VBR Rootkit (Mayachok.2) вернулся

[K_Mikhail 807]

Обнаружился семпл, который неожиданно оказался реинкарнацией уже немного подзабытого VBR-руткита Trojan.Mayachok.2. Подзабытого хотя бы на фоне развязавшегося мешка с "безруткитным" Trojan.Mayachok.1.

Запустив его на виртуалке, увидев знакомую картину с перезагрузкой, первая мысль была - "маячок, сейчас из AppInit_DLLs либу достану". Однако, после перезагрузки Positive Technologies Startup Monitor промолчал. "Странно, неужто второй?" - подумалось. Оказалось, да:

1.VBA32Arkit, который показал Non-standard VBR:

2. Dr.Web CureIt!:

3. TDSSKiller:

Детекты на момент публикации:

- Дроппер

- Дамп VBR

Успешное лечение на момент публикации обеспечивается использованием VBA32Arkit (Restore VBR and force reboot) и TDSSKiller (Restore с последующей перезагрузкой компьютера).

[ak_ 395]

K_Mikhail, а не могли бы Вы проверить, лечит его Авира или нет?

[StamilT 15]

Успешное лечение на момент публикации обеспечивается использованием VBA32Arkit (Restore VBR and force reboot) и TDSSKiller (Restore с последующей перезагрузкой компьютера).

PowerToolV4.2 тоже удобен, только краши бывают у него.

[K_Mikhail 807]

K_Mikhail, а не могли бы Вы проверить, лечит его Авира или нет?

Брал Avira Antivirus Premium 2012 отсюда. Скачал к нему отдельно Avira AntiRootkit Tool, который сам по себе работать отказался, сославшись на то, что сначала нужно установить продукт. Если честно, этот момент я не осилил - зачем же тогда отдельно раздавать антируткит?

В самом продукте указал искать руткиты и прочие скрытые радости. Вот результат этой проверки:

На TR/Agent.vgw можно не обращать внимания - это фолс на RkU. Был найден скрытый объект, вот запись в логе по этому поводу:

Configuration settings for the scan:Jobname.............................: Scan for Rootkits and active malwareConfiguration file..................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\rootkit.avpLogging.............................: defaultPrimary action......................: interactiveSecondary action....................: ignoreScan master boot sector.............: onScan boot sector....................: onProcess scan........................: onExtended process scan...............: onScan registry.......................: onSearch for rootkits.................: onIntegrity checking of system files..: offScan all files......................: All filesScan archives.......................: onRecursion depth.....................: 20Smart extensions....................: onMacro heuristic.....................: onFile heuristic......................: CompleteStart of the scan: Saturday, February 11, 2012  10:58Starting search for hidden objects.Hidden driver  [NOTE]      A memory modification has been detected, which could potentially be used to hide file access attempts.

Как-то так...

PowerToolV4.2 тоже удобен, только краши бывают у него.

Спасибо, присмотрюсь к утилите.

UPD: Присмотрелся - интересная вещь, хотя бы в том плане, что умеет смотреть Award Bioskit как и сканер Dr.Web 7, но на VBR у меня хронически зависает. Попытки снять его процесс приводят к падению приложения.

[K_Mikhail 807]

Дальнейшее копание нашло ещё два дроппера этого "счастья":

Раз

Два

С лечением активного - всё без изменений относительно исходного сообщения по этой теме.

Основное отличие данной версии маячка.2 от его первых версий заключается в установке перехвата \Driver\atapi IRP_MJ_INTERNAL_DEVICE_CONTROL.

[vaber 350]

Вот интересно, какие вендоры первые пропиарятся на появлении этого варианта, а какие на лечении зараженных машин?

[StamilT 15]

Самый точный и чёткий детект на данный момент от Microsoft- TrojanDropper:Win32/Rovnix.B. То есть они в теме, что это новая модификация.

Но детекта в памяти нет.

[Юрий Паршин 330]

Детект и лечение в базах запилены и выпущены - Rootkit.Boot.Cidox.b.

