Перейти к содержанию

Recommended Posts

K_Mikhail

Обнаружился семпл, который неожиданно оказался реинкарнацией уже немного подзабытого VBR-руткита Trojan.Mayachok.2. Подзабытого хотя бы на фоне развязавшегося мешка с "безруткитным" Trojan.Mayachok.1.

Запустив его на виртуалке, увидев знакомую картину с перезагрузкой, первая мысль была - "маячок, сейчас из AppInit_DLLs либу достану". Однако, после перезагрузки Positive Technologies Startup Monitor промолчал. "Странно, неужто второй?" - подумалось. Оказалось, да:

1.VBA32Arkit, который показал Non-standard VBR:

mayachok2_new_vba32.PNG

2. Dr.Web CureIt!:

mayachok2_new_cureit.PNG

3. TDSSKiller:

mayachok2_tdsskiller.PNG

Детекты на момент публикации:

- Дроппер

- Дамп VBR

Успешное лечение на момент публикации обеспечивается использованием VBA32Arkit (Restore VBR and force reboot) и TDSSKiller (Restore с последующей перезагрузкой компьютера).

post-270-1328909572_thumb.png

post-270-1328909719_thumb.png

post-270-1328910404_thumb.png

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

K_Mikhail, а не могли бы Вы проверить, лечит его Авира или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
Успешное лечение на момент публикации обеспечивается использованием VBA32Arkit (Restore VBR and force reboot) и TDSSKiller (Restore с последующей перезагрузкой компьютера).

PowerToolV4.2 тоже удобен, только краши бывают у него.

infected_vbr.PNG

post-16629-1328950539_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail, а не могли бы Вы проверить, лечит его Авира или нет?

Брал Avira Antivirus Premium 2012 отсюда. Скачал к нему отдельно Avira AntiRootkit Tool, который сам по себе работать отказался, сославшись на то, что сначала нужно установить продукт. :blink: Если честно, этот момент я не осилил - зачем же тогда отдельно раздавать антируткит?

В самом продукте указал искать руткиты и прочие скрытые радости. Вот результат этой проверки:

avira_hidden.PNG

На TR/Agent.vgw можно не обращать внимания - это фолс на RkU. Был найден скрытый объект, вот запись в логе по этому поводу:

Configuration settings for the scan:Jobname.............................: Scan for Rootkits and active malwareConfiguration file..................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\rootkit.avpLogging.............................: defaultPrimary action......................: interactiveSecondary action....................: ignoreScan master boot sector.............: onScan boot sector....................: onProcess scan........................: onExtended process scan...............: onScan registry.......................: onSearch for rootkits.................: onIntegrity checking of system files..: offScan all files......................: All filesScan archives.......................: onRecursion depth.....................: 20Smart extensions....................: onMacro heuristic.....................: onFile heuristic......................: CompleteStart of the scan: Saturday, February 11, 2012  10:58Starting search for hidden objects.Hidden driver  [NOTE]      A memory modification has been detected, which could potentially be used to hide file access attempts.

Как-то так...

PowerToolV4.2 тоже удобен, только краши бывают у него.

Спасибо, присмотрюсь к утилите.

UPD: Присмотрелся - интересная вещь, хотя бы в том плане, что умеет смотреть Award Bioskit как и сканер Dr.Web 7, но на VBR у меня хронически зависает. :( Попытки снять его процесс приводят к падению приложения.

post-270-1328951010_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Дальнейшее копание нашло ещё два дроппера этого "счастья":

Раз

Два

С лечением активного - всё без изменений относительно исходного сообщения по этой теме.

Основное отличие данной версии маячка.2 от его первых версий заключается в установке перехвата \Driver\atapi IRP_MJ_INTERNAL_DEVICE_CONTROL.

irphooks_vba32.PNG

post-270-1328957684_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вот интересно, какие вендоры первые пропиарятся на появлении этого варианта, а какие на лечении зараженных машин? :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT

Самый точный и чёткий детект на данный момент от Microsoft- TrojanDropper:Win32/Rovnix.B. То есть они в теме, что это новая модификация.

Но детекта в памяти нет.

mse.PNG

post-16629-1328962534_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Детект и лечение в базах запилены и выпущены - Rootkit.Boot.Cidox.b.

TDSSKiller с именованным детектом на данную модификацию доступен здесь (на главный сайт только в понедельник выложим) - ftp://SLArchive-ro:vOs1onEcsM@data6.kaspe.../TDSSKiller.exe

XP_SP3_IDE_2012_02_11_20_33_57.png

post-5690-1328978968_thumb.png

  • Upvote 20

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Ну пацаны ваще ребята!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT

Great job, Blitskrieg ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Перескан в качестве контрольной точки:

Дроппер 1

Дроппер 2

Дроппер 3

Дамп 1

Дамп 2

Дамп 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В будущий тест на лечение активного заражения этот вариант подойдет нам или там принципиально ничего интересного?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
В будущий тест на лечение активного заражения этот вариант подойдет нам или там принципиально ничего интересного?

Подойдет. В этой версии он начал блокировать перезапись кода VBR c помощью перехвата IRP_MJ_SCSI в порт-драйвере.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

UPD: В Dr.Web добавлен детект и лечение.

Сканер 6:

drweb_cured.PNG

После перезагрузки система успешно вылечена.

Сканер 7 сдетектить сумел, а нейтрализовать - нет:

drweb7_vbr_not_cured.PNG

=============================================================================Dr.Web Scanner SE for Windows v7.0.1.12060© Doctor Web, Ltd., 1992-2011Scan session started 2012:02:13 16:29:15 Module location : C:\Program Files\DrWeb\=============================================================================Available instances: 2Instances used: 1Platform: Windows XP Professional x86 (Build 2600), Service Pack 2API Version: 2.2Scanning Engine version: 6.0.300.1310Virus Finding Engine version: 7.0.0.11250Total 30 virus bases are loaded from C:\Documents and Settings\All Users\Application Data\Doctor Web\Basesdrwtoday.vdb 7.0 (1058 records)dwf70000.vdb 7.0 (1 records)drwdaily.vdb 7.0 (1 records)drw70017.vdb 7.0 (19019 records)drw70016.vdb 7.0 (28028 records)drw70015.vdb 7.0 (29444 records)drw70014.vdb 7.0 (19353 records)drw70013.vdb 7.0 (20747 records)drw70012.vdb 7.0 (28052 records)drw70011.vdb 7.0 (12183 records)drw70010.vdb 7.0 (19984 records)drw70009.vdb 7.0 (22627 records)drw70008.vdb 7.0 (49580 records)drw70007.vdb 7.0 (45195 records)drw70006.vdb 7.0 (175536 records)drw70005.vdb 7.0 (170820 records)drw70004.vdb 7.0 (171279 records)drw70003.vdb 7.0 (170253 records)drw70002.vdb 7.0 (170291 records)drw70001.vdb 7.0 (170501 records)drw70000.vdb 7.0 (353582 records)drwebase.vdb 7.0 (852776 records)dwrtoday.vdb 7.0 (419 records)dwr70000.vdb 7.0 (1653 records)dwntoday.vdb 7.0 (500 records)dwn70001.vdb 7.0 (1523 records)dwn70000.vdb 7.0 (1805 records)drwrisky.vdb 7.0 (26456 records)drwnasty.vdb 7.0 (74279 records)dwp70000.vdb 7.0 (1 records)Total records count: 2636946Anti-rootkit module version (API 3.02 / 3.02)Using C:\Program Files\DrWeb\drweb32.key as Dr.Web ® Key fileThis Dr.Web ® Key is for 1 computer (SS Pro Beta tester)Using language : English-----------------------------------------------------------------------------Start scanning-----------------------------------------------------------------------------Limit the use of the processor to 50%Object(s) to scan:- Scan process in memory- Scan boot sectors- Scan startup directory- Scanning for rootkits - C:\44493.bat- C:\93732BFEC4.exe- C:\AUTOEXEC.BAT- C:\boot.ini- C:\CONFIG.SYS- C:\drweb7_vbr.PNG- C:\drw_remover.exe- C:\IO.SYS- C:\MSDOS.SYS- C:\NTDETECT.COM- C:\ntldr- C:\pagefile.sys- C:\WINDOWS\system32\- C:\Documents and Settings\Administrator\My Documents\- C:\WINDOWS\TEMP\- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Active OS/2 or NT Boot Sector HDD0 Partition1 - infected with Trojan.Mayachok.2Active OS/2 or NT Boot Sector HDD0 Partition1 - infected, incurableError during scan rootkits (0)Total 2578254 bytes in 7 files scanned (12 objects)Total 6 files (10 objects) are cleanTotal 1 file are infectedTotal 0 files (1 object) is incurableScan time is 00:00:08-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Active OS/2 or NT Boot Sector HDD0 Partition1 - cure errorTotal 2578254 bytes in 7 files scanned (12 objects)Total 6 files (10 objects) are cleanTotal 1 file are infectedTotal 0 files (1 object) is incurableScan time is 00:00:08

post-270-1329143155_thumb.png

post-270-1329143547_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN

K_Mikhail, можно спросить, это виртуалка или нет? Если да, то какая? Просто у меня на VMware один раз получилось заразить VBR первым семплом, но я пролечился TDSSkiller-ом, и теперь не хочет заражаться...даже перезагрузки нету...просто кликаю на файл, он пропадает и все...в чем может быть дело? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail, можно спросить, это виртуалка или нет? Если да, то какая? Просто у меня на VMware один раз получилось заразить VBR первым семплом, но я пролечился TDSSkiller-ом, и теперь не хочет заражаться...даже перезагрузки нету...просто кликаю на файл, он пропадает и все...в чем может быть дело? :huh:

VirtualBox 4.1.2.

У маячков (касается и .1 и .2) бывает проблема, когда они не хотят нормально заражать систему -- как раз описанный Вами признак, что файл просто удаляется, и всё.

У меня, допустим, на третьем семпле была подобная проблема - система на ребут не идёт, но VBR, тем не менее, заражается. И сканер дамп этого VBR не детектирует. Соответственно, не лечит систему.

Ещё момент - после указанного неудачного лечения после перезагрузки сканер обнаруживает .2 не только в VBR, и но и в MBR. После этого лечение становится успешным. Мистика...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Просто у меня на VMware один раз получилось заразить VBR первым семплом, но я пролечился TDSSkiller-ом, и теперь не хочет заражаться...даже перезагрузки нету...просто кликаю на файл, он пропадает и все...в чем может быть дело? :huh:
У маячков (касается и .1 и .2) бывает проблема, когда они не хотят нормально заражать систему -- как раз описанный Вами признак, что файл просто удаляется, и всё.

Угу, он обижается и не хочет заражать систему. Не терпит издевательств))

А проблема банальна: троян, при запуске, проверяет специальный ключ-маркер, дабы проверить, заражалась ли им система. А ключик создается после успешного инфицирования. Систему вылечили,а маккер остался. Потому нужно удалить ключ или трой не поставится.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN

Знать бы еще, что за ключик такой... ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Знать бы еще, что за ключик такой... ^_^

А это на домашнее задание ;)

Используйте Regmon или дебаггер с бряком на RegOpenKeyA

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Потому нужно удалить ключ или трой не поставится.

Или научиться пользоваться снэпшотами :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
Или научиться пользоваться снэпшотами :)

Вот именно. Меня доставляет, когда люди не делают снимок чистой ОС и на одном снапшоте проводят все эксперименты :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Так умные люди говорят что у VB кривой код? как с этим быть, хотя я слышал что вири часто палят именно VM, и не хотят её юзать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Так умные люди говорят что у VB кривой код? как с этим быть, хотя я слышал что вири часто палят именно VM, и не хотят её юзать.

Для "маячков" Бокса с головой хватает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Или научиться пользоваться снэпшотами :)

Попробовал, понравилось. :) Раньше не пользовался. Спасибо.

K_Mikhail, повторил заражение на 3-х снимках виртуалки. У меня тоже третий не перезагрузил машину :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×