K_Mikhail

VBR Rootkit (Mayachok.2) вернулся

В этой теме 68 сообщений

Обнаружился семпл, который неожиданно оказался реинкарнацией уже немного подзабытого VBR-руткита Trojan.Mayachok.2. Подзабытого хотя бы на фоне развязавшегося мешка с "безруткитным" Trojan.Mayachok.1.

Запустив его на виртуалке, увидев знакомую картину с перезагрузкой, первая мысль была - "маячок, сейчас из AppInit_DLLs либу достану". Однако, после перезагрузки Positive Technologies Startup Monitor промолчал. "Странно, неужто второй?" - подумалось. Оказалось, да:

1.VBA32Arkit, который показал Non-standard VBR:

mayachok2_new_vba32.PNG

2. Dr.Web CureIt!:

mayachok2_new_cureit.PNG

3. TDSSKiller:

mayachok2_tdsskiller.PNG

Детекты на момент публикации:

- Дроппер

- Дамп VBR

Успешное лечение на момент публикации обеспечивается использованием VBA32Arkit (Restore VBR and force reboot) и TDSSKiller (Restore с последующей перезагрузкой компьютера).

post-270-1328909572_thumb.png

post-270-1328909719_thumb.png

post-270-1328910404_thumb.png

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail, а не могли бы Вы проверить, лечит его Авира или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Успешное лечение на момент публикации обеспечивается использованием VBA32Arkit (Restore VBR and force reboot) и TDSSKiller (Restore с последующей перезагрузкой компьютера).

PowerToolV4.2 тоже удобен, только краши бывают у него.

infected_vbr.PNG

post-16629-1328950539_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail, а не могли бы Вы проверить, лечит его Авира или нет?

Брал Avira Antivirus Premium 2012 отсюда. Скачал к нему отдельно Avira AntiRootkit Tool, который сам по себе работать отказался, сославшись на то, что сначала нужно установить продукт. :blink: Если честно, этот момент я не осилил - зачем же тогда отдельно раздавать антируткит?

В самом продукте указал искать руткиты и прочие скрытые радости. Вот результат этой проверки:

avira_hidden.PNG

На TR/Agent.vgw можно не обращать внимания - это фолс на RkU. Был найден скрытый объект, вот запись в логе по этому поводу:

Configuration settings for the scan:Jobname.............................: Scan for Rootkits and active malwareConfiguration file..................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\rootkit.avpLogging.............................: defaultPrimary action......................: interactiveSecondary action....................: ignoreScan master boot sector.............: onScan boot sector....................: onProcess scan........................: onExtended process scan...............: onScan registry.......................: onSearch for rootkits.................: onIntegrity checking of system files..: offScan all files......................: All filesScan archives.......................: onRecursion depth.....................: 20Smart extensions....................: onMacro heuristic.....................: onFile heuristic......................: CompleteStart of the scan: Saturday, February 11, 2012  10:58Starting search for hidden objects.Hidden driver  [NOTE]      A memory modification has been detected, which could potentially be used to hide file access attempts.

Как-то так...

PowerToolV4.2 тоже удобен, только краши бывают у него.

Спасибо, присмотрюсь к утилите.

UPD: Присмотрелся - интересная вещь, хотя бы в том плане, что умеет смотреть Award Bioskit как и сканер Dr.Web 7, но на VBR у меня хронически зависает. :( Попытки снять его процесс приводят к падению приложения.

post-270-1328951010_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дальнейшее копание нашло ещё два дроппера этого "счастья":

Раз

Два

С лечением активного - всё без изменений относительно исходного сообщения по этой теме.

Основное отличие данной версии маячка.2 от его первых версий заключается в установке перехвата \Driver\atapi IRP_MJ_INTERNAL_DEVICE_CONTROL.

irphooks_vba32.PNG

post-270-1328957684_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот интересно, какие вендоры первые пропиарятся на появлении этого варианта, а какие на лечении зараженных машин? :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Самый точный и чёткий детект на данный момент от Microsoft- TrojanDropper:Win32/Rovnix.B. То есть они в теме, что это новая модификация.

