В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Сунул я как-то флешку в блядский рассадник зверьков.
Смотрю значит мигает усердно, хотя ничего не делаю. Вынул, потом ещё на паре компов с ней поработал, дома дай думаю проверю, аверы молчат.
Вывел виндовым поиском все EXE файлы и в виде "таблица" , а там почти у всех дата изменения как раз то время када пихал. И все стали жирнее на 21 - 150 Кб гдето.
И так эта цука делает следущее:
В C:\WINDOWS\Temp\ кидает два скрытых *.exe файла. 1 - тело с именем несколько_цифр.exe (имя рандом 15,0 КБ) и 2 - оригинальный EXE, который был инфецирован (чистый проверял по MD5).
В C:\WINDOWS\system32\ кидает Px.ax (12,5 КБ, его НОД видит, если убить процесс в папке темп, а так он не даёт читать файл). kbdpx.dll (966 КБ, в нете говорят какаята малварь)
В C:\WINDOWS\system32\dllcache кидает kbdpx.dll (966 КБ такойже по MD5 совпадает) и заменяет kernel32.dll (966 КБ, но по MD5 различается с kbdpx.dll)
А теперь самое интересное: После ребута вся эта хрень самоуничтожается. В чём хитрость?
Думается пару человек я заразил этой куйнёй, вот теперь переживаю, глянте может я чего не доглядел и она ещё чего-то делает?

пароль: vir

185d_22.02.2009_CRACKLAB.rU.tgz - 111.rar

-------
кажись понял.
Это сцуко потом становится вместо оригинального kernel32.dll (его винда сама из dllcache берёт)
Тогда другой вопрос что оно делает дальше?

-----
AutoIt

| Сообщение посчитали полезным:

Имя файла: 111.exe
Размер: 22,1 Кб
Time/Date Stamp (GMT): 5 февраля 2009 г. 14:54:12
www.virustotal.com/ru/analisis/1f7b296f89914c531ffcb6c9e10df59b
Файл не чем не запакован, написан на Visual C++ 6.0. Зачем-то читает в ветке реестра "Software\Microsoft\Windows\CurrentVersion\ShellBotR" ключ “Infected”. Далее извлекает и расшифровывает из себя два других исполняемых файла: имя первого генерируется случайно (12177.exe), имя второго “пустышка.exe”, сохраняет их в папку Temp и запускает на исполнение. Как и следует из имени, второй файла ничего не делает кроме вызова функции ExitProcess (размер файла 1,5 Кб).
Имя файла: 12177.exe
Размер: 15 Кб
Time/Date Stamp (GMT): 3 февраля 2009 г. 12:39:13
www.virustotal.com/ru/analisis/9602874fe625c156ae5b21ac5fa95472
Файл разбавлен мусором. Вначале расшифровывается основное тело программы (ADVAPI32.CryptDecrypt).
Далее инициализируется импорт, расшифровывается нужные строки. Расшифровывается и сохраняется в папку System32 библиотека “Px.ax”. Затем троян читает kernel32.dll, производит модификацию функции CreateProcessW, добавляя загрузку библиотеки “Px.ax”. Оригинальная библиотека "\system32\dllcache\kernel32.dll" переименовывается в "kbdpx.dll", а на ее место записывается модифицированный вариант. При записи новых файлов время создания и модификации устанавливается такое же как и у файла “kernel32.dll”.
В цикле 380 раз проходит по списку запущенных процессов, ищет процесс "taskmgr.exe" (Диспетчер процессов), в случаи, если процесс запущен, останавливает все его потоки. Далее еще один цикл с поиском процессов "explorer.exe" и "taskmgr.exe" и остановкой их потоков. Результатом остановки потоков процесса "explorer.exe" будет “зависание” системы, а далее, скорее всего перезагрузка системы.
Имя файла: Px.ax
Размер: 12,5 Кб
Time/Date Stamp (GMT): 3 февраля 2009 г. 12:37:21
www.virustotal.com/ru/analisis/fe89654a85028db84064ae58d49c31f2
Не чем не упакованная DLL. Инжектится к процессу "svchost.exe" с помощью функции CreateRemoteThread. При работе создает мютекс "Global\Px.Ax". Скачивает файл: trafficmonsterinc.ru/bot.dll. Большая часть кода DLL не работает. Есть зашифрованные строки для отключения встроенного фаервола, установки в автозагрузку, URL и т.д., но все это не используется.


| Сообщение посчитали полезным:

Нашел седня у себя в процессах две програмки левые, оказалась копия одного и того же файла.
И на каждом диске в корне ее же копия была и рядом авторан на нее.
Подскажите что она делает кроме как самокопируется.


