Geser
04.11.2004, 10:32
Программа SCardSer.exe - размер 13824 байта, сжата UPX 1.20, распакованный размер 36824 байт. Статически импортирует только три библиотеки - KERNEL.DLL, ADVAPI32.DLL, PSAPI.DLL. По причине статического импорта PSAPI.DLL не эта программа не работает в WIN-98. Посредством PSAPI она перечисляет процессы и загруженные ими модули. Так что дальнейшее исследование проведено на Win-XP. При запуске SCardSer.exe ищет в папке Windows\System32 файлы comwsock.dll и comsock.dll.
Сам exe написан на Microsoft C, и судя по экспресс анализу его автор читал Рихтера (те главы, которые посвящены внедрению троянских DLL в чужой процесс). Короче говоря, после запуска этот SCardSer.exe висит в памяти, а в результате его работы у системного процесса LSASS.EXE появляется "лишняя" DLL - та самая comwsock.dll из system32.
Теперь насчет comwsock.dll - она имеет размер 4096, сжата UPX - распакованный размер составляет 20480 байт. Экспортирует она слудующие функции:
??0CProhide@@QAE@XZ
??4CProhide@@QAEAAV0@ABV0@@Z
?fnProhide@@YAHXZ
?nProhide@@3HA
start
В библиотеке множетсво "звучащих" констант типа "iexplore.exe", "outlook.exe" и т.п. - она в цикле делает операции, аналогичные SCardSer.exe - с интервалом в N миллисекунд он пробегает по списку процессов и пытается внедрить в процессы с известными именами dmsock.dll Интервал попытки внедрения dmsock.dll - порядка 5 мин, что легко наблюдать при помощи FileMon на зараженной системе.
dmsock.dll является троянской библиотекой, она действительно внедряется в адресное пространство разных процессов и работает из их контекста (отсюда и странные сообщения Firewall о том, что скажем Explorer.exe лезет куда-то ...).
В ходе работы эта DLL устанавливает связь с хостом 218.16.121.115 (service2.pcview3.com) по порту 3131, обмен имеет вид:
передача DLL: 001 0.3.11;002 20176;003 22596
ответ: 002 OK
Т.е. у них свой протокол обмена с квитированием.
Кроме того, была отмечена попытка передачи на 218.16.121.115 UDP пакетов по порту 137.
Короче говоря, это Backdoor, причем весьма изощренный и экзотический (с двухступенчатым инжектирование троянских DLL в адресные пространства запущенных процессов). Он может обмануть ряд Firewall из-за того, что обмен будет идти из контекста "правильной" задачи.
Лечение - уничтожить SCardSer.exe, dmsock.dll, comwsock.dll и файлик mst.tlb - последний имеет небольшой объем и содержит некие данные (судя по всему зашифрованные)
Тк же удалить из реестра ключь
HKLM\System\CurrentControlSet\Services
netlog c:\windows\system32\scardser.exe
На сегодня обнаруживается только ДрВеб и КАВ
Разбор трояна (ц) Зайцев Олег
Сам exe написан на Microsoft C, и судя по экспресс анализу его автор читал Рихтера (те главы, которые посвящены внедрению троянских DLL в чужой процесс). Короче говоря, после запуска этот SCardSer.exe висит в памяти, а в результате его работы у системного процесса LSASS.EXE появляется "лишняя" DLL - та самая comwsock.dll из system32.
Теперь насчет comwsock.dll - она имеет размер 4096, сжата UPX - распакованный размер составляет 20480 байт. Экспортирует она слудующие функции:
??0CProhide@@QAE@XZ
??4CProhide@@QAEAAV0@ABV0@@Z
?fnProhide@@YAHXZ
?nProhide@@3HA
start
В библиотеке множетсво "звучащих" констант типа "iexplore.exe", "outlook.exe" и т.п. - она в цикле делает операции, аналогичные SCardSer.exe - с интервалом в N миллисекунд он пробегает по списку процессов и пытается внедрить в процессы с известными именами dmsock.dll Интервал попытки внедрения dmsock.dll - порядка 5 мин, что легко наблюдать при помощи FileMon на зараженной системе.
dmsock.dll является троянской библиотекой, она действительно внедряется в адресное пространство разных процессов и работает из их контекста (отсюда и странные сообщения Firewall о том, что скажем Explorer.exe лезет куда-то ...).
В ходе работы эта DLL устанавливает связь с хостом 218.16.121.115 (service2.pcview3.com) по порту 3131, обмен имеет вид:
передача DLL: 001 0.3.11;002 20176;003 22596
ответ: 002 OK
Т.е. у них свой протокол обмена с квитированием.
Кроме того, была отмечена попытка передачи на 218.16.121.115 UDP пакетов по порту 137.
Короче говоря, это Backdoor, причем весьма изощренный и экзотический (с двухступенчатым инжектирование троянских DLL в адресные пространства запущенных процессов). Он может обмануть ряд Firewall из-за того, что обмен будет идти из контекста "правильной" задачи.
Лечение - уничтожить SCardSer.exe, dmsock.dll, comwsock.dll и файлик mst.tlb - последний имеет небольшой объем и содержит некие данные (судя по всему зашифрованные)
Тк же удалить из реестра ключь
HKLM\System\CurrentControlSet\Services
netlog c:\windows\system32\scardser.exe
На сегодня обнаруживается только ДрВеб и КАВ
Разбор трояна (ц) Зайцев Олег