Но детекта в памяти нет.

mse.PNG

post-16629-1328962534_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Детект и лечение в базах запилены и выпущены - Rootkit.Boot.Cidox.b.

TDSSKiller с именованным детектом на данную модификацию доступен здесь (на главный сайт только в понедельник выложим) - ftp://SLArchive-ro:[email protected]/TDSSKiller.exe

XP_SP3_IDE_2012_02_11_20_33_57.png

post-5690-1328978968_thumb.png

  • Upvote 20

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В будущий тест на лечение активного заражения этот вариант подойдет нам или там принципиально ничего интересного?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В будущий тест на лечение активного заражения этот вариант подойдет нам или там принципиально ничего интересного?

Подойдет. В этой версии он начал блокировать перезапись кода VBR c помощью перехвата IRP_MJ_SCSI в порт-драйвере.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

UPD: В Dr.Web добавлен детект и лечение.

Сканер 6:

drweb_cured.PNG

После перезагрузки система успешно вылечена.

Сканер 7 сдетектить сумел, а нейтрализовать - нет:

drweb7_vbr_not_cured.PNG

=============================================================================Dr.Web Scanner SE for Windows v7.0.1.12060© Doctor Web, Ltd., 1992-2011Scan session started 2012:02:13 16:29:15 Module location : C:\Program Files\DrWeb\=============================================================================Available instances: 2Instances used: 1Platform: Windows XP Professional x86 (Build 2600), Service Pack 2API Version: 2.2Scanning Engine version: 6.0.300.1310Virus Finding Engine version: 7.0.0.11250Total 30 virus bases are loaded from C:\Documents and Settings\All Users\Application Data\Doctor Web\Basesdrwtoday.vdb 7.0 (1058 records)dwf70000.vdb 7.0 (1 records)drwdaily.vdb 7.0 (1 records)drw70017.vdb 7.0 (19019 records)drw70016.vdb 7.0 (28028 records)drw70015.vdb 7.0 (29444 records)drw70014.vdb 7.0 (19353 records)drw70013.vdb 7.0 (20747 records)drw70012.vdb 7.0 (28052 records)drw70011.vdb 7.0 (12183 records)drw70010.vdb 7.0 (19984 records)drw70009.vdb 7.0 (22627 records)drw70008.vdb 7.0 (49580 records)drw70007.vdb 7.0 (45195 records)drw70006.vdb 7.0 (175536 records)drw70005.vdb 7.0 (170820 records)drw70004.vdb 7.0 (171279 records)drw70003.vdb 7.0 (170253 records)drw70002.vdb 7.0 (170291 records)drw70001.vdb 7.0 (170501 records)drw70000.vdb 7.0 (353582 records)drwebase.vdb 7.0 (852776 records)dwrtoday.vdb 7.0 (419 records)dwr70000.vdb 7.0 (1653 records)dwntoday.vdb 7.0 (500 records)dwn70001.vdb 7.0 (1523 records)dwn70000.vdb 7.0 (1805 records)drwrisky.vdb 7.0 (26456 records)drwnasty.vdb 7.0 (74279 records)dwp70000.vdb 7.0 (1 records)Total records count: 2636946Anti-rootkit module version (API 3.02 / 3.02)Using C:\Program Files\DrWeb\drweb32.key as Dr.Web ® Key fileThis Dr.Web ® Key is for 1 computer (SS Pro Beta tester)Using language : English-----------------------------------------------------------------------------Start scanning-----------------------------------------------------------------------------Limit the use of the processor to 50%Object(s) to scan:- Scan process in memory- Scan boot sectors- Scan startup directory- Scanning for rootkits - C:\44493.bat- C:\93732BFEC4.exe- C:\AUTOEXEC.BAT- C:\boot.ini- C:\CONFIG.SYS- C:\drweb7_vbr.PNG- C:\drw_remover.exe- C:\IO.SYS- C:\MSDOS.SYS- C:\NTDETECT.COM- C:\ntldr- C:\pagefile.sys- C:\WINDOWS\system32\- C:\Documents and Settings\Administrator\My Documents\- C:\WINDOWS\TEMP\- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Active OS/2 or NT Boot Sector HDD0 Partition1 - infected with Trojan.Mayachok.2Active OS/2 or NT Boot Sector HDD0 Partition1 - infected, incurableError during scan rootkits (0)Total 2578254 bytes in 7 files scanned (12 objects)Total 6 files (10 objects) are cleanTotal 1 file are infectedTotal 0 files (1 object) is incurableScan time is 00:00:08-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Active OS/2 or NT Boot Sector HDD0 Partition1 - cure errorTotal 2578254 bytes in 7 files scanned (12 objects)Total 6 files (10 objects) are cleanTotal 1 file are infectedTotal 0 files (1 object) is incurableScan time is 00:00:08

