• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Анализ вирусов посредством ProcMon и ProcExp


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Анализ вируса penetrator
Win32.HLLW.Kati (по классификации Dr.Web)
Глянул пенетратора. Мусорный червь, что атас. Пытается безуспешно создать (UAC) мусорные ctfmon lsass svchosts и т.д
Date & Time: 11.05.2013 20:19:17
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\System32\DETER177\svсhоst.exe
TID: 1472
Duration: 0.0000074
Desired Access: Generic Write, Read Attributes, Delete
Disposition: OverwriteIf
Options: Sequential Access, Non-Directory File
Attributes: A
ShareMode: None
AllocationSize: 0

Постоянно меняет значение отображения скрытых файлов
Date & Time: 11.05.2013 20:19:23
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
TID: 1472
Duration: 0.0000034
Type: REG_DWORD
Length: 4
Data: 0
Гы, кстати на безопасный режим ему не похрену, просто он так же как и предыдущий вирус прописан в Shell. Токо вот незадача, что на Shell из HKLM в отличие от HKCU у пользователя уже нет Fullaccess, и вот он бедняжка никак не может прописать себя.
Ну и в режиме с поддержкой командной строки можно запуститься легко.
Date & Time: 11.05.2013 20:29:08
Event Class: Registry
Operation: RegSetValue
Result: ACCESS DENIED
Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
TID: 1472
Duration: 0.0000036
Type: REG_SZ
Length: 96
Data: Explorer.exe C:\Windows\System32\АHTОMSYS19.exe

постоянно пытается записаться на носитель.
Собственно всю его деятельность характеризует один скриншот
он совершает это все по кругу.
1.jpg



Распространение:
Распространяется через флешки, причем делает это достаточно успешно.
Опасность: Не представляет, UAC отрабатывает на полную, вирус так и не смог прописать себя в автозагрузку. Единственное что он может - это вызвать проблемы со скрытыми файлами, т.к. к данному параметру у пользователей имеется fullaccess.




Лечение: Удалить тело вируса. При отключенном UAC придется почистить Shell, Run как в HKLM, так и в HKCU. Плюс придется почистить фейковые файлы типа svchost и тд. Так же придется восстановить параметры HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\, иначе он портит настройки отображения папок. типа
Date & Time: 11.05.2013 20:20:20
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoFolderOptions
TID: 1472
Duration: 0.0000061
Type: REG_DWORD
Length: 4
Data: 1

Резюме - данный вирус может представлять угрозу при отсутствии антивируса и с выключенным UAC.

В архиве лог ProcMon
 

Вложения

  • 1.jpg
    1.jpg
    645.9 КБ · Просмотры: 18
  • LogPenetrator.rar
    161.1 КБ · Просмотры: 5

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Вот создал вирус, генератором червей, что-то Оутпост не детектит, не запускал, можно его проанализировать ?

Там два файла, исходник (PAS) и EXE, это червь !

Пароль:111
 

Вложения

  • cr_worms12.rar
    8.1 КБ · Просмотры: 10

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Вот создал вирус, генератором червей, что-то Оутпост не детектит, не запускал, можно его проанализировать ?

Там два файла, исходник (PAS) и EXE, это червь !

Пароль:111

Сейчас посмотрим, что там
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Анализ вируса из архива cr_worms12.rar
Trojan.Qhost.72 (по классификации dr.web)
Исходные данные:
ОС Win7 ult x32
Версия ОС: 6.1.7601 Service Pack 1 сборка 7601
Установленные обновления:
Definition Update for Windows Defender - KB915597 (Definition 1.149.1652.0)Включен UAC на максимальный уровень, работа ведется от администратора.

Собственно worm.exe не отслеживается из-за того, что он является 16 битным приложением, гы.
В общем он запускает 16битный обработчки NTVDM.EXE, который распаковывает тело вируса в %temp%
Далее распаковывается программа Reg.exe, единственное назначение которой добавить в автозагрузку сам вирус.
Date & Time: 11.05.2013 21:32:37
Event Class: Registry
Operation: RegSetValue
Result: SUCCESS
Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\expl0re1
TID: 3156
Duration: 0.0000329
Type: REG_SZ
Length: 48
Data: C:\Windows\expl0re1.exe
Далее reg.exe закрывается и более не проявляется.

После этого тело вируса из под 16битного обработчика копирует исполняемый файл вируса EXPL0RE1.EXE , который будет работать из под автозагрузки.
К сожалению :) в нашем случае вирус не смог записаться в папку виндовс(UAC)
Date & Time: 11.05.2013 21:32:37
Event Class: File System
Operation: CreateFile
Result: ACCESS DENIED
Path: C:\Windows\EXPL0RE1.EXE
TID: 976
Duration: 0.0000741
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: N
ShareMode: Read, Write, Delete
AllocationSize: 0

Так же в папке ProgramData/Microsoft/eData формируется ещё один exeшник, который является так же является какой-то частью вредоносного кода.

Date & Time: 11.05.2013 21:32:38
Event Class: File System
Operation: CreateFile
Result: REPARSE
Path: C:\ProgramData\Microsoft\eHome\HVGLG.EXE
TID: 976
Duration: 0.0000244
Desired Access: Generic Read/Write
Disposition: OverwriteIf
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: N
ShareMode: Read, Write, Delete
AllocationSize: 0
OpenResult: <unknown>
1.jpg


Резюме:
Вирус так и не смог установиться в системе, UAC не дал вирусу сработать на полную, вирус в текущий момент неработоспособен и угрозы не представляет.
Лечение: Не требуется.


UPDATE

Червь запущен с правами администратора. В целом установка прошла более успешно, автозагрузка начинает работать.
2.jpg


И тут начинается интересное, вирус лезет в ветку минифильтра luafv, в ветку procmon23.
Date & Time: 11.05.2013 22:24:53
Event Class: Registry
Operation: RegEnumKey
Result: SUCCESS
Path: HKLM\System\CurrentControlSet\services\PROCMON23\Instances
TID: 2800
Duration: 0.0000020
Index: 0
Name: Process Monitor 23 Instance
Этот момент весьма интересен, и требуется время, чтобы разобраться, что собственно он там делал, и чем это грозит.

Далее вирус интересуется что таки у нас на диске Д
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: DeviceIoControl
Result: NO MEDIA
Path: D:
TID: 2800
Duration: 0.0002465
Control: 0x2402c (Device:0x2 Function:11 Method: 0)
Зачем то пытается записать файл hosts в папке system32
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: CreateFile
Result: NAME NOT FOUND
Path: C:\Windows\System32\HOSTS
TID: 2800
Duration: 0.0000088
Desired Access: Generic Read/Write
Disposition: Open
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
И напоследок кладет свою копию в C:\PerfLogs\
Date & Time: 11.05.2013 22:24:53
Event Class: File System
Operation: CreateFile
Result: SUCCESS
Path: C:\PerfLogs\GVQY.EXE
TID: 2800
Duration: 0.0002892
Desired Access: Generic Read/Write
Disposition: Open
Options: Synchronous IO Non-Alert, Non-Directory File, Disallow Exclusive
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
OpenResult: Opened
В архиве логи ProcMon
 

Вложения

  • Qhost72logs.rar
    364.4 КБ · Просмотры: 2

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Это мусорный червь, загаживает диски C, D,..., далее блокирует доступ к сайтам популярных антивирусов, для верности сделал добавление в автозагрузку пользователя, это expl0re1.exe и ещё один екзешник, добавляется в реестр автозагрузку для всех пользователей, название екзешника не помню, но название сделал похожим на explorer.exe или svchost, не помню уже...

Далее этот вирус заражает все exe файлы на компе...

А как ты его запустил ?

У меня максимум, что он смог сделать, это заблокировать доступ к антивирусам, путём модификации hosts !Отдыхай!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Вот сделал ещё одного простенького червя, по новее должен-быть, на vbs и сделал из него exe, не криптовал, поэтому палят все !

Во вложении исходник и exe !

Пароль:111
 

Вложения

  • WormResult.rar
    4.1 КБ · Просмотры: 6

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174

Вложения

  • porno.avi.rar
    165 КБ · Просмотры: 8

DeRo

独家
Форумчанин
Регистрация
26.01.2013
Сообщения
33
Репутация
60
Автор темы Похожие темы Форум Ответы Дата
virt Обзоры новых вирусов 0
Верх Низ