TDSSKiller с именованным детектом на данную модификацию доступен здесь (на главный сайт только в понедельник выложим) - ftp://SLArchive-ro:vOs1onEcsM@data6.kaspe.../TDSSKiller.exe

[Danilka 678]

Ну пацаны ваще ребята!

[StamilT 15]

Great job, Blitskrieg

[K_Mikhail 807]

Перескан в качестве контрольной точки:

Дроппер 1

Дроппер 2

Дроппер 3

Дамп 1

Дамп 2

Дамп 3

[Dmitriy K 603]

Перескан в качестве контрольной точки:

https://www.virustotal.com/file/8ccddae1086...sis/1329001583/

[Сергей Ильин 1538]

В будущий тест на лечение активного заражения этот вариант подойдет нам или там принципиально ничего интересного?

[Юрий Паршин 330]

В будущий тест на лечение активного заражения этот вариант подойдет нам или там принципиально ничего интересного?

Подойдет. В этой версии он начал блокировать перезапись кода VBR c помощью перехвата IRP_MJ_SCSI в порт-драйвере.

[K_Mikhail 807]

UPD: В Dr.Web добавлен детект и лечение.

Сканер 6:

После перезагрузки система успешно вылечена.

Сканер 7 сдетектить сумел, а нейтрализовать - нет:

=============================================================================Dr.Web Scanner SE for Windows v7.0.1.12060© Doctor Web, Ltd., 1992-2011Scan session started 2012:02:13 16:29:15 Module location : C:\Program Files\DrWeb\=============================================================================Available instances: 2Instances used: 1Platform: Windows XP Professional x86 (Build 2600), Service Pack 2API Version: 2.2Scanning Engine version: 6.0.300.1310Virus Finding Engine version: 7.0.0.11250Total 30 virus bases are loaded from C:\Documents and Settings\All Users\Application Data\Doctor Web\Basesdrwtoday.vdb 7.0 (1058 records)dwf70000.vdb 7.0 (1 records)drwdaily.vdb 7.0 (1 records)drw70017.vdb 7.0 (19019 records)drw70016.vdb 7.0 (28028 records)drw70015.vdb 7.0 (29444 records)drw70014.vdb 7.0 (19353 records)drw70013.vdb 7.0 (20747 records)drw70012.vdb 7.0 (28052 records)drw70011.vdb 7.0 (12183 records)drw70010.vdb 7.0 (19984 records)drw70009.vdb 7.0 (22627 records)drw70008.vdb 7.0 (49580 records)drw70007.vdb 7.0 (45195 records)drw70006.vdb 7.0 (175536 records)drw70005.vdb 7.0 (170820 records)drw70004.vdb 7.0 (171279 records)drw70003.vdb 7.0 (170253 records)drw70002.vdb 7.0 (170291 records)drw70001.vdb 7.0 (170501 records)drw70000.vdb 7.0 (353582 records)drwebase.vdb 7.0 (852776 records)dwrtoday.vdb 7.0 (419 records)dwr70000.vdb 7.0 (1653 records)dwntoday.vdb 7.0 (500 records)dwn70001.vdb 7.0 (1523 records)dwn70000.vdb 7.0 (1805 records)drwrisky.vdb 7.0 (26456 records)drwnasty.vdb 7.0 (74279 records)dwp70000.vdb 7.0 (1 records)Total records count: 2636946Anti-rootkit module version (API 3.02 / 3.02)Using C:\Program Files\DrWeb\drweb32.key as Dr.Web ® Key fileThis Dr.Web ® Key is for 1 computer (SS Pro Beta tester)Using language : English-----------------------------------------------------------------------------Start scanning-----------------------------------------------------------------------------Limit the use of the processor to 50%Object(s) to scan:- Scan process in memory- Scan boot sectors- Scan startup directory- Scanning for rootkits - C:\44493.bat- C:\93732BFEC4.exe- C:\AUTOEXEC.BAT- C:\boot.ini- C:\CONFIG.SYS- C:\drweb7_vbr.PNG- C:\drw_remover.exe- C:\IO.SYS- C:\MSDOS.SYS- C:\NTDETECT.COM- C:\ntldr- C:\pagefile.sys- C:\WINDOWS\system32\- C:\Documents and Settings\Administrator\My Documents\- C:\WINDOWS\TEMP\- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Active OS/2 or NT Boot Sector HDD0 Partition1 - infected with Trojan.Mayachok.2Active OS/2 or NT Boot Sector HDD0 Partition1 - infected, incurableError during scan rootkits (0)Total 2578254 bytes in 7 files scanned (12 objects)Total 6 files (10 objects) are cleanTotal 1 file are infectedTotal 0 files (1 object) is incurableScan time is 00:00:08-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Active OS/2 or NT Boot Sector HDD0 Partition1 - cure errorTotal 2578254 bytes in 7 files scanned (12 objects)Total 6 files (10 objects) are cleanTotal 1 file are infectedTotal 0 files (1 object) is incurableScan time is 00:00:08

