Перейти к содержанию

Recommended Posts

ALEX(XX)

В соседней теме, как я гляжу, идёт бурное обсуждение эпидемии винлокеров. Не знаю, был мальчик или нет, но знакомые замахали регулярными просьбами "Помочь". Всё как всегда - "оно само, я только на сайт зашёл картинки посмотреть". Из общения с другими админами знаю, что уйма народа в городе часто переустанавливает ОС из-за виноков. Для большинства так намного проще :)

На днях попался ПК с винлоком в MBR... Ну это так, лирика. Всё обычно решается тривиально, бутнулся с LiveCD/USB и пошёл делами заниматься, пока всё почистится. :)

Вчера принесли очередной ПК с винлоком. Вот он, красавец, (на виртуалке)

2168627m.png

LiveCD от ЛК и докторов помогли мало. Нашли PDF.Exploit, какие-то джава-мутки и доктор отрыл в кэше IE винлокер. Не помогло..

KWU пожаловался на странности в userinit и подправил то, что ему не понравилось. Не помогло.

Плюнул на все ливы и тулзы, взял ERD (можно было и сразу, но другой работы хватало). Посмотрел что ж там такое грузится-то. Нашёл бяку. Бяка оказалась свежаком

Antivirus Version Last update Result

AhnLab-V3 2011.08.31.01 2011.08.31 Trojan/Win32.Yakes

AntiVir 7.11.14.62 2011.09.01 -

Antiy-AVL 2.0.3.7 2011.09.01 -

Avast 4.8.1351.0 2011.08.31 -

Avast5 5.0.677.0 2011.08.31 -

AVG 10.0.0.1190 2011.09.01 -

BitDefender 7.2 2011.09.01 -

ByteHero 1.0.0.1 2011.08.22 -

CAT-QuickHeal 11.00 2011.08.31 -

ClamAV 0.97.0.0 2011.09.01 -

Commtouch 5.3.2.6 2011.09.01 -

Comodo 9947 2011.09.01 TrojWare.Win32.Trojan.XPACK.Gen

DrWeb 5.0.2.03300 2011.09.01 -

Emsisoft 5.1.0.11 2011.09.01 Trojan-Ransom.Win32.Gimemo!IK

eSafe 7.0.17.0 2011.08.31 -

eTrust-Vet 36.1.8534 2011.09.01 -

F-Prot 4.6.2.117 2011.08.31 -

F-Secure 9.0.16440.0 2011.09.01 -

Fortinet 4.3.370.0 2011.08.31 -

GData 22 2011.09.01 -

Ikarus T3.1.1.107.0 2011.09.01 Trojan-Ransom.Win32.Gimemo

Jiangmin 13.0.900 2011.08.31 -

K7AntiVirus 9.111.5077 2011.08.31 -

Kaspersky 9.0.0.837 2011.09.01 -

McAfee 5.400.0.1158 2011.09.01 -

McAfee-GW-Edition 2010.1D 2011.08.31 -

Microsoft 1.7604 2011.09.01 Trojan:Win32/Ransom.DR

NOD32 6427 2011.09.01 a variant of Win32/Kryptik.SGN

Norman 6.07.11 2011.09.01 -

nProtect 2011-09-01.01 2011.09.01 -

Panda 10.0.3.5 2011.08.31 -

PCTools 8.0.0.5 2011.09.01 -

Prevx 3.0 2011.09.01 -

Rising 23.73.01.03 2011.08.30 -

Sophos 4.68.0 2011.09.01 -

SUPERAntiSpyware 4.40.0.1006 2011.09.01 -

Symantec 20111.2.0.82 2011.09.01 -

TheHacker 6.7.0.1.287 2011.09.01 -

TrendMicro 9.500.0.1008 2011.09.01 PAK_Generic.008

TrendMicro-HouseCall 9.500.0.1008 2011.09.01 PAK_Generic.008

VBA32 3.12.16.4 2011.08.31 -

VIPRE 10335 2011.09.01 -

ViRobot 2011.9.1.4651 2011.09.01 -

VirusBuster 14.0.195.0 2011.08.31 -

MD5: 955f783f9896d662b171f46f85a54748

SHA1: 233c1e0a2f17c097a22ff74be0c864d350086d61

SHA256: 86c8c1aa22befb7274b25b5692a6e04756442e8d6de52381c7b91c26dd58e10e

File size: 278016 bytes

Scan date: 2011-09-01 10:50:24 (UTC)

Разослал в симу, доктора и ЛК. Через 50 минут докторовский робот окрестил новую бяку Trojan.Winlock.3333 и клятвенно уверял, что сигнатуры уже на полёте к серверам обновления :)

Решил скрестить этого локера с КИС 2012 на варе.

