Mebroot/Sinowal/MBR/Torpig - обнаружен новый вариант буткита - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
Ego1st

Mebroot/Sinowal/MBR/Torpig - обнаружен новый вариант буткита

Recommended Posts

Ego1st

На зарубежных сайтах, пишут что обнаружился новый Mebroot

Функционал у него такой:

-крадет пароли к банковским вебсайтам=)

-может внедряться в html страницы с и без EV-SSL

-может перехватывать нажатия экранных клавиатур и капчей

-труден для детекта

-все браузеры подвержены уязвимости

на данный момент видимо его в активном состоянии никто не лечит потому что пишут что обходит все, обнаружить что машинка заражена можно вот так=)

так

Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL 82B15560

---- Threads - GMER 1.0.15 ----

Thread System [4:1088] 82B462E0

Thread System [4:1092] 82B329C6

Thread System [4:1100] 82B64527

Thread System [4:1132] 82B35941

Thread System [4:436] 82B462E0

Thread System [4:560] 82B329C6

Thread System [4:696] 82B64527

Thread System [4:784] 82B35941

---- EOF - GMER 1.0.15 ----

или так

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Time: 2009/04/08 xx:xx

Program Version: Version 1.x.x.x

Windows Version: Windows XP SP2

==================================================

Hidden/Locked Files

-------------------

Path: Volume C:\

Status: MBR Rootkit Detected!

Stealth Objects

-------------------

Object: Hidden Code [ETHREAD: 0x813a7318]

Process: System Address: 0x8146a2e0 Size: 2246

Object: Hidden Code [ETHREAD: 0x813a7090]

Process: System Address: 0x814569c6 Size: 1360

Object: Hidden Code [ETHREAD: 0x81396da8]

Process: System Address: 0x81488527 Size: 2779

Object: Hidden Code [ETHREAD: 0x81396b20]

Process: System Address: 0x81459941 Size: 1729

Object: Hidden Code [ETHREAD: 0xff28cc68]

Process: System Address: 0x8146a2e0 Size: 2246

Object: Hidden Code [ETHREAD: 0xff28c9e0]

Process: System Address: 0x814569c6 Size: 1360

Object: Hidden Code [ETHREAD: 0xff28c758]

Process: System Address: 0x81488527 Size: 2779

Object: Hidden Code [ETHREAD: 0xff28c4d0]

Process: System Address: 0x81459941 Size: 1729

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x81439560 Size: 2724

так же можно обнаружить, открыв блокнот - файл - открыть и ставим эту строчку c:\WINDOWS\TEMP\rg4sfay

и увидеть свои пароли=)(это конечно если темп у вас там))

http://www.trustdefender.com/blog/2009/04/...rous-than-ever/ - очень хорошее описание=)

Ну что кто первый начнет пиарится?=))

и дайте, бинарник погонять=))

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
экранных клавиатур

Виртуальных? Ну так это прошлый век.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Виртуальных? Ну так это прошлый век.

а что у нас в новом веке?=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Ego1st

Безопасные мастера паролей(и не те, которые в браузеры встроены желательно) где все пароли и логины зашифровываются и хранятся в сетевом хранилище.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

понятно спасибо=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Мне кажется, что скоро эта угроза начнет детектироваться любым уважающим себя антивирусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
так же можно обнаружить, открыв блокнот - файл - открыть и ставим эту строчку c:\WINDOWS\TEMP\rg4sfay и увидеть свои пароли=)(это конечно если темп у вас там))

Вы, возможно имели в виду с помощью командной строкой от имени админа?

Пуск - выполнить - cmd (Enter)

Там набрать:

cd c:\WINDOWS\TEMP (Enter)

Там набрать:

notepad rg4sfay (Enter)

и любоваться данными. Так? ;)

Мне кажется, что скоро эта угроза начнет детектироваться любым уважающим себя антивирусом.

Ну, вы - оптимист. Некоторые до сих пор даже с Рустоком не справляются...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Вы, возможно имели в виду с помощью командной строкой от имени админа?

Пуск - выполнить - cmd (Enter)

Там набрать:

cd c:\WINDOWS\TEMP (Enter)

Там набрать:

notepad rg4sfay (Enter)

и любоваться данными. Так? ;)

Ну, вы - оптимист. Некоторые до сих пор даже с Рустоком не справляются...

Paul

Паул можно и так как я сказал=) итог будет один=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
на данный момент видимо его в активном состоянии никто не лечит потому что пишут что обходит все,

Немного от себя добавлю - активным в системе его действительно не видит ни один антивирус (даже если будет запись на зараженный mbr). Впрочем, не думаю, что такая картина сильно измениться в будущем. Если обратиться к последнему тесту на активное заражение, то видно, что буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee. Еще один, Eset, обнаруживал его присутствие в системе, но лечить был не в состоянии. Причем, тест проводился спустя полгода после появления данной (то бишь прошлой) модификации буткита. К теперешнему моменту ситуации не изменилась. Этот новый вариант буткита имеет куда большую защиту от обнаружения.

Касаемо "обходит все" - если говорить об инсталляции, то да, обходит многое. Все, что ему нужно для успешного заражения системы - открыть диск на по-секторное чтение. Далее, используя ReadFile и WriteFile он записывает свой драйвер и модифицирует главную загрузочную запись. После чего перезагружает ПК, вызывая shutdown с параметрами. К сожалению, нигде не было тестирования HIPS-компонент популярных средств защиты на возможность открытия диска (в ближайшее время выйдет сравнение, в котором этот момент будет учтен).

