+Zupacha — контрольный центр управления ботнетом и бот-клиент.

Полный функционал Zupacha был довольно внушительным. Помимо загрузки других файлов в систему его основной задачей было дальнейшее самораспространение. Об одном из таких способов (встраивании своих текстов в сообщения на форумах) мы писали выше. Всего же Zupacha мог «спамить» свои ссылки тремя способами:

ICQ\Jabber-спам. Тексты со ссылкой на вредоносные сайты добавляются во все сообщения, которые пользователь отправляет из этих Instant Messengers.
Web-спам. Тексты добавляются в любые веб-формы, заполняемые пользователем. Как правило, это форумы, а также веб-интерфейсы почтовых систем.
Почтовый спам. Текст добавляется к тексту писем пользователя.

Необходимо отметить, что во всех этих случаях Zupacha самостоятельно не инициирует рассылку сообщений всеми описанными методами. Он только контролирует активность пользователя и добавляет свои тексты в любые исходящие сообщения, причем сам пользователь этого не видит.

Однако Zupacha не занимается кражей данных — это всего лишь самораспространяющийся троянец-загрузчик. Следовательно, он не мог выступить в роли пресловутого «универсального» кода.

Это червь хоть не самый новый, но что-то в паблике скрывается под хайдом аж 100 сообщений, либо лайков 10-15, а здесь можно его и так скачать для теста.

Основной файл вируса config/file.exe, а config/config.exe, его настройки, раньше продавался...

Как указывают в Panda, программа отличается продуманностью и простотой в использовании. Zunker делит сети по странам и выдает отчеты по каждому боту: сколько спама он разослал и какое ПО было использовано для отправки.

По словам специалистов Panda, в Zunker впервые для программ подобного рода в одном интерфейсе интегрированы функции управления и мониторинга. По данным Panda Software, программа используется для управления десятками тысяч ПК не менее чем в 54 странах.

Пароль:111