Перейти к содержанию

Recommended Posts

ALEX(XX)

В соседней теме, как я гляжу, идёт бурное обсуждение эпидемии винлокеров. Не знаю, был мальчик или нет, но знакомые замахали регулярными просьбами "Помочь". Всё как всегда - "оно само, я только на сайт зашёл картинки посмотреть". Из общения с другими админами знаю, что уйма народа в городе часто переустанавливает ОС из-за виноков. Для большинства так намного проще :)

На днях попался ПК с винлоком в MBR... Ну это так, лирика. Всё обычно решается тривиально, бутнулся с LiveCD/USB и пошёл делами заниматься, пока всё почистится. :)

Вчера принесли очередной ПК с винлоком. Вот он, красавец, (на виртуалке)

2168627m.png

LiveCD от ЛК и докторов помогли мало. Нашли PDF.Exploit, какие-то джава-мутки и доктор отрыл в кэше IE винлокер. Не помогло..

KWU пожаловался на странности в userinit и подправил то, что ему не понравилось. Не помогло.

Плюнул на все ливы и тулзы, взял ERD (можно было и сразу, но другой работы хватало). Посмотрел что ж там такое грузится-то. Нашёл бяку. Бяка оказалась свежаком

Antivirus Version Last update Result

AhnLab-V3 2011.08.31.01 2011.08.31 Trojan/Win32.Yakes

AntiVir 7.11.14.62 2011.09.01 -

Antiy-AVL 2.0.3.7 2011.09.01 -

Avast 4.8.1351.0 2011.08.31 -

Avast5 5.0.677.0 2011.08.31 -

AVG 10.0.0.1190 2011.09.01 -

BitDefender 7.2 2011.09.01 -

ByteHero 1.0.0.1 2011.08.22 -

CAT-QuickHeal 11.00 2011.08.31 -

ClamAV 0.97.0.0 2011.09.01 -

Commtouch 5.3.2.6 2011.09.01 -

Comodo 9947 2011.09.01 TrojWare.Win32.Trojan.XPACK.Gen

DrWeb 5.0.2.03300 2011.09.01 -

Emsisoft 5.1.0.11 2011.09.01 Trojan-Ransom.Win32.Gimemo!IK

eSafe 7.0.17.0 2011.08.31 -

eTrust-Vet 36.1.8534 2011.09.01 -

F-Prot 4.6.2.117 2011.08.31 -

F-Secure 9.0.16440.0 2011.09.01 -

Fortinet 4.3.370.0 2011.08.31 -

GData 22 2011.09.01 -

Ikarus T3.1.1.107.0 2011.09.01 Trojan-Ransom.Win32.Gimemo

Jiangmin 13.0.900 2011.08.31 -

K7AntiVirus 9.111.5077 2011.08.31 -

Kaspersky 9.0.0.837 2011.09.01 -

McAfee 5.400.0.1158 2011.09.01 -

McAfee-GW-Edition 2010.1D 2011.08.31 -

Microsoft 1.7604 2011.09.01 Trojan:Win32/Ransom.DR

NOD32 6427 2011.09.01 a variant of Win32/Kryptik.SGN

Norman 6.07.11 2011.09.01 -

nProtect 2011-09-01.01 2011.09.01 -

Panda 10.0.3.5 2011.08.31 -

PCTools 8.0.0.5 2011.09.01 -

Prevx 3.0 2011.09.01 -

Rising 23.73.01.03 2011.08.30 -

Sophos 4.68.0 2011.09.01 -

SUPERAntiSpyware 4.40.0.1006 2011.09.01 -

Symantec 20111.2.0.82 2011.09.01 -

TheHacker 6.7.0.1.287 2011.09.01 -

TrendMicro 9.500.0.1008 2011.09.01 PAK_Generic.008

TrendMicro-HouseCall 9.500.0.1008 2011.09.01 PAK_Generic.008

VBA32 3.12.16.4 2011.08.31 -

VIPRE 10335 2011.09.01 -

ViRobot 2011.9.1.4651 2011.09.01 -

VirusBuster 14.0.195.0 2011.08.31 -

MD5: 955f783f9896d662b171f46f85a54748

SHA1: 233c1e0a2f17c097a22ff74be0c864d350086d61

SHA256: 86c8c1aa22befb7274b25b5692a6e04756442e8d6de52381c7b91c26dd58e10e

File size: 278016 bytes

Scan date: 2011-09-01 10:50:24 (UTC)

Разослал в симу, доктора и ЛК. Через 50 минут докторовский робот окрестил новую бяку Trojan.Winlock.3333 и клятвенно уверял, что сигнатуры уже на полёте к серверам обновления :)

Решил скрестить этого локера с КИС 2012 на варе.

КИС спрашивает что с программой делать.

3118350m.png

Косим под осторожного, но любопытного юзверя и выбираем "Ограничить"

Появляется непонятное окошко с ошибкой

2219826m.png

Видно, что зверь до конца не отработал. Это подтверждается ребутом - винлокер не стартует

Если закосить под любопытного стандартного юзверя и жмакнуть не ограничить, а доверять программе, то получим прЫвет и настойчивую просьбу поделиться деньгами.

3101966m.png

Ещё пара моментов.

Безопаска не спасает от этого локера. БСОД

2197298m.png

На ПК стоял 11-й Endpoint, который после удаления локера напрочь отказался запускаться.

Вот такая вот история.

Мораль: внимательно смотрите, что же пишет этот "надоедливый антивирус" и думайте, прежде чем просто клацнуть мышкой. Это оградит от плясок с бубном.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Алекс, а проще всего не работать под админом :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Алекс, а проще всего не работать под админом :rolleyes:

Ну, это вообще из области фантастики ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Каким булдером делал семпл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

А картинка-то где, картинка? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А картинка-то где, картинка? :rolleyes:

Места, где должны быть изображения кликабельны ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

эх, эти блокеры. Надеюсь никогда с ними не встречаться

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Перезалил картинки на другую картинопомойку

Алекс, а проще всего не работать под админом rolleyes.gif

UAC и локер и инсталляторе игры/кодеке/т.п.

За 2 недели 7-ка полужива у сестры жены :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Перезалил картинки на другую картинопомойку

Ага, спасибо.

В общем, ничего выдающегося в винлоке нет. Посмотрел скрины - неоднократно такие встречались (по названию файлов, например).

Наличие отсутствия детекта в момент заражения винлоком - это не новость, а уже почти правило. Кто ж будет распространять в России то, что детектится Dr.Web и ЛК? :)

BSOD 0x7B обычно бывает, когда используется режим AHCI. Возможно, при переключении на режим совместимости с IDE безопасный режим бы запустился. Но, скорее всего, винлок-колобок перекатился бы и туда.

Сейчас, кстати, очень часто встречаются винлоки, которые собой заменяют оригинальный userinit.exe. Для этого лучше, если занимаетесь лечением от винлоков постоянно, держать где-нибудь на флешке этот оригинальный userinit.exe.

А иногда, если ERD'образное, что используете для лечения, не подцепит системный реестр, приходится файл реестра SOFTWARE копирить куда-нибудь через флешку на свой компьютер, подгружать в редактор реестра, править и запихивать в заражённую систему обратно. Это для случаев, если в реестре был изменён путь к userinit.exe на путь к вредоносному файлу.

Собственно, всё :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Перезалил картинки на другую картинопомойку

Спасибо. Что-то не срослось с картинками, я сразу не заметил. Вроде норма было.

Каким булдером делал семпл?

??

Сейчас, кстати, очень часто встречаются винлоки, которые собой заменяют оригинальный userinit.exe. Для этого лучше, если занимаетесь лечением от винлоков постоянно, держать где-нибудь на флешке этот оригинальный userinit.exe.

О, спасибо, учту. Что-то не додумал сразу. :)

А иногда, если ERD'образное, что используете для лечения, не подцепит системный реестр, приходится файл реестра SOFTWARE копирить куда-нибудь через флешку на свой компьютер, подгружать в редактор реестра, править и запихивать в заражённую систему обратно. Это для случаев, если в реестре был изменён путь к userinit.exe на путь к вредоносному файлу.

Можно и так. А если включено восстановление системы, можно и чистый снапшот поискать в sysvol.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Можно и так. А если включено восстановление системы, можно и чистый снапшот поискать в sysvol.

Да, про это забыл. Но часто почему-то в наших краях отключают службу восстановления системы, и никаких снапшотов тама нет. Поэтому я сразу по живому реестру привык резать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
Да, про это забыл. Но часто почему-то в наших краях отключают службу восстановления системы, и никаких снапшотов тама нет. Поэтому я сразу по живому реестру привык резать :)

Я включаю восстановление на всех ПК, до которых у меня доходят руки. Основная причина - нередко явление повреждения какой-либо ветки реестра при загрузке ПК после резкого отключения питания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Добавил в базы как Trojan-Ransom.Win32.Fullscreen.ne

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Плюнул на все ливы и тулзы, взял ERD (можно было и сразу, но другой работы хватало). Посмотрел что ж там такое грузится-то. Нашёл бяку. Бяка оказалась свежаком

ALEX(XX), что же такое (имя файла) грузилось и откуда из реестра?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
ALEX(XX), что же такое (имя файла) грузилось и откуда из реестра?

0.8912212298240275.exe и 0.7378085298837515.exe лежали в Local Settings\Temp профиля пользователя. А вот место в реестре забыл, хотя вчера специально глянул. Память подводит... Не написал вчера, а сегодня забыл...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
0.8912212298240275.exe и 0.7378085298837515.exe лежали в Local Settings\Temp профиля пользователя. А вот место в реестре забыл, хотя вчера специально глянул. Память подводит... Не написал вчера, а сегодня забыл...

В таком случае лучшее средство (и против winlock и в качестве дополнительной памяти) образ автозапуска с помощью WinPE&uVS :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)

Сима так и не добавила этого локера в базы. Неделя прошла.

Сегодня опять машина с локером с подменой userinit + ещё зверяка

http://www.virustotal.com/file-scan/report...3801-1315478634

http://www.virustotal.com/file-scan/report...f461-1315477202

http://www.virustotal.com/file-scan/report...f461-1315477202

Опять разослал :) Ждём ответов

UPD: Угроза: Trojan.Winlock.3300 (userinit, докторовский робот ответил)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Сима так и не добавила этого локера в базы. Неделя прошла.

Сегодня опять машина с локером с подменой userinit + ещё зверяка

http://www.virustotal.com/file-scan/report...3801-1315478634

http://www.virustotal.com/file-scan/report...f461-1315477202

http://www.virustotal.com/file-scan/report...f461-1315477202

Опять разослал :) Ждём ответов

UPD: Угроза: Trojan.Winlock.3300 (userinit, докторовский робот ответил)

У Symantecа шла "чехарда" с выходом 2012, обновления модуля SONAR 4 и т.д.

Кстати, ты в личку не заглядывал, у меня к тебе была небольшая просьба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALEX(XX)
У Symantecа шла "чехарда" с выходом 2012, обновления модуля SONAR 4 и т.д.

Кстати, ты в личку не заглядывал, у меня к тебе была небольшая просьба.

Только увидел личку, сорри.

UPD: бронток оказался битым файлом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Проверил. SONAR 4 прибил гада. :D Кстати, перед этим сработал UAC, ну я конечно ответил "да" :)

Image_тест_6.jpg

post-6726-1315491008_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Да, вирусы Symantec добавляет слабо :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Mr.Belyash

У тебя премод, а не бан. Так что фраза там на сайте неверна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×