КИС спрашивает что с программой делать.

3118350m.png

Косим под осторожного, но любопытного юзверя и выбираем "Ограничить"

Появляется непонятное окошко с ошибкой

2219826m.png

Видно, что зверь до конца не отработал. Это подтверждается ребутом - винлокер не стартует

Если закосить под любопытного стандартного юзверя и жмакнуть не ограничить, а доверять программе, то получим прЫвет и настойчивую просьбу поделиться деньгами.

3101966m.png

Ещё пара моментов.

Безопаска не спасает от этого локера. БСОД

2197298m.png

На ПК стоял 11-й Endpoint, который после удаления локера напрочь отказался запускаться.

Вот такая вот история.

Мораль: внимательно смотрите, что же пишет этот "надоедливый антивирус" и думайте, прежде чем просто клацнуть мышкой. Это оградит от плясок с бубном.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Алекс, а проще всего не работать под админом :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Алекс, а проще всего не работать под админом :rolleyes:

Ну, это вообще из области фантастики ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Каким булдером делал семпл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

А картинка-то где, картинка? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А картинка-то где, картинка? :rolleyes:

Места, где должны быть изображения кликабельны ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

эх, эти блокеры. Надеюсь никогда с ними не встречаться

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Перезалил картинки на другую картинопомойку

Алекс, а проще всего не работать под админом rolleyes.gif

UAC и локер и инсталляторе игры/кодеке/т.п.

За 2 недели 7-ка полужива у сестры жены :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Перезалил картинки на другую картинопомойку

Ага, спасибо.

В общем, ничего выдающегося в винлоке нет. Посмотрел скрины - неоднократно такие встречались (по названию файлов, например).

Наличие отсутствия детекта в момент заражения винлоком - это не новость, а уже почти правило. Кто ж будет распространять в России то, что детектится Dr.Web и ЛК? :)

BSOD 0x7B обычно бывает, когда используется режим AHCI. Возможно, при переключении на режим совместимости с IDE безопасный режим бы запустился. Но, скорее всего, винлок-колобок перекатился бы и туда.

Сейчас, кстати, очень часто встречаются винлоки, которые собой заменяют оригинальный userinit.exe. Для этого лучше, если занимаетесь лечением от винлоков постоянно, держать где-нибудь на флешке этот оригинальный userinit.exe.

А иногда, если ERD'образное, что используете для лечения, не подцепит системный реестр, приходится файл реестра SOFTWARE копирить куда-нибудь через флешку на свой компьютер, подгружать в редактор реестра, править и запихивать в заражённую систему обратно. Это для случаев, если в реестре был изменён путь к userinit.exe на путь к вредоносному файлу.

Собственно, всё :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Перезалил картинки на другую картинопомойку

Спасибо. Что-то не срослось с картинками, я сразу не заметил. Вроде норма было.

Каким булдером делал семпл?

??

Сейчас, кстати, очень часто встречаются винлоки, которые собой заменяют оригинальный userinit.exe. Для этого лучше, если занимаетесь лечением от винлоков постоянно, держать где-нибудь на флешке этот оригинальный userinit.exe.

О, спасибо, учту. Что-то не додумал сразу. :)

А иногда, если ERD'образное, что используете для лечения, не подцепит системный реестр, приходится файл реестра SOFTWARE копирить куда-нибудь через флешку на свой компьютер, подгружать в редактор реестра, править и запихивать в заражённую систему обратно. Это для случаев, если в реестре был изменён путь к userinit.exe на путь к вредоносному файлу.

Можно и так. А если включено восстановление системы, можно и чистый снапшот поискать в sysvol.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Можно и так. А если включено восстановление системы, можно и чистый снапшот поискать в sysvol.

