REG :
осамом выделил 2 позиции
оба файла сначала завайпил, потом фаст ребут, потом удалил их оба
секторного вируса не обнаружил
проверил утилитой TDSSRemover и BootkitRemover, все ок
вторник, 8 декабря 2009 г.
По мотивам killav
REG : ../Winlogon/Notify/ : linkap.dll
REG :.sys
осамом выделил 2 позиции
оба файла сначала завайпил, потом фаст ребут, потом удалил их оба
секторного вируса не обнаружил
проверил утилитой TDSSRemover и BootkitRemover, все ок
REG :
осамом выделил 2 позиции
оба файла сначала завайпил, потом фаст ребут, потом удалил их оба
секторного вируса не обнаружил
проверил утилитой TDSSRemover и BootkitRemover, все ок
Назойливая реклама от CMedia
Давненько о свежачке не писал. Вчера юзверь подцепил такое вот чудо.
Одна запись в автозагрузке (убирается в осаме) - помойму shell extension
И на всякий случай зануляются CMedia.dll и другие интересныя файлы в папках ../Application Data/CMedia/* + CMedia.dat в Application Data
Файл этот (cmedia.dat) содержит пошифрованные по всей видимости base64 строки. Расшифровывать пока не стал. Где там число показов, на первый взгляд не понятно
На хабре предлагался способ
http://habrahabr.ru/blogs/infosecurity/71412/
но он не прокатил, видимо модификация другая
ЗЫ, Cureit обнаружыл таки эту dll и даже попытался ее удалить.
Одна запись в автозагрузке (убирается в осаме) - помойму shell extension
И на всякий случай зануляются CMedia.dll и другие интересныя файлы в папках ../Application Data/CMedia/* + CMedia.dat в Application Data
Файл этот (cmedia.dat) содержит пошифрованные по всей видимости base64 строки. Расшифровывать пока не стал. Где там число показов, на первый взгляд не понятно
На хабре предлагался способ
http://habrahabr.ru/blogs/infosecurity/71412/
но он не прокатил, видимо модификация другая
ЗЫ, Cureit обнаружыл таки эту dll и даже попытался ее удалить.
вторник, 31 марта 2009 г.
abp470n5. Второе пришествие
Залетела ко мне новая версия уже знакомого вируса, ага.
это пакет вирусов, состоящий из
troyan.ntrootkit.738 rilixkon.dat.bak
troyan.ntrootkit.1148 tqangxwg.dat
win32.sector.17
troyan.pws.multi.29 win*.exe
troyan.mailspam.41 dc*.exe
troyan.spambot.3378 dc*.exe
обнаружены также win32.hllw.autoruner.5122, но кмк они отношения к пакету не имеют
Отключают регедит, таскманагер и показ скрытых-системных файлов. Внимание! Эти ключи реестра мониторятся и восстанавливаются, так что их править в последнюю очередь.
файлы win*.exe запускают netsh со скрытым окном с целью прописать себя в доверенные приложения в windows firewall
от доступа их к интернету помогает установка опции недопущения исключений.
файлы содержат личную информацию (какую - не понятно), имхо генерируются на лету. судя по всему вирус умеет
выдирать почтовые адреса из программы google talk.
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
0004E860 68 74 74 70 3A 2F 2F 6D hххp://m
0004E870 69 63 72 6F 75 70 64 61 74 65 31 34 2E 69 6E 66 icroupdate14.inf
0004E880 6F 2F 69 66 72 61 6D 65 2E 74 78 74 00 00 00 00 o/iframe.txt....