Основная цель буткита - кража конфиденциальной информации, что достигается перехватами в User Mode. Для этого буткитом загружается специальный модуль со своих серверов.

[764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - RelativeJump 0x77DD9E9C [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA1 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDestroyKey, Type: Inline - SEH 0x77DD9EA2 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - RelativeJump 0x77DDA109 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10E [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptDecrypt, Type: Inline - SEH 0x77DDA10F [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - RelativeJump 0x77DDE340 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE345 [unknown_code_page][764]iexplore.exe-->advapi32.dll-->CryptEncrypt, Type: Inline - SEH 0x77DDE346 [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpOpenRequestA, Type: Inline - RelativeJump 0x771B2AF9 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetConnectA, Type: Inline - RelativeJump 0x771B3452 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetCloseHandle, Type: Inline - RelativeJump 0x771B4D8C [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestA, Type: Inline - RelativeJump 0x771B60A1 [unknown_code_page][764]iexplore.exe-->wininet.dll-->InternetReadFile, Type: Inline - RelativeJump 0x771B82EA [unknown_code_page][764]iexplore.exe-->wininet.dll-->HttpSendRequestW, Type: Inline - RelativeJump 0x77202EBC [unknown_code_page]

Активного буткита пока можно обнаружить антируткитом RootRepeal (см. скрин).

Ну и конечно же, чтобы не заразиться этим руткитом стоит всегда обновлять ОС, браузер и приложения, использующие плагины к нему, антивирусное программное обеспечение (которое может препятствовать открытию страницы с эксплоитом, срабатыванию эксплоита, может обнаружить сам инсталлятор буткита сигнатурно, женериком, эвристически или же, что куда более надежно в плане детекта, анализом системных событий - открытие диска).

Идеальный вариант - работа под ограниченной учетной записью (т.к. открытие диска для модификации mbr возможно только с правами администратора).

Безымянный.JPG

post-173-1239645533_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
К сожалению, нигде не было тестирования HIPS-компонент популярных средств защиты на возможность открытия диска

Открытие диска с правами на запись- это не криминал. Криминал- попытка прямой записи туда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Открытие диска с правами на запись- это не криминал. Криминал- попытка прямой записи туда.

Оно то так...только как показывает опыт большинство ругаются именно на открытие :)

Ну а вообще имелось ввиду и открытие и запись, которая в данном случае будет иметь место.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Василий, а как с UAC? Помогает? Буткит работает на х64?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee

А что лечит Avira AntiVir Bootsektor-Repairtool (от 18 Sep 2008 - Version : 2.01.00.10)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Василий, а как с UAC? Помогает? Буткит работает на х64?

Да и нет :)

З.Ы. Просьба писать по теме и, не буду показывать пальцем (Рашевский Роман), если все же есть сильное желание хоть что-то написать, да еще не подкрепленное фактами, то гоу в "Неформальное общение и юмор ".

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Да и нет smile.gif

Хорошо. А защита бут-сектора из BIOS?

И развей мои сомнения. Мне казалось, что есть руткиты, которые научились обходить UAC. Это у меня ложная память или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А защита бут-сектора из BIOS?

Не поможет.

Мне казалось, что есть руткиты, которые научились обходить UAC. Это у меня ложная память или нет?

Не знаю, я с вистой не работаю. Думаю, что такие есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

какие в нем технические различия от предыдущей малваре (которую весело обсуждают тут), которая также мбр юзала в своих нехороших целях? (имею ввиду различия в плане работы с мбр, а не то какие пароли и как уводят эти зловреды)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Мне казалось, что есть руткиты, которые научились обходить UAC.

Должно быть: UAC относительно легко отключается:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"ConsentPromptBehaviorAdmin"=dword:00000000

Один раз 'ОК' и потом всё будет иметь права встроенного админа и вы никаких алертов уже не увидите.

P.S.: Если вам это обязательно нужно, я найду образцы таких вещей. У меня есть ссылка на один Backdoor.TDSS, который по рассказам обходит UAC - устанавливает драйвер UACd.sys без проблем. Не тестировал - Висты нет.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
есть руткиты, которые научились обходить UAC

Например, используя уязвимости: MS08-061, MS08-064, MS08-071 на Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
имею ввиду различия в плане работы с мбр

Особых различий нету

У меня есть ссылка на один Backdoor.TDSS, который по рассказам обходит UAC - устанавливает драйвер UACd.sys без проблем. Не тестировал - Висты нет.

Не обходит он, более того - не работает там. Сочетание символов в именах файлов этого варианта руткита TDSS никакого отношения к UAC в висте не имеет.

Например, используя уязвимости: MS08-061, MS08-064, MS08-071 на Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

Используя уязвимости ОС можно обойти что угодно :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Должно быть: UAC относительно легко отключается:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

Вот только чтобы писать в HKLM нужны админские права.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Чета тема затухла :),нужно добавить масла в огонь ;)

ebset.JPG

post-173-1240135627_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Василий, а остальные? Ситуация все еще не изменилась?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
нужно добавить масла в огонь ;)

Давайте... :)

PREVX 3 проверили? Они утверждают, что детектируют его. Или они обнаруживают лишь загрузку исполняемого файла и на этом всё закончится?

Как выглядит код, который грузит этот руткит через drive-by download? Почему-то все удобно молчат об этом, но блокировать его загрузку не должно быть сложно, так? (блокировка загрузки любого исполнительного файла без разрешения)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
×