Да, про это забыл. Но часто почему-то в наших краях отключают службу восстановления системы, и никаких снапшотов тама нет. Поэтому я сразу по живому реестру привык резать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Да, про это забыл. Но часто почему-то в наших краях отключают службу восстановления системы, и никаких снапшотов тама нет. Поэтому я сразу по живому реестру привык резать :)

Я включаю восстановление на всех ПК, до которых у меня доходят руки. Основная причина - нередко явление повреждения какой-либо ветки реестра при загрузке ПК после резкого отключения питания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Добавил в базы как Trojan-Ransom.Win32.Fullscreen.ne

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Плюнул на все ливы и тулзы, взял ERD (можно было и сразу, но другой работы хватало). Посмотрел что ж там такое грузится-то. Нашёл бяку. Бяка оказалась свежаком

ALEX(XX), что же такое (имя файла) грузилось и откуда из реестра?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
ALEX(XX), что же такое (имя файла) грузилось и откуда из реестра?

0.8912212298240275.exe и 0.7378085298837515.exe лежали в Local Settings\Temp профиля пользователя. А вот место в реестре забыл, хотя вчера специально глянул. Память подводит... Не написал вчера, а сегодня забыл...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
0.8912212298240275.exe и 0.7378085298837515.exe лежали в Local Settings\Temp профиля пользователя. А вот место в реестре забыл, хотя вчера специально глянул. Память подводит... Не написал вчера, а сегодня забыл...

В таком случае лучшее средство (и против winlock и в качестве дополнительной памяти) образ автозапуска с помощью WinPE&uVS :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

Сима так и не добавила этого локера в базы. Неделя прошла.

Сегодня опять машина с локером с подменой userinit + ещё зверяка

http://www.virustotal.com/file-scan/report...3801-1315478634

http://www.virustotal.com/file-scan/report...f461-1315477202

http://www.virustotal.com/file-scan/report...f461-1315477202

Опять разослал :) Ждём ответов

UPD: Угроза: Trojan.Winlock.3300 (userinit, докторовский робот ответил)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Сима так и не добавила этого локера в базы. Неделя прошла.

Сегодня опять машина с локером с подменой userinit + ещё зверяка

http://www.virustotal.com/file-scan/report...3801-1315478634

http://www.virustotal.com/file-scan/report...f461-1315477202

http://www.virustotal.com/file-scan/report...f461-1315477202

Опять разослал :) Ждём ответов

UPD: Угроза: Trojan.Winlock.3300 (userinit, докторовский робот ответил)

У Symantecа шла "чехарда" с выходом 2012, обновления модуля SONAR 4 и т.д.

Кстати, ты в личку не заглядывал, у меня к тебе была небольшая просьба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
У Symantecа шла "чехарда" с выходом 2012, обновления модуля SONAR 4 и т.д.

Кстати, ты в личку не заглядывал, у меня к тебе была небольшая просьба.

Только увидел личку, сорри.

UPD: бронток оказался битым файлом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Проверил. SONAR 4 прибил гада. :D Кстати, перед этим сработал UAC, ну я конечно ответил "да" :)

Image_тест_6.jpg

post-6726-1315491008_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Да, вирусы Symantec добавляет слабо :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Mr.Belyash

У тебя премод, а не бан. Так что фраза там на сайте неверна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      Неожиданно в Win10 всплыла нехорошая ошибка с правами доступа к ключам, как оказалось полный доступ к некоторым ключам может привести к неработоспособности отдельных компонентов Windows.
      К примеру исправление двойных слешей в Win10 1803 убивает меню пуск, почему ему не нравится полный доступ к ключу я так и не понял, но теперь такой проблемы нет и владелец и права доступа восстанавливаются после модификации ключа. ---------------------------------------------------------
       4.0.18
      ---------------------------------------------------------
       o В окно информации о процессе добавлены проценты загрузки CPU с момента создания процесса.
         "CPU" = загрузка всего процессора.
         "CPU 1 core" = загрузка в пересчете на 1 ядро.  o uVS теперь восстанавливает права доступа и владельца ключей после модификации параметров ключа.  o Исправлена ошибка из-за которой в лог могло выводиться обрезанное информационное сообщение о пути до ключа реестра.  o Исправлена ошибка из-за которой не удавалось изменить некоторые ключи реестра при запуске uVS под текущим пользователем.
         (Если права доступа запрещали изменение ключа для текущего пользователя).  o Исправлена финальная (когда не помогло использования ASA) функция удаления защищенных ключей реестра из веток *\CLSID.
         Ранее удаление завершалось с ошибкой "ключ не найден".
         (!) Внимательно следите за тем что вы удаляете, функция игнорирует системную защиту реестра (Win10) и защиту большинства антивирусных программ.  
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
×