0004E890 68 74 74 70 3A 2F 2F 6B 75 6B 75 74 72 75 73 74 hххp://kukutrust
0004E8A0 6E 65 74 38 38 38 2E 69 6E 66 6F 2F 69 66 72 61 net888.info/ifra
0004E8B0 6D 65 2E 74 78 74 00 00 68 74 74 70 3A 2F 2F 67 me.txt..hххp://g
0004E8C0 6F 6F 6F 6F 67 6C 65 61 64 73 65 6E 63 65 2E 62 oooogleadsence.b
0004E8D0 69 7A 2F 00 3C 69 66 72 61 6D 65 20 73 72 63 3D iz/.<ифрейм src=
0004E8E0 22 68 74 74 70 3A 2F 2F 67 6F 6F 6F 6F 67 6C 65 "hххp://goooogle
0004E8F0 61 64 73 65 6E 63 65 2E 62 69 7A 2F 3F 63 6C 69 adsence.biz/?cli
0004E900 63 6B 3D 25 58 22 20 77 69 64 74 68 3D 31 20 68 ck=%X" width=1 h
0004E910 65 69 67 68 74 3D 31 20 73 74 79 6C 65 3D 22 76 eight=1 style="v
0004E920 69 73 69 62 69 6C 69 74 79 3A 68 69 64 64 65 6E isibility:hidden
0004E930 3B 70 6F 73 69 74 69 6F 6E 3A 61 62 73 6F 6C 75 ;position:absolu
0004E940 74 65 22 3E 3C 2F 69 66 72 61 6D 65 3E 00 00 00 te">...
0004E950 65 63 68 6F 20 22 3C 69 66 72 61 6D 65 20 73 72 echo "<ифрейм sr
0004E960 63 3D 5C 22 68 74 74 70 3A 2F 2F 67 6F 6F 6F 6F c=\"hххp://goooo
0004E970 67 6C 65 61 64 73 65 6E 63 65 2E 62 69 7A 2F 3F gleadsence.biz/?
0004E980 63 6C 69 63 6B 3D 25 58 5C 22 20 77 69 64 74 68 click=%X\" width
0004E990 3D 31 20 68 65 69 67 68 74 3D 31 20 73 74 79 6C =1 height=1 styl
0004E9A0 65 3D 5C 22 76 69 73 69 62 69 6C 69 74 79 3A 68 e=\"visibility:h
0004E9B0 69 64 64 65 6E 3B 70 6F 73 69 74 69 6F 6E 3A 61 idden;position:a
0004E9C0 62 73 6F 6C 75 74 65 5C 22 3E 3C 2F 69 66 72 61 bsolute\">
судя по всему, ломится на сайты, указанные в дампе и встраивает ифреймы в страницы, открываемые в браузере.
на флэшки записывается боекомплект, состоящий из autorun.inf и зараженного win32.sector.17 файла pkwsgv.pif. Этот боекомплект выслал заради хохмы в лабораторию Доктора Веба. Самое забавное, что по отдельности таки частично файлы вируса детектируются кьюритом.
разумеется, загрузка в безопасном режиме вылетает с синим экраном.
создается запись в реестре про сервис abp470n5 для файла gkjrkk.sys
файл после перезагрузки может называться иначе. Примеры: okprn.sys, frmrn.sys
этот файл на диске не существует.
запись в реестре появляется после перезагрузки. Удалось добиться пропадания этой записи после избавления от Sector.17
заражаются Sector.17 в первую очередь файлы, стоящие в автозагрузке и находящиеся в папке Desktop, а также в шарах.
Схема лечения такова. Отключаемся от сети. Далее грузимся с LiveCD и прогоняем свежим антивирусом, дабы загрызть Sector.17. Загрузка с CD даст возможность выгрызть файлы, которые при загрузке не Далее останется выкинуть из реестра записи автозагрузки и восстановить загрузку таскманагера, регедита и показ скрытых и системных файлов.
Если нет LiveCD... Делаем так. Ставим в msconfig "чистую" загрузку, перегружаемся, сканим свежим антивирусом. Правда, не знаю, прибьет ли оно залоченные файлы, но их, есличо, можно завайпить с пом. RkU. Далее по стандартной схеме
это пакет вирусов, состоящий из
troyan.ntrootkit.738 rilixkon.dat.bak
troyan.ntrootkit.1148 tqangxwg.dat
win32.sector.17
troyan.pws.multi.29 win*.exe
troyan.mailspam.41 dc*.exe
troyan.spambot.3378 dc*.exe
обнаружены также win32.hllw.autoruner.5122, но кмк они отношения к пакету не имеют
Отключают регедит, таскманагер и показ скрытых-системных файлов. Внимание! Эти ключи реестра мониторятся и восстанавливаются, так что их править в последнюю очередь.
файлы win*.exe запускают netsh со скрытым окном с целью прописать себя в доверенные приложения в windows firewall
от доступа их к интернету помогает установка опции недопущения исключений.
файлы содержат личную информацию (какую - не понятно), имхо генерируются на лету. судя по всему вирус умеет
выдирать почтовые адреса из программы google talk.
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
0004E860 68 74 74 70 3A 2F 2F 6D hххp://m
0004E870 69 63 72 6F 75 70 64 61 74 65 31 34 2E 69 6E 66 icroupdate14.inf
0004E880 6F 2F 69 66 72 61 6D 65 2E 74 78 74 00 00 00 00 o/iframe.txt....
0004E890 68 74 74 70 3A 2F 2F 6B 75 6B 75 74 72 75 73 74 hххp://kukutrust
0004E8A0 6E 65 74 38 38 38 2E 69 6E 66 6F 2F 69 66 72 61 net888.info/ifra
0004E8B0 6D 65 2E 74 78 74 00 00 68 74 74 70 3A 2F 2F 67 me.txt..hххp://g
0004E8C0 6F 6F 6F 6F 67 6C 65 61 64 73 65 6E 63 65 2E 62 oooogleadsence.b
0004E8D0 69 7A 2F 00 3C 69 66 72 61 6D 65 20 73 72 63 3D iz/.<ифрейм src=
0004E8E0 22 68 74 74 70 3A 2F 2F 67 6F 6F 6F 6F 67 6C 65 "hххp://goooogle
0004E8F0 61 64 73 65 6E 63 65 2E 62 69 7A 2F 3F 63 6C 69 adsence.biz/?cli
0004E900 63 6B 3D 25 58 22 20 77 69 64 74 68 3D 31 20 68 ck=%X" width=1 h
0004E910 65 69 67 68 74 3D 31 20 73 74 79 6C 65 3D 22 76 eight=1 style="v
0004E920 69 73 69 62 69 6C 69 74 79 3A 68 69 64 64 65 6E isibility:hidden
0004E930 3B 70 6F 73 69 74 69 6F 6E 3A 61 62 73 6F 6C 75 ;position:absolu
0004E940 74 65 22 3E 3C 2F 69 66 72 61 6D 65 3E 00 00 00 te">...
0004E950 65 63 68 6F 20 22 3C 69 66 72 61 6D 65 20 73 72 echo "<ифрейм sr
0004E960 63 3D 5C 22 68 74 74 70 3A 2F 2F 67 6F 6F 6F 6F c=\"hххp://goooo
0004E970 67 6C 65 61 64 73 65 6E 63 65 2E 62 69 7A 2F 3F gleadsence.biz/?
0004E980 63 6C 69 63 6B 3D 25 58 5C 22 20 77 69 64 74 68 click=%X\" width
0004E990 3D 31 20 68 65 69 67 68 74 3D 31 20 73 74 79 6C =1 height=1 styl
0004E9A0 65 3D 5C 22 76 69 73 69 62 69 6C 69 74 79 3A 68 e=\"visibility:h
0004E9B0 69 64 64 65 6E 3B 70 6F 73 69 74 69 6F 6E 3A 61 idden;position:a
0004E9C0 62 73 6F 6C 75 74 65 5C 22 3E 3C 2F 69 66 72 61 bsolute\">
судя по всему, ломится на сайты, указанные в дампе и встраивает ифреймы в страницы, открываемые в браузере.
на флэшки записывается боекомплект, состоящий из autorun.inf и зараженного win32.sector.17 файла pkwsgv.pif. Этот боекомплект выслал заради хохмы в лабораторию Доктора Веба. Самое забавное, что по отдельности таки частично файлы вируса детектируются кьюритом.
разумеется, загрузка в безопасном режиме вылетает с синим экраном.
создается запись в реестре про сервис abp470n5 для файла gkjrkk.sys
файл после перезагрузки может называться иначе. Примеры: okprn.sys, frmrn.sys
этот файл на диске не существует.
запись в реестре появляется после перезагрузки. Удалось добиться пропадания этой записи после избавления от Sector.17
заражаются Sector.17 в первую очередь файлы, стоящие в автозагрузке и находящиеся в папке Desktop, а также в шарах.
Схема лечения такова. Отключаемся от сети. Далее грузимся с LiveCD и прогоняем свежим антивирусом, дабы загрызть Sector.17. Загрузка с CD даст возможность выгрызть файлы, которые при загрузке не Далее останется выкинуть из реестра записи автозагрузки и восстановить загрузку таскманагера, регедита и показ скрытых и системных файлов.
Если нет LiveCD... Делаем так. Ставим в msconfig "чистую" загрузку, перегружаемся, сканим свежим антивирусом. Правда, не знаю, прибьет ли оно залоченные файлы, но их, есличо, можно завайпить с пом. RkU. Далее по стандартной схеме
среда, 11 марта 2009 г.
KIDO
Попался таки и мне этот чудо-зверек ;)
Порадовал обфусцированный autorun.inf, идея очень интересная. Сначала подумал, что это типа эксплойта на explorer, однако позже отказался от этой мысли.
Собственно удаление зверька не составило больших хлопот, единственно что жизненно необходимо установить критические апдейты на Windows.
Процесс удаления достаточно кратко, но емко описан на сайте касперского. Даже тулза предлагается kidokiller. Впрочем, пользоваться ей - неспортивно, да и доступа в интернет у меня не было ;)
В моей вариации в netsvcs добавлялся сервис с названием puiik и длл-ка в system32, начинающаяся на q. Под руками не было привычных инструментов (osam, rku) , но был самописный QuickReboot и Filemon/Regmon от Руссиновича; пришлось вспомнить, что в Windows есть вполне се полезные программки MsInfo32 и MsConfig.
Удалось все удалить при помощи регедита и вышеозначенного софта. Самая большая сложность - идентифицировать, где засел зверек. Поскольку удалось снять проблему записи на флэшку autorun.inf и recycled выгрузив svchost с netsvcs ('это разумеется было сделано с пом. ProcessExplorer) и explorer было определено, што злодрайвер сидит там и возможно dll в расширении оболочки.
Порадовал обфусцированный autorun.inf, идея очень интересная. Сначала подумал, что это типа эксплойта на explorer, однако позже отказался от этой мысли.
Собственно удаление зверька не составило больших хлопот, единственно что жизненно необходимо установить критические апдейты на Windows.
Процесс удаления достаточно кратко, но емко описан на сайте касперского. Даже тулза предлагается kidokiller. Впрочем, пользоваться ей - неспортивно, да и доступа в интернет у меня не было ;)
В моей вариации в netsvcs добавлялся сервис с названием puiik и длл-ка в system32, начинающаяся на q. Под руками не было привычных инструментов (osam, rku) , но был самописный QuickReboot и Filemon/Regmon от Руссиновича; пришлось вспомнить, что в Windows есть вполне се полезные программки MsInfo32 и MsConfig.
Удалось все удалить при помощи регедита и вышеозначенного софта. Самая большая сложность - идентифицировать, где засел зверек. Поскольку удалось снять проблему записи на флэшку autorun.inf и recycled выгрузив svchost с netsvcs ('это разумеется было сделано с пом. ProcessExplorer) и explorer было определено, што злодрайвер сидит там и возможно dll в расширении оболочки.
понедельник, 16 февраля 2009 г.
Новый зверь
Беглый взгляд показал следующее:
1. Подозриительный драйвер krnqmm.sys (имя abp470n5)(?)
2. нотифи на креатепроцесс, пересоздается
3. не дает открыть касперски.ру и прочие
4. не дает открывать avp, кав, дрвеб
5. запускает два своих процесса из под каждого вновь создаваемого
6. не дает копировать известные ему ав - например cureit
7. Трюк с fixmbr под вендой не прокатил, надо пробовать с бутсд, а его щас нет.
8. Exe файлы поголовно заражены Tanatos.M, Win32/Heur. Лечим по сети щас.
Анализ.
Быстренько проглядел krnqmm.sys, сдампенный с виктима с помощью рку
Обрадовало наличие строк
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
00000D20 00 75 70 6C 6F 61 64 5F 76 .upload_v
00000D30 69 72 75 73 00 00 00 00 73 61 6C 69 74 79 2D 72 irus....sality-r
00000D40 65 6D 6F 76 00 00 00 00 76 69 72 75 73 69 6E 66 emov....virusinf
00000D50 6F 2E 00 00 63 75 72 65 69 74 2E 00 64 72 77 65 o...cureit..drwe
00000D60 62 2E 00 00 6F 6E 6C 69 6E 65 73 63 61 6E 2E 00 b...onlinescan..
00000D70 73 70 79 77 61 72 65 69 6E 66 6F 2E 00 00 00 00 spywareinfo.....
00000D80 65 77 69 64 6F 2E 00 00 76 69 72 75 73 73 63 61 ewido...virussca
00000D90 6E 2E 00 00 77 69 6E 64 6F 77 73 65 63 75 72 69 n...windowsecuri
00000DA0 74 79 2E 00 73 70 79 77 61 72 65 67 75 69 64 65 ty..spywareguide
00000DB0 2E 00 00 00 62 69 74 64 65 66 65 6E 64 65 72 2E ....bitdefender.
00000DC0 00 00 00 00 70 61 6E 64 61 73 6F 66 74 77 61 72 ....pandasoftwar
00000DD0 65 2E 00 00 61 67 6E 6D 69 74 75 6D 2E 00 00 00 e...agnmitum....
00000DE0 76 69 72 75 73 74 6F 74 61 6C 2E 00 73 6F 70 68 virustotal..soph
00000DF0 6F 73 2E 00 74 72 65 6E 64 6D 69 63 72 6F 2E 00 os..trendmicro..
00000E00 65 74 72 75 73 74 2E 63 6F 6D 00 00 73 79 6D 61 etrust.com..syma
00000E10 6E 74 65 63 2E 00 00 00 6D 63 61 66 65 65 2E 00 ntec....mcafee..
00000E20 66 2D 73 65 63 75 72 65 2E 00 00 00 65 73 65 74 f-secure....eset
00000E30 2E 63 6F 6D 00 00 00 00 6B 61 73 70 65 72 73 6B .com....kaspersk
00000E40 79 y
Гыгыгы, что-то мне это уже напоминает ;о)
Еще один символичный кусочек
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
00000B10 5C 00 44 00 65 00 76 00 69 00 63 00 65 00 5C 00 \.D.e.v.i.c.e.\.
00000B20 49 00 50 00 46 00 49 00 4C 00 54 00 45 00 52 00 I.P.F.I.L.T.E.R.
00000B30 44 00 52 00 49 00 56 00 45 00 52 00 D.R.I.V.E.R.
AVG, как видно из анализа выше, этот вирус недооценивает, поэтому файловые инфекции успешно были полечены бесплатным AVG-ом
От автозагрузки драйвера krnqmm.sys удалось избавиться, убрав из автозагрузки его и sptd.sys
1. Подозриительный драйвер krnqmm.sys (имя abp470n5)(?)
2. нотифи на креатепроцесс, пересоздается
3. не дает открыть касперски.ру и прочие
4. не дает открывать avp, кав, дрвеб
5. запускает два своих процесса из под каждого вновь создаваемого
6. не дает копировать известные ему ав - например cureit
7. Трюк с fixmbr под вендой не прокатил, надо пробовать с бутсд, а его щас нет.
8. Exe файлы поголовно заражены Tanatos.M, Win32/Heur. Лечим по сети щас.
Анализ.
Быстренько проглядел krnqmm.sys, сдампенный с виктима с помощью рку
Обрадовало наличие строк
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
00000D20 00 75 70 6C 6F 61 64 5F 76 .upload_v
00000D30 69 72 75 73 00 00 00 00 73 61 6C 69 74 79 2D 72 irus....sality-r
00000D40 65 6D 6F 76 00 00 00 00 76 69 72 75 73 69 6E 66 emov....virusinf
00000D50 6F 2E 00 00 63 75 72 65 69 74 2E 00 64 72 77 65 o...cureit..drwe
00000D60 62 2E 00 00 6F 6E 6C 69 6E 65 73 63 61 6E 2E 00 b...onlinescan..
00000D70 73 70 79 77 61 72 65 69 6E 66 6F 2E 00 00 00 00 spywareinfo.....
00000D80 65 77 69 64 6F 2E 00 00 76 69 72 75 73 73 63 61 ewido...virussca
00000D90 6E 2E 00 00 77 69 6E 64 6F 77 73 65 63 75 72 69 n...windowsecuri
00000DA0 74 79 2E 00 73 70 79 77 61 72 65 67 75 69 64 65 ty..spywareguide
00000DB0 2E 00 00 00 62 69 74 64 65 66 65 6E 64 65 72 2E ....bitdefender.
00000DC0 00 00 00 00 70 61 6E 64 61 73 6F 66 74 77 61 72 ....pandasoftwar
00000DD0 65 2E 00 00 61 67 6E 6D 69 74 75 6D 2E 00 00 00 e...agnmitum....
00000DE0 76 69 72 75 73 74 6F 74 61 6C 2E 00 73 6F 70 68 virustotal..soph
00000DF0 6F 73 2E 00 74 72 65 6E 64 6D 69 63 72 6F 2E 00 os..trendmicro..
00000E00 65 74 72 75 73 74 2E 63 6F 6D 00 00 73 79 6D 61 etrust.com..syma
00000E10 6E 74 65 63 2E 00 00 00 6D 63 61 66 65 65 2E 00 ntec....mcafee..
00000E20 66 2D 73 65 63 75 72 65 2E 00 00 00 65 73 65 74 f-secure....eset
00000E30 2E 63 6F 6D 00 00 00 00 6B 61 73 70 65 72 73 6B .com....kaspersk
00000E40 79 y
Гыгыгы, что-то мне это уже напоминает ;о)
Еще один символичный кусочек
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
00000B10 5C 00 44 00 65 00 76 00 69 00 63 00 65 00 5C 00 \.D.e.v.i.c.e.\.
00000B20 49 00 50 00 46 00 49 00 4C 00 54 00 45 00 52 00 I.P.F.I.L.T.E.R.
00000B30 44 00 52 00 49 00 56 00 45 00 52 00 D.R.I.V.E.R.
AVG, как видно из анализа выше, этот вирус недооценивает, поэтому файловые инфекции успешно были полечены бесплатным AVG-ом
От автозагрузки драйвера krnqmm.sys удалось избавиться, убрав из автозагрузки его и sptd.sys
четверг, 22 января 2009 г.
twex.exe
TR/Spy.ZBot.krg
Симптоматика - не работает торрент-клиент.
Был обнаружен Авирой, вылечить его она, разумеется, не смогла.
В автозагрузке обнаружен twex.exe, разумеется, он скрытый. Удалить можно, загрузившись с бутсд. Также в автозагрузке обнаружены следы драйвера, которого на диске тоже нет. Т.о. подозрение на заразу в бут-секторе. Напишу позже более подробно.
ЗЫ На этот раз диагностика и лечение - "по телефону", т.е. по аське-почте, так что картина размытая
Симптоматика - не работает торрент-клиент.
Был обнаружен Авирой, вылечить его она, разумеется, не смогла.
В автозагрузке обнаружен twex.exe, разумеется, он скрытый. Удалить можно, загрузившись с бутсд. Также в автозагрузке обнаружены следы драйвера, которого на диске тоже нет. Т.о. подозрение на заразу в бут-секторе. Напишу позже более подробно.
ЗЫ На этот раз диагностика и лечение - "по телефону", т.е. по аське-почте, так что картина размытая
среда, 14 января 2009 г.
Проблемы с доступом в интернет
Ссылки на статьи микрософт по сабжу
http://support.microsoft.com/kb/299357
http://support.microsoft.com/kb/817571
http://support.microsoft.com/kb/811259
http://support.microsoft.com/kb/299357
http://support.microsoft.com/kb/817571
http://support.microsoft.com/kb/811259
Подписаться на:
Комментарии (Atom)