[RomaNNN 5]

K_Mikhail, можно спросить, это виртуалка или нет? Если да, то какая? Просто у меня на VMware один раз получилось заразить VBR первым семплом, но я пролечился TDSSkiller-ом, и теперь не хочет заражаться...даже перезагрузки нету...просто кликаю на файл, он пропадает и все...в чем может быть дело?

[K_Mikhail 807]

K_Mikhail, можно спросить, это виртуалка или нет? Если да, то какая? Просто у меня на VMware один раз получилось заразить VBR первым семплом, но я пролечился TDSSkiller-ом, и теперь не хочет заражаться...даже перезагрузки нету...просто кликаю на файл, он пропадает и все...в чем может быть дело?

VirtualBox 4.1.2.

У маячков (касается и .1 и .2) бывает проблема, когда они не хотят нормально заражать систему -- как раз описанный Вами признак, что файл просто удаляется, и всё.

У меня, допустим, на третьем семпле была подобная проблема - система на ребут не идёт, но VBR, тем не менее, заражается. И сканер дамп этого VBR не детектирует. Соответственно, не лечит систему.

Ещё момент - после указанного неудачного лечения после перезагрузки сканер обнаруживает .2 не только в VBR, и но и в MBR. После этого лечение становится успешным. Мистика...

[vaber 350]

Просто у меня на VMware один раз получилось заразить VBR первым семплом, но я пролечился TDSSkiller-ом, и теперь не хочет заражаться...даже перезагрузки нету...просто кликаю на файл, он пропадает и все...в чем может быть дело?

У маячков (касается и .1 и .2) бывает проблема, когда они не хотят нормально заражать систему -- как раз описанный Вами признак, что файл просто удаляется, и всё.

Угу, он обижается и не хочет заражать систему. Не терпит издевательств))

А проблема банальна: троян, при запуске, проверяет специальный ключ-маркер, дабы проверить, заражалась ли им система. А ключик создается после успешного инфицирования. Систему вылечили,а маккер остался. Потому нужно удалить ключ или трой не поставится.

[RomaNNN 5]

Знать бы еще, что за ключик такой...

[vaber 350]

Знать бы еще, что за ключик такой...

А это на домашнее задание

Используйте Regmon или дебаггер с бряком на RegOpenKeyA

[Valery Ledovskoy 1082]

Потому нужно удалить ключ или трой не поставится.

Или научиться пользоваться снэпшотами

[StamilT 15]

Или научиться пользоваться снэпшотами

Вот именно. Меня доставляет, когда люди не делают снимок чистой ОС и на одном снапшоте проводят все эксперименты

[Milord 55]

Так умные люди говорят что у VB кривой код? как с этим быть, хотя я слышал что вири часто палят именно VM, и не хотят её юзать.

[K_Mikhail 807]

Так умные люди говорят что у VB кривой код? как с этим быть, хотя я слышал что вири часто палят именно VM, и не хотят её юзать.

Для "маячков" Бокса с головой хватает.

[RomaNNN 5]

Или научиться пользоваться снэпшотами

Попробовал, понравилось. Раньше не пользовался. Спасибо.

K_Mikhail, повторил заражение на 3-х снимках виртуалки. У меня тоже третий не перезагрузил машину