post-270-1329143155_thumb.png

post-270-1329143547_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail, можно спросить, это виртуалка или нет? Если да, то какая? Просто у меня на VMware один раз получилось заразить VBR первым семплом, но я пролечился TDSSkiller-ом, и теперь не хочет заражаться...даже перезагрузки нету...просто кликаю на файл, он пропадает и все...в чем может быть дело? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail, можно спросить, это виртуалка или нет? Если да, то какая? Просто у меня на VMware один раз получилось заразить VBR первым семплом, но я пролечился TDSSkiller-ом, и теперь не хочет заражаться...даже перезагрузки нету...просто кликаю на файл, он пропадает и все...в чем может быть дело? :huh:

VirtualBox 4.1.2.

У маячков (касается и .1 и .2) бывает проблема, когда они не хотят нормально заражать систему -- как раз описанный Вами признак, что файл просто удаляется, и всё.

У меня, допустим, на третьем семпле была подобная проблема - система на ребут не идёт, но VBR, тем не менее, заражается. И сканер дамп этого VBR не детектирует. Соответственно, не лечит систему.

Ещё момент - после указанного неудачного лечения после перезагрузки сканер обнаруживает .2 не только в VBR, и но и в MBR. После этого лечение становится успешным. Мистика...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто у меня на VMware один раз получилось заразить VBR первым семплом, но я пролечился TDSSkiller-ом, и теперь не хочет заражаться...даже перезагрузки нету...просто кликаю на файл, он пропадает и все...в чем может быть дело? :huh:
У маячков (касается и .1 и .2) бывает проблема, когда они не хотят нормально заражать систему -- как раз описанный Вами признак, что файл просто удаляется, и всё.

Угу, он обижается и не хочет заражать систему. Не терпит издевательств))

А проблема банальна: троян, при запуске, проверяет специальный ключ-маркер, дабы проверить, заражалась ли им система. А ключик создается после успешного инфицирования. Систему вылечили,а маккер остался. Потому нужно удалить ключ или трой не поставится.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Знать бы еще, что за ключик такой... ^_^

А это на домашнее задание ;)

Используйте Regmon или дебаггер с бряком на RegOpenKeyA

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Потому нужно удалить ключ или трой не поставится.

Или научиться пользоваться снэпшотами :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Или научиться пользоваться снэпшотами :)

Вот именно. Меня доставляет, когда люди не делают снимок чистой ОС и на одном снапшоте проводят все эксперименты :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так умные люди говорят что у VB кривой код? как с этим быть, хотя я слышал что вири часто палят именно VM, и не хотят её юзать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так умные люди говорят что у VB кривой код? как с этим быть, хотя я слышал что вири часто палят именно VM, и не хотят её юзать.

Для "маячков" Бокса с головой хватает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Или научиться пользоваться снэпшотами :)

Попробовал, понравилось. :) Раньше не пользовался. Спасибо.

K_Mikhail, повторил заражение на 3-х снимках виртуалки. У меня тоже третий не перезагрузил машину :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS