-
Banned
- Вес репутации
- 0
Картинки с экрана - могут Вам помочь при борьбе с eKAV
Три дня назад я принимал участие в изучении вируса eKAV.
Пытались понять, что с ним можно сделать.
Вот краткий отчет
В принципе оказалось, что ту разновидность вируса, которую мы изучали - лечит DrWeb, а именно мы запускали скачанную с их сайта свежую версию утилиту CureIt. Она хороша тем, что ее не надо инсталлировать.
Наш вирус состоял из 14 библиотек с произвольными названиями. И еще одного файла, который был прописан в системном реестре, и этот файл осуществлял загрузку остальных библиотек.
А самих этих 14 библиотек (файлов .DLL) - в системном реестре прописано не было, как оказалось.
Антивирус Касперского - сработал хуже. Он обнаруживал все 14 библиотек вируса - но не обнаруживал главного файла, который их загружал.
Что я сделал ? Я попросил прислать мне с зараженного компьютера 5 файлов системного реестра. Те что лежат в папке "system32\config". Файлы забирались из под загрузочного CD.
И я поставил эти 5 файлов чужого, зараженного реестра - на одну из установленных на моем компьютере копию Windows XP SP2.
Мне не удалось загрузиться в обычном режиме, и это естественно. Ведь при загрузке компьютер требовал важные драйверы, которых на моей версии Windows XP SP2 попросту не было.
Но - мне удалось загрузиться в безопасном режиме. Вирус у меня, естественно, тоже не проявлялся, потому что на моем чистом компе файлов этого вируса тоже не было.
Я получил возможность лазить по системному реестру RegEdit-ом, и запускать разные программы, которые показывают что прописано в автозагрузку.
Оказалось, что Gmer видит тот вредоносный файл вируса eKAV, прописанный в соответствующее место системного реестра.
AVZ - не видит, даже при убитом вирусе. Оказалось что AVZ не умеет анализировать в реестре строки, созданные таким хитрым способом, как создал вирус eKAV.
Менеджер автозапуска от Санкт-Петербургской фирмы - "OSAM" - тоже видит прописанный в автозагрузку хитрый файл (с нестандартным расширением).
Вот залитые картинки на radikal.ru
http://s41.radikal.ru/i094/1001/94/d307f783f4d1.jpg
http://i001.radikal.ru/1001/78/26c15e05d1fe.jpg
http://s52.radikal.ru/i137/1001/11/a2f263961252.jpg
http://i076.radikal.ru/1001/1d/dae190d2390d.jpg
http://s39.radikal.ru/i083/1001/1e/8624782f4e3b.jpg
Вывод: ищите этот вирус в первую очередь в ветке реестра, показанной на картинках. И смотрите названия файлов, прописанных в параметре:
AppInit_DLLs
Попробуйте из под загрузочного CD переименовать этот файл, найдя его по отображаемому GMER-ом пути. Если файлов там окажется несколько - то скопировав их на всякий случай на флэшку, переименуйте или удалите все, которые прописаны в AppInit_DLLs
по указанному пути.
А можно попробовать, переименовав на диске зловредный файл-загрузчик, на его место попробовать подсунуть свою безобидную DLL-ку, назвав ее как назывался файл вируса.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Да, все верно, AppInit_DLLs. У меня там был прописан фал шрифтов. Но помог его вычислить AVZ при обычном сканировании.
-
Там вроде прописан не файл, а поток NTFS внутри него.
-
Не внутри, а снаружи.
-
-
Сообщение от
uuu99950
AVZ - не видит, даже при убитом вирусе. Оказалось что AVZ не умеет анализировать в реестре строки, созданные таким хитрым способом, как создал вирус eKAV.
AVZ видит, нужно только научиться читать его логи ... если внимательно прочитать читать лог, то там (а не в списке автозапуска) будет прямо так и сказано - "обнаружен скрытый автозапуск, созданный таким хитрым образом ..." Для данного примера это выглядит так:
Код:
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\wbdbase.fra:FhvejB"
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Зайцев Олег
Код:
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\wbdbase.fra:FhvejB"
Что означает этот набор символов: FhvejB ?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
AndreyKa
Не внутри, а снаружи.
Вопрос философский. Сам я (до недавнего времени) полагал, что файловые потоки ntfs - вполне самостоятельные объекты, и нулевой поток ничем не выделяется среди прочих.
Попробовал создать поток blah.txt:stream.txt без прав писать в существующий blah.txt.
Ничего не вышло. Нет прав. Вот и думай, где они, эти потоки. Внутри или снаружи...
Неисповедимы пути...
-
-
Сейчас проверил - у меня файл wbdbase.fra есть.
Но никаких eKav antivirus и Internet Security у меня никогда не было.
Откуда делаем вывод, что файл wbdbase.fra - системный, а его расширение *.fra, скорее всего, указывает на то, что он отвечает за поддержку французского языка. А вирус eKav antivirus просто добавляет в него новый поток. Следовально, удалять сам файл wbdbase.fra не следует.
А интересно, как поступает вирус, если файловая система - FAT32? Создает просто *.dll-файл с именем из случайных букв?
-
У меня в вин2003 - вот так
wbdbase.deu
wbdbase.enu
wbdbase.esn
wbdbase.fra
wbdbase.ita
wbdbase.nld
wbdbase.sve
- так что это однозначно системные файлы.
-
-
Сегодня нарвался на "злобную" версию "Internet Security". Антивирус был заблокирован через safer. Как он попал в систему - загадка. Разве что детки анвирус отключали.
Сами клиенты - люди вменяемые. В итоге: диспетчер задач , cmd, редактирование реестра - все заблокировано. При попытке даже войти в папку с AVZ или ICE Sword выгружается проводник, система перестает реагировать. В безопасном - та же беда. Судя по всему, злодей применяет подобие эвристики, и прибивает подозрительные программы. Reg.exe запускался, кстати.
Пришлось загрузится с PE. Так и есть - в AppInit_DLLs прописана загрузка чего-то из Cursors, тоже дополнительный поток. Отключил это дело, разблокировал антивирус - заработало.
Через AVZ скрипт хотел поток вынуть, антивирь прибил его тут же.
Будем поискать очередные методы обхода. Не нравится мне это дело.
-
-
to bolshoy kot:
А интересно, как поступает вирус, если файловая система - FAT32?
Link.
Another link.
-
Сообщение от
thetoken12
это понятно что фат32 не поддерживает потоки, но совсем не факт что у этого вируса нет варианта заражения под фат32 без использования потоков
или факт?
имхо, если все возможности этого вируса неизвестны можно проверить их методом тыка, запустить вирус на фат32 и посмотреть
Последний раз редактировалось Юльча; 15.01.2010 в 02:14.
-
Сообщение от
user1213
Что означает этот набор символов: FhvejB ?
До двоеточия - имя файла, после него - имя потока в файле (я просто внес в реестр строчку из примера).
-
-
Вчера имел удовольствие ITW встретиться с данным трояном. И как раз система была с FAT32. Вычислил я его сразу:
1. он заразил мою флешку;
2. поиском по диску c:\ я нашел файл с таким же размером (f.dll он назывался).
2uuu99950:
Тот же regedit дает возможность загружать удаленные кусты реестра из файлов. Вы могли подгрузить кусты из файла SOFTWARE и Вам не пришлось бы производить манипуляции с подменой файлов. Но тогда, правда, и анализ реестра нужно было бы производить вручную, а тут без знаний автозагрузки не обойтись.
Анализ реестра также показал, что файл был прописан в AppInit_DLLs.
-
-
Сообщение от
sergey ulasen
Вчера имел удовольствие ITW встретиться с данным трояном. И как раз система была с FAT32.
вот и "проверили"
Сообщение от
sergey ulasen
Но тогда, правда, и анализ реестра нужно было бы производить вручную, а тут без знаний автозагрузки не обойтись.
Анализ реестра также показал, что файл был прописан в AppInit_DLLs.
имха
учитывая информацию об этих вирусах выложенную на вирусинфо, знаний о реестре много не нужно. ключи запусков таких вирусов подробно описаны..
уверенный пользователь, а может и новичок имеющий общее представление о реестре увидев ключики в примере на форуме, поймет шо и где у себя искать
-
Между тем, eKav (вернее, его новая версия - Internet Security) продолжает требовать SMS с пользователей Интернета. Например, на сайте Ответы.Mail.Ru есть открытые (т.е. недавно заданные вопросы) про этот троян.
Каков же путь заражения eKav? Установка фейк-кодека? Использование уязвимостей?