Кто поможет с универсальным лечением для пострадавших ?

**ShadowFrench** · 17.06.2013, 16:05

Здравствуйте.
Я недавно обращался к специалистам, чтобы они проанализировали некую тулзу, которая распространяется разработчиком как некий чит, который отдаляет камеру в игре, то есть делает обзор выше.

Меня смутили некоторые детекты на ВТ, а так же комментарии от других юзеров.
В итоге выяснил сам очень многое, путем дизассемблирования этого "чита".

Что хотелось бы сразу заметить :
•Для сокрытия сигнатур, разработчик использовал криптор, который в свою очередь был написан на AutoIT - из-за этого по началу на вирус тотале вообще не было детектов.
•Юзал UPX.
•Склеил всё это дело с реально рабочим читом для игры ЛоЛ, то есть заявленный функционал у чита был.
•Ну и разумеется рекомендовал всем юзерам отключать антивирус перед использованием, объясняя это тем, что чит работает по некому алгоритму, который АВ детектят как сомнительный\подозрительный.Делается это якобы для того, чтобы обойти защиту сервера от людей, кто пытается подобного рода софт использовать.

Кусочек кода, который удалось достать, сразу же прояснил ситуацию :

Код:

00A050F0  178.150.126.172:1488....&.........178.150.126.172:8888...."...
00A05130  ......178.150.126.172:228...........Hacked!!!............
00A05170  1488.............TRUE....&.........c:\directory\CyberGate\.
00A051B0  .........System32..............Syslogon.exe....6......&...
00A051F0  {ACO46G2I-8VS4-6870-RJ0D-NRSK54583FI7}...........Winlogon....
00A05230  .........Winlogon.............FALSE............16.....
00A05270  ......0.............CyberGate...>......,...Remote Administr
00A052B0  ation anywhere in the world..............TRUE.............
00A052F0  TRUE....".........ftp.freehost.int.ru.........../logss....

Видим тут путь до директории довольно-таки известного RAT'a (Remote Administration Toolkit) - в простонародье бэкдор (Cyber Gate).
Так же видим IP адрес нашего "разработчика" - 178.150.126.172, и соответственно локальные порты, по которым должен был идти отстук до его ПК, то есть до "админки" - 1488 / 8888 / 228 (сабж из города Харьков, Украина) - это мне подсказал GeoIP
Так же видим, какой бинарь упадет к нам в %windir%/system32/ - Syslogon.exe
Видим MUTEX -

Код:

{ACO46G2I-8VS4-6870-RJ0D-NRSK54583FI7}

А так же некий фтп сервер, куда, по всей видимости, должны были идти логи с кейлоггера (извиняюсь за туфтологию) - ftp.freehost.int.ru - директория для логов = /logss.

Я разумеется на том фтп побывал, но папка с логами пустая.Собственно, по непонятным мне причинам, ни сам .ехе чит, ни какой-либо из бинарей, упавших систему - не имеет сетевой активности (снифал Wireshark'ом, а так же настроил свой PC Tools FIrewall в режим "запросить" разрешение для любого приложения перед выходом в сеть) /

Сразу добавлю, что после запуска .ехе, левый бинарник падает не только в системную директорию, были замечены вот такие случаи :

Упал Svhost.exeв %appdata%
Упал 424242.exe в %temp%
Упал Syslogon.exe в %Windir%/system32/

Имею 2 теории, почему же наш троян не ломится в сеть :

1 - сабж для меньшей "палевности" установил в билд некий тайминг, чтобы отстук до админки шел не сразу, после запуска, а спустя какое-то время.
2 - Банальное, но имеет место - криптор, который сабж использовал для сокрытия сигнатур, просто напросто запорол ему билд, и тот оказался не рабочим.Собственно, эту утилиту юзает не меньше 1 000 человек, и я так полагаю, что если к примеру мне достался нерабочий семпл, то у кого-то он возможно выполняет свою роль трояна.
Прошу у вас помощи, если это возможно - сделать универсальный скрипт для помощи всем пострадавшим.Сделал бы сам, но знаний в этой области у меня не хватит.
Если имеете возможность, проведите пожалуйста свой анализ файла, может я что-то упустил, или где-то ошибся.
Заранее благодарю вас, за уделенное мне время и внимание.
С уважением.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**ShadowFrench** · 20.06.2013, 20:25

Что, никто не поможет с решением этой задачи ?

**olejah** · 20.06.2013, 20:28

Здравствуйте!

К сожалению, оперативно пока не получится провести анализ. Быть может, Вам пока лучше воспользоваться анализаторами поведения, типа как сервис от comodo? Похожих сервисов насчитывается несколько, попробую сегодня собрать ссылки, если заинтересует.

**ShadowFrench** · 20.06.2013, 22:28

Да, разумеется, хотелось бы узнать конкретнее, что изменяет сей трой в системе, а так же куда и что он дропает после запуска, ибо я не уверен, что мой анализ полностью корректный.
С лечением хотелось бы конечно оперативнее, но я понимаю, что не один тут такой нуждающийся, и конечно же никого торопить не собираюсь.
В любом случае благодарен вам за помощь и отзывчивость

А сервисы для анализа увидеть было бы неплохо, даже если честно не в курсе, что таковые имеются.
Всё по старинке, отладчик да сниффер)

**olejah** · 20.06.2013, 23:02

Вот от Comodo - http://camas.comodo.com
Вот еще сверху - http://threatexpert.com

**ShadowFrench** · 21.06.2013, 02:00

Если я все правильно понял, то тут достаточно убить пару процессов, убрать троя из автозагрузки, и удалить созданные им бинари.

Вот что сказал мне сервис от комодо :

Код:

• Files Created
Name	Size	Last Write Time	Creation Time	Last Access Time	Attr
C:\Documents and Settings\User\Local Settings\Temp\424242.exe	0	2009.01.09 10:37:43.890	2009.01.09 10:37:43.890	2009.01.09 10:37:43.890	0x22
C:\Documents and Settings\User\Local Settings\Temp\ZOOMHACK by ACONEX.exe	953207	2009.01.09 10:37:43.078	2009.01.09 10:37:42.375	2009.01.09 10:37:42.375	0x22

Код:

PId	Process Name	TId	Start	Start Mem	Win32 Start	Win32 Start Mem
0x2b0	lsass.exe	0x4c0	0x7c810856	MEM_IMAGE	0x77e76bf0	MEM_IMAGE

Код:

0x6a0	C:\DOCUME~1\User\LOCALS~1\Temp\424242.exe	0x404b9b	User5

Код:

0x30c	C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe	0x417c36	ClientWindowCreated
0x30c	C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe	0x417c45	ClientThreadKilled
0x30c	C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe	0x7473d2a8	CTF.ThreadMIConnectionEvent.000007A0.00000000.00000004
0x30c	C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe	0x7473d2a8	CTF.ThreadMarshalInterfaceEvent.000007A0.00000000.00000004
0x30c	C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe	0x7473d2a8	MSCTF.SendReceive.Event.AKH.IC
0x30c	C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe	0x7473d2a8	MSCTF.SendReceiveConection.Event.AKH.IC

Может быть с учетом этих данных, вам будет проще разобраться с универсальным скриптом.
Меня смущает только случай с бинарем Syslogon.exe - у моего друга трой его запилил в %windir% или в system32

В общем жду мнения экспертов

**Никита Соловьев** · 21.06.2013, 14:24

Если есть возможность, сделайте отчеты AVZ по правилам хотя бы на двух зараженных компьютерах. Если методика заражения окажется идентичной, мы поможем Вам с универсальным скриптом для этой ситуации.

**regist** · 24.06.2013, 00:10

ShadowFrench, слегка дополню ваш анализ активности файла:

Скрытый текст

ZOOMHACK by ACONEX 2.exe написан на С++
Анализ на VT https://www.virustotal.com/ru/file/b...is/1371993187/
детекты:
Kaspersky: UDS

angerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77

Создаёт файлы:

Код:

C:\Windows\system32\H@tKeysH@@k.DLL

Размер: 20480 bytes
MD5 hash: 116ec20265b00cfe389518e2a0c7ed81
Анализ на VT https://www.virustotal.com/ru/file/e...is/1371992759/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: Win32.Keylogger.HotKeysHook.A
F-Secure: Adware:W32/H@tKeysH@@k.A
DrWeb: Tool.Hatkeys

Код:

C:\Windows\system32\Syslogon.exe

- имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Анализ на VT https://www.virustotal.com/ru/file/4...is/1371993618/
детекты:
Kaspersky: UDS

angerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77
ESET-NOD32: a variant of Win32/Injector.Autoit.MT

Код:

C:\Users\Roman\AppData\Local\Temp\424242.exe

Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Является копией файла C:\Windows\system32\Syslogon.exe

Код:

C:\Users\Roman\AppData\Local\Temp\UserName2.txt
C:\Users\Roman\AppData\Local\Temp\UserName7
C:\Users\Roman\AppData\Local\Temp\UserName8

Код:

C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe

- имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: 3ee3e1b800f02934230bf8467b852a5c
Анализ на VT https://www.virustotal.com/ru/file/1...a34e/analysis/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: TrojWare.Win32.Spy.HotKeys.A
ESET-NOD32: a variant of Win32/GameHack.EW

Создаёт скрытую папку:

Код:

C:\Users\UserName\AppData\Roaming\A3C66442

Создаёт скрытый файл

Код:

C:\Users\UserName\AppData\Roaming\A3C66442\dd-mm-yyyy

Вместо dd-mm-yyyy текущая дата в данном формате.
Размер: 350 bytes
MD5 hash: 311000b811c15be54df6a4c92e968e92

создаёт файл

Код:

c:\Sandbox\Roman\Viri\user\current\AppData\Roaming\A3C66442\ak.tmp

следующего содержания

Hacked!!!_A3C66442 - Installed on DD/MM/YYYY -- hh:mm

DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.

Код:

C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Syslogon.exe

- имеет атрибуты скрытого
находится в автозапуске.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Явдяется копией - C:\Windows\system32\Syslogon.exe

Сетевая активность:
поключается к

Код:

"178.150.126.172" on port 228.
"178.150.126.172" on port 1488.
"178.150.126.172" on port 8888.

Создаёт мьютексы:

Код:

_SHuassist.mtx
{C20CD437-BA6D-4ebb-B190-70B43DE3B0F3}

Создаёт процессы

Код:

C:\Users\UserName\AppData\Local\Temp\424242.exe
C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe
C:\Windows\System32\Syslogon.exe

Создаёт/изменяет следующие ключи реестра

Код:

machine\software\microsoft\Active Setup\Installed Components\{ACO46G2I-8VS4-6870-RJ0D-NRSK54583FI7}\StubPath = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\NukeOnDelete = 00000001
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\UseGlobalSettings = 00000001
machine\software\microsoft\Windows\CurrentVersion\Policies\Explorer\run\Policies = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\Run\Winlogon = C:\Windows\System32\Syslogon.exe
user\current\software\Hacked!!!\FirstExecution = DD/MM/YYYY -- hh:mm
user\current\software\Hacked!!!\NewIdentification = Hacked!!!
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{47c0f14b-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{47c0f14c-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{84640fa8-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{84640fac-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{fcdbc158-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{fcdbc159-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{fcdbc15a-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies = C:\Windows\System32\Syslogon.exe
user\current\software\Microsoft\Windows\CurrentVersion\Run\Winlogon = C:\Windows\System32\Syslogon.exe

параметр NukeOnDelete = 00000001 означает, что файлы будут удаляться напрямую минуя корзину.
DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.

Обладает функционалам кейлогера.

Скрыть

- - - Добавлено - - -

ссылку с первого поста удалите, закачал сюда

Результат загрузкиФайл сохранён как 130623_200656_ZOOMHACK by ACONEX 2_51c75560c9ed3.zip
Размер файла 3406896
MD5 68e4ee2f03c106ee26ae3c52f3fbfe24

Файл закачан, спасибо!

**ShadowFrench** · 29.06.2013, 19:43

Сообщение от regist

ShadowFrench, слегка дополню ваш анализ активности файла:

Скрытый текст

ZOOMHACK by ACONEX 2.exe написан на С++
Анализ на VT https://www.virustotal.com/ru/file/b...is/1371993187/
детекты:
Kaspersky: UDS

angerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77

Создаёт файлы:

Код:

C:\Windows\system32\H@tKeysH@@k.DLL

Размер: 20480 bytes
MD5 hash: 116ec20265b00cfe389518e2a0c7ed81
Анализ на VT https://www.virustotal.com/ru/file/e...is/1371992759/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: Win32.Keylogger.HotKeysHook.A
F-Secure: Adware:W32/H@tKeysH@@k.A
DrWeb: Tool.Hatkeys

Код:

C:\Windows\system32\Syslogon.exe

- имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Анализ на VT https://www.virustotal.com/ru/file/4...is/1371993618/
детекты:
Kaspersky: UDS

angerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77
ESET-NOD32: a variant of Win32/Injector.Autoit.MT

Код:

C:\Users\Roman\AppData\Local\Temp\424242.exe

Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Является копией файла C:\Windows\system32\Syslogon.exe

Код:

C:\Users\Roman\AppData\Local\Temp\UserName2.txt
C:\Users\Roman\AppData\Local\Temp\UserName7
C:\Users\Roman\AppData\Local\Temp\UserName8

Код:

C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe

- имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: 3ee3e1b800f02934230bf8467b852a5c
Анализ на VT https://www.virustotal.com/ru/file/1...a34e/analysis/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: TrojWare.Win32.Spy.HotKeys.A
ESET-NOD32: a variant of Win32/GameHack.EW

Создаёт скрытую папку:

Код:

C:\Users\UserName\AppData\Roaming\A3C66442

Создаёт скрытый файл

Код:

C:\Users\UserName\AppData\Roaming\A3C66442\dd-mm-yyyy

Вместо dd-mm-yyyy текущая дата в данном формате.
Размер: 350 bytes
MD5 hash: 311000b811c15be54df6a4c92e968e92

создаёт файл

Код:

c:\Sandbox\Roman\Viri\user\current\AppData\Roaming\A3C66442\ak.tmp

следующего содержания

DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.

Код:

C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Syslogon.exe

- имеет атрибуты скрытого
находится в автозапуске.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Явдяется копией - C:\Windows\system32\Syslogon.exe

Сетевая активность:
поключается к

Код:

"178.150.126.172" on port 228.
"178.150.126.172" on port 1488.
"178.150.126.172" on port 8888.

Создаёт мьютексы:

Код:

_SHuassist.mtx
{C20CD437-BA6D-4ebb-B190-70B43DE3B0F3}

Создаёт процессы

Код:

C:\Users\UserName\AppData\Local\Temp\424242.exe
C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe
C:\Windows\System32\Syslogon.exe

Создаёт/изменяет следующие ключи реестра

Код:

machine\software\microsoft\Active Setup\Installed Components\{ACO46G2I-8VS4-6870-RJ0D-NRSK54583FI7}\StubPath = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\NukeOnDelete = 00000001
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\UseGlobalSettings = 00000001
machine\software\microsoft\Windows\CurrentVersion\Policies\Explorer\run\Policies = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\Run\Winlogon = C:\Windows\System32\Syslogon.exe
user\current\software\Hacked!!!\FirstExecution = DD/MM/YYYY -- hh:mm
user\current\software\Hacked!!!\NewIdentification = Hacked!!!
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{47c0f14b-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{47c0f14c-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{84640fa8-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{84640fac-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{fcdbc158-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{fcdbc159-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{fcdbc15a-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies = C:\Windows\System32\Syslogon.exe
user\current\software\Microsoft\Windows\CurrentVersion\Run\Winlogon = C:\Windows\System32\Syslogon.exe

параметр NukeOnDelete = 00000001 означает, что файлы будут удаляться напрямую минуя корзину.
DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.

Обладает функционалам кейлогера.

Скрыть

- - - Добавлено - - -

ссылку с первого поста удалите, закачал сюда

я уже не могу править первый пост, поэтому попрошу модераторов убрать линк на rghost из моего топика.
всем спасибо за помощь, с отчетами авз и хайджек постараюсь решить вопрос и опубликовать их в этой теме.

**olejah** · 29.06.2013, 21:17

Сообщение от ShadowFrench

и опубликовать их в этой теме.

Не-а, не пойдет. Все вопросы по логам в этом разделе, в новой теме, так уж принято.

**ShadowFrench** · 30.06.2013, 00:19

Хорошо, правила есть правила.
Вот топик.

http://virusinfo.info/showthread.php...29#post1014529

**ShadowFrench** · 30.06.2013, 00:19

Хорошо, правила есть правила.
Вот топик.

http://virusinfo.info/showthread.php...29#post1014529

Кто поможет с универсальным лечением для пострадавших ?

Опции темы