Показано с 1 по 1 из 1.

Trojan-Spy.Win32.Goldun.axw

  1. #1
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1236

    Post Trojan-Spy.Win32.Goldun.axw

    Trojan-Spy.Win32.Goldun.axw

    Написан на ассемблере. Антивирусом касперского детектируется как Trojan-Spy.Win32.Goldun.axw.
    Сам файл содержит защиту от запуска на виртуальным машинах (в том числе и VMware) и элементы антиэмуляции, достаточно сильно зашифрован (не считая того, что поверх этого он, дабы не детектироваться антивирусами был еще и закриптован разными крипторами - это стандартно, редко в "живой природе" можно встретить некриптованного зловреда).

    Рассмотрим, что троян делает при запуске:

    Создает следующие файлы:
    C:\WINDOWS\system32\upscr.sys
    (размер 8.42 Кб)
    C:\WINDOWS\system32\upsctl.dll
    (размер 22.2 Кб, упакована UPX, в распакованном виде - 44.2 Кб)

    Для того, что бы остаться в системе (загружаться вместе с ней) троян создает раздел:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\upsctl
    и прописывает туда свою dll (upsctl.dll)

    Внедряется в процесс проводника. Загружает в него свою библиотеку (upsctl.dll). И удаляет сам исполняемый файл (тот, что мы запускали).

    После перезагрузки компьютера делает следующее (укажу лишь существенные и интересные, на мой взгляд, для нас действия):

    1). Внедряет свою библиотеку в проводник. После чего уже "от имени" проводника внедряется во все запускаемые нами приложения.
    2). Скрывает свои файлы (upscr.sys и upsctl.dll), для этого (и для своевременного внедрения и других действий) перехватывает:
    NtQueryDirectoryFile, IoCreateFile, IoGetCurrentProcess, PsGetCurrentProcess, NtCreateProcess, NtCreateProcessEx, NtOpenProcess, IoCreateDevice...
    Стоит отметить, что свои записи в реестре он не скрывает, и в автозапуске его видит даже самый "ленивый" просмотрщик автозагрузки.
    К примеру HJT это дело палит так:
    O20 - Winlogon Notify: upsctl - C:\WINDOWS\SYSTEM32\upsctl.dll
    (и следовательно можно эту строку "пофиксить" - только это ничего нам не даст, почему - см. далее)
    3). Для обхода системного фаервола в реестр вносит следующую запись в раздел:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001(2)\Service s\SharedAccess\Parameters\FirewallPolicy\StandardP rofile\AuthorizedApplications\List
    имя:
    \??\C:\WINDOWS\system32\winlogon.exe
    значение:
    \??\C:\WINDOWS\system32\winlogon.exe:Enabled:explorer
    4). Для того, что бы загружаться и в безопасном режиме пишет в реестр следующее:
    SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ upscr.sys
    SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ upscr.sys
    итого получается, что его драйвер будет грузиться и в безопасном режиме
    5). Блокирует создание/действия файлов с расширением avz
    6). Также создает следующие разделы и прописывает туда свой драйвер:
    HKLM\SYSTEM\ControlSet001\Services\upscr\
    HKLM\SYSTEM\CurrentControlSet\Services\upscr\

    Важно: нужно заметить, что все, создаваемые им, файлы/ключи - имеют статичные (постоянные во времени и пространстве) имена.


    Борьба с ним:

    1). AVPTool сборки 20 сентября 2008 года уверенно лечит этот зловред (детектирует и драйвер и библиотеку) - находит и при перезагрузке удаляет, при этом, трояном успешно блокируется создание AVPTool'ом файлов на диске с расширением *.avz, но они не нужны для автоматической чистки системы и поэтому AVPTool справляется с поставленной задачей.
    2). CureIt! сборки 20 сентября 2008 находит только библиотеку и вылечить не может - просит произвести лечение при перезагрузке, но перезагрузить компьютер у него не выходит. При аварийной перезагрузке ПК - все остается на своих местах. Более новой версией CureIt'a не проверялась система - т.к какой был в дистрибутивах тем и проверил.
    3). Под ограниченным пользователем работать не сможет - вот и защита
    4). Любая проактивная защита (даже самая "ленивая") обнаружила бы его т.к он делает все, что не желательно делать по мнению ПДМ - пишет в system32, в автозагрузку в реестр, внедряется в процесс, загружает в процесс библиотеку и т.д
    5). Может быть остановлен на последнем этапе - при отсылке данных - любым фаерволом - т.к никакой попытки их обхода (кроме системного) он делать не пробует.
    6). При запуске такого (подобного) зловреда самое главное - не поддаваться панике - это в первую очередь, во вторую - выдернуть интернет-кабель (что-бы ничего не отослал) и третье - не перезагружать компьютер. Пока компьютер не перезагружен вычистить будет проще.
    7). С помощью одиночного файла АВЗ (pingpong) этот зловред можно вылечить, к примеру, таким вот скриптом:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\upscr.sys');
    DeleteFile('C:\WINDOWS\system32\upsctl.dll');
    DelWinlogonNotifyByKeyName('upsctl');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Хочется отметить, что данный зловред очень хорошо виден в логе АВЗ, даже очень хорошо.
    Возможно, кому-то в будущем может пригодится, а также для наглядности расскажу где зловред виден в логе сбора информации:
    7.1). В загруженных модулях
    7.2). В модулях пространства ядра
    7.3). В автозапуске
    7.4). В "Подозрительные объекты"
    7.5). В текстовой части протокола


    8). Но т.к я люблю просто так "ковыряться" во всем, что относится к системе, то и тут не буду изменять своим привычкам и покажу самый простой способ (по-моему) как от этого зловреда можно избавиться руками.
    Т.к ключи в реестре свои он не прячет, то попробуем этим воспользоваться и удалить его руками. Идем в реестр (Пуск - Выполнить - regedit). И делаем действия по инструкции:
    8.1). Удаляем раздел:
    HKLM\SYSTEM\CurrentControlSet\Services\upscr\

    8.2). На вот этом разделе:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\upsctl
    щелкаем правой клавишей - вызываем контекстное меню и в выпавшей "менюшке" нажимаем на "Разрешения...".

    Там в окошечке "Группы и пользователи" выделяем строку SYSTEM (нажимаем на нее левой клавишей мыши) и после этого в окошке ниже под названием "Разрешения для SYSTEM" ставим галочки напротив запретить на "Полный доступ" и на "Чтение". Затем нажимаем применить и переименовываем в этом ключе upsctl.dll на что-то другое (например на up3sctl.dll). После этого спокойно нажимаем на RESET на системном блоке и после перезагрузки руками удаляем оставшиеся ключи и файлы с компьютера.
    Стоит отметить, что если этот ключ просто так удалять - он появится снова, поэтому приходится делать вот так...


    Функции зловреда:

    1). Тащит пароли от IE, из The Bat!, грабит формы.
    2). Удаляет из IE добавленные элементы (тулбары, BHO...) видимо для более комфортной своей работы.
    3). Тащит еще пароли из разных программ - узнать, что за программы чисто визуально я не смог - т.к мне видны лишь имена файлов, в которых они хранят свои пароли - узнавать, что за программы хранят свои пароли в файлах с такими именами я не стал, т.к это довольно-таки проблематично.
    4). Мешает пользователю заходить на следующие сайты:
    Код:
    virusinfo.info
    customer.symantec.com
    download.mcafee.com
    mcafee.com
    securityresponse.symantec.com
    liveupdate.symantec.com
    ftp.sophos.com
    liveupdate.symantecliveupdate.com
    networkassociates.com
    5). Хитрым способом ворует ключи и пароли от системы Webmoney (собирает по кускам)
    6). Собранные данные (пароли...) передает на хост в интернете.

  2. Реклама
     

Похожие темы

  1. компьютер заражен Trojan-Spy.Win32.Goldun.ms
    От kostik-x в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 22.02.2009, 04:14
  2. Trojan.Goldun.DQ
    От solver в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 22.02.2009, 01:40
  3. Trojan-Spy.Win32.Goldun.pw
    От NStorm в разделе Вредоносные программы
    Ответов: 3
    Последнее сообщение: 30.08.2007, 12:43
  4. Помогите Trojan-Spy.Win32.Goldun.ms!!!!!
    От Боня в разделе Вредоносные программы
    Ответов: 1
    Последнее сообщение: 26.01.2007, 16:08
  5. Trojan-Spy.Win32.Goldun.no
    От Andrey M в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.11.2006, 01:55

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01315 seconds with 17 queries