9fbc_05.04.2009_CRACKLAB.rU.tgz - fnexsjs.exe

| Сообщение посчитали полезным:

споймал 2х забавных зверьков : )
сканит ближайшие подсети и ломится через microsoft-ds, если проломится удалось, шлет тсп пакетики на серв 76.73.27.186:988, серв дает команду скачивать 2х зверьков с адресов
74.222.87.90/l
74.222.87.90/x
причем l - хз че делает, я не вникал. просто убил, песочница - https://cwsandbox.org/?page=samdet&id=1362692&password=emskr
а x поинтересней будет, на борту несет с собой руткит, и сканит сетку на наличие аналогичных дыр через microsoft-ds - песочница - https://cwsandbox.org/?page=samdet&id=1362605&password=lkdzq

оба зверька ничем не запакованы =)

| Сообщение посчитали полезным:

Dem0n1C пишет:
Подскажите что она делает кроме как самокопируется
Имя файла: fnexsjs.exe
Размер: 59,8 Кб
http://www.virustotal.com/ru/analisis/e220aa597461f8ea3b4a2f27285ada75
http://www.threatexpert.com/report.aspx?md5=e12f643565b0d8a65118325ed0 030efe
Ставший уже обычным вирус Virut. Алгоритм почти полностью идентичен описанному тут: http://www.exelab.ru/f/action=vthread&forum=2&topic=6500&p age=42 (файл tcflash.exe). Хотя этот образец выделятся тем, что неработоспособен, в алгоритме допущена ошибка уже в момент, когда код инжекнут в winlogon.exe, в функции инициализации импорта. В программе был заложен код для управления с командного центра proxim.ntkrnlpa.info по протоколу IRC.


| Сообщение посчитали полезным:

GMax
Все бы хорошо, но вот загружает эта дрянь на ведро кучу остального Г.
www.cwsandbox.org/?page=report&analysisid=147292&password=mxqvm

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Все бы хорошо, но вот загружает эта дрянь на ведро кучу остального Г.
www.cwsandbox.org/?page=report&analysisid=147292&password=mxqvm
а что за файл ты послал? по твоей ссылке файл 16802528a2e57daa1179c67ad15bd485csrss.pif
вот файл fnexsjs.exe про который я написал
а вот его анализ в этой песочнице
https://cwsandbox.org/?page=report&analysisid=1296401&password=ioakd

| Сообщение посчитали полезным:

GMax в твоем анализе он не создает файлов, не меняет ключей реестра. При этом, даж при беглом осмотре его в ида, видно что он создает фалы в папке \Program Files\Common Files\System\ и \Program Files\Common Files\Microsoft Shared\ и прописывается в автозапуск
+ качает файл www.webweb.com/TDown1.exe вроде.
Нет виртуалки, потресить не могу

| Сообщение посчитали полезным:

GMax
Эмм... пост http://exelab.ru/f/action=vthread&forum=2&topic=6500&page= 43#7
В архиве файл fnexsjs.exe
Size: 25225 bytes
md5: 16802528a2e57daa1179c67ad15bd485

По ссылке http://www.cwsandbox.org/?page=report&analysisid=147292&password=mxqvm загружен 2/11/2008 4:18:44 PM такой же файл с другим именем. Убедиться в том что это один и тот же файл можно по размеру и md5 сумме.

По твоей же ссылке размер файла другой и md5 тоже =

У кого то из нас что то с кэшем браузера. Позволю себе предположить что всеже у тебя Так как у меня на двух компах один и тот же файл

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Всем добрый вечер.
Ни кому не попадалась такая весч как УУУУУУ.exe
Залезла ко мне в комп, вырубил антивирь, комп стал тупить неимоверно. Потом пытался ставить и Каспера и NOD 32 ни встаёт хоть убей. Пока всю инфу не снял и потом винты не форматнул ни получалось комп к нормальной жизни вернуть.Щас вроде NOD стоит проблем нет.

| Сообщение посчитали полезным:

[HEX]
Ты прав
Прошу прощения мой косяк...

| Сообщение посчитали полезным:

Lykas-psih
По фотаграфии не лечим.
Имена файлов в 90% ничего не дают.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Dem0n1C
Описание не зараженного Virut-ом файла
Имя файла: fnexsjs.exe
Размер: 24,6 Кб
www.virustotal.com/ru/analisis/366c1b1ad51d3fd7ea8c3109e0e7b8e6
www.threatexpert.com/report.aspx?md5=16802528a2e57daa1179c67ad15bd485
Файл упакован Upack. После распаковки размер ~ 150 Кб. Написан на Delphi. Качество кода отвратительное. Файл оказался китайским вирусом, написанным на делфи, логика работы соответствующая… Делает следующие: копирует себя в папки “Common Files\System\” и “Common Files\Microsoft Shared\”, копируется на все диски в качестве autorun(для этого перебирает все буквы), inf файл такого вида:
[AutoRun]
open=fnexsjs.exe
shell\open=ґтїЄ(&O)
shell\open\Command=fnexsjs.exe
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command=fnexsjs.exe
,отключает показ скрытых файлов, прописывается в автозапуск, отключает некоторые сервисы (wscsvc, helpsvc, wuauserv, SharedAccess), не дает перезагрузится в безопасный режим, по заголовку окна убивает некоторые процессы (диспетчер процессов, IceSword и т.д.), ставит себя отладчиком при старте некоторых файлов (Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\) и еще уйма китайского кода. Возможные китайские названия: "the AV End", "Animal Virus", "the Kind of AV End".
З.Ы. Китайские делфевые вирусы просто жесть…

| Сообщение посчитали полезным:

GMax
А куда подевалась сетевая активность?
Там еще будет довесок приличный после скачивания говна.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
А куда подевалась сетевая активность?
да там бесконечные вызов функции URLDownloadToFile... просто жуть, а не код
сетевую активность видно по логам песочниц, C&C был на www.webweb.com, но сейчас походу уже не активен

| Сообщение посчитали полезным:

GMax пишет:
отключает некоторые сервисы (wscsvc, helpsvc, wuauserv, SharedAccess),
не просто отключает, а удаляет похоже, т.к. они у меня исчезли из перечня служб
GMax пишет:
отключает некоторые сервисы (wscsvc, helpsvc, wuauserv, SharedAccess), не дает перезагрузится в безопасный режим
как это восстановить можно?

| Сообщение посчитали полезным:

Dem0n1C
службы вроде просто отключены, смотри ключи тут:
'SYSTEM\CurrentControlSet\Services\SharedAccess'
'SYSTEM\CurrentControlSet\Services\helpsvc'
'SYSTEM\CurrentControlSet\Services\wscsvc'
'SYSTEM\CurrentControlSet\Services\wuauserv'
'SYSTEM\CurrentControlSet\Services\RSPPSYS'

насчет SafeBoot правь реестр... смотри логи в песочнице, что удалил троян
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
на автомате в AVZ есть, в функциях востановления системы

| Сообщение посчитали полезным:

Гляньте на досуге, что этот зверь делает dump.ru/file/2430061
Эти два файла создаются в Windows/Temp прописываются в автозапуск
Убивает из процессов autoruns
Загружает процесор на 20%, при старте компа пытается скопировать текстовые документы, ломится в интернет. NOD32 его не видет. Так же есть подозрения что она блокирует доступ на сайты Microsoft, и virustotal.com...

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev: Conficker.C + Waledac (или как там эта новая версия называется..)

| Сообщение посчитали полезным:

DarkWolf пишет:
Waledac (или как там эта новая версия называется..)

валедак - это собирательное название для криптовнаных файлов. а так по симптомам
похоже на Conficker.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
валедак - это собирательное название для криптовнаных файлов
Ну, я брал названия с блога Trend Micro: blog.trendmicro.com/downadconficker-watch-new-variant-in-the-mix/. Если есть источник информации получше, я буду только рад почитать.

| Сообщение посчитали полезным:

Hellspawn пишет:
валедак - это собирательное название для криптовнаных файлов.
по-моему, валедк - это не паттерн детекта по эвристике, а название семейства спам-ботов

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

DarkWolf пишет:
Если есть источник информации получше, я буду только рад почитать.
secureblog.info/articles/454.html

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

ProTeuS пишет:
по-моему, валедк - это не паттерн детекта по эвристике, а название семейства спам-ботов

это в идеале. а в реале под этот детект попадает почти половина криптовнаных файлов.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ясно, а как разблочить сайты? И для чего спам-боту надо мои документы копировать?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Хм, а вы уверены что это Конфикер? на сколько я знаю, после его заражения не пара сайтов блочаться, а вообще весь инет и локалка падает....

-----
The blood swap....

| Сообщение посчитали полезным:

один файл авира обозвала kido, а второй zpack (криптанули чем-то). щас гляну чё там и как.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Isaev пишет:
И для чего спам-боту надо мои документы копировать?
всмысле копировать, куда? он должен всеголишь парсить все доки на тазике для составления мейлбаз вроде как

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

Isaev пишет:
ясно, а как разблочить сайты?

вот сайт группы которая противодествует этому червю, там есть программы лечения
[url=http://www.confickerworkinggroup.org/
]http://www.confickerworkinggroup.org/
[/url]

инфа от Гостева
habrahabr.ru/blogs/infosecurity/56879/

add:
прикольно он уже и в википедию попал
ru.wikipedia.org/wiki/Conficker
на английской странице побольше инфы
en.wikipedia.org/wiki/Conficker

| Сообщение посчитали полезным:

32536453.exe - этот спам бот, пишется в PromoReg Software\Microsoft\Windows\CurrentVersion\Run и
сразу принимается за работу, драйверов не ставит

-----
[nice coder and reverser]

| Сообщение посчитали полезным: