Здравствуйте.
Я недавно обращался к специалистам, чтобы они проанализировали некую тулзу, которая распространяется разработчиком как некий чит, который отдаляет камеру в игре, то есть делает обзор выше.

Меня смутили некоторые детекты на ВТ, а так же комментарии от других юзеров.
В итоге выяснил сам очень многое, путем дизассемблирования этого "чита".

Что хотелось бы сразу заметить :
•Для сокрытия сигнатур, разработчик использовал криптор, который в свою очередь был написан на AutoIT - из-за этого по началу на вирус тотале вообще не было детектов.
•Юзал UPX.
•Склеил всё это дело с реально рабочим читом для игры ЛоЛ, то есть заявленный функционал у чита был.
•Ну и разумеется рекомендовал всем юзерам отключать антивирус перед использованием, объясняя это тем, что чит работает по некому алгоритму, который АВ детектят как сомнительный\подозрительный.Делается это якобы для того, чтобы обойти защиту сервера от людей, кто пытается подобного рода софт использовать.

Кусочек кода, который удалось достать, сразу же прояснил ситуацию :


00A050F0 178.150.126.172:1488....&.........178.150.126.172:8888...."...
00A05130 ......178.150.126.172:228...........Hacked!!!..... .......
00A05170 1488.............TRUE....&.........c:\directory\CyberGate\.
00A051B0 .........System32..............Syslogon.exe....6.. ....&...
00A051F0 {ACO46G2I-8VS4-6870-RJ0D-NRSK54583FI7}...........Winlogon....
00A05230 .........Winlogon.............FALSE............16. ....
00A05270 ......0.............CyberGate...>......,...Remote Administr
00A052B0 ation anywhere in the world..............TRUE.............
00A052F0 TRUE....".........ftp.freehost.int.ru.........../logss....

Видим тут путь до директории довольно-таки известного RAT'a (Remote Administration Toolkit) - в простонародье бэкдор (Cyber Gate).
Так же видим IP адрес нашего "разработчика" - 178.150.126.172, и соответственно локальные порты, по которым должен был идти отстук до его ПК, то есть до "админки" - 1488 / 8888 / 228 (сабж из города Харьков, Украина) - это мне подсказал GeoIP
Так же видим, какой бинарь упадет к нам в %windir%/system32/ - Syslogon.exe
Видим MUTEX -
{ACO46G2I-8VS4-6870-RJ0D-NRSK54583FI7}
А так же некий фтп сервер, куда, по всей видимости, должны были идти логи с кейлоггера (извиняюсь за туфтологию) - ftp.freehost.int.ru - директория для логов = /logss.


Я разумеется на том фтп побывал, но папка с логами пустая.Собственно, по непонятным мне причинам, ни сам .ехе чит, ни какой-либо из бинарей, упавших систему - не имеет сетевой активности (снифал Wireshark'ом, а так же настроил свой PC Tools FIrewall в режим "запросить" разрешение для любого приложения перед выходом в сеть) /

Сразу добавлю, что после запуска .ехе, левый бинарник падает не только в системную директорию, были замечены вот такие случаи :

Упал Svhost.exeв %appdata%
Упал 424242.exe в %temp%
Упал Syslogon.exe в %Windir%/system32/

Имею 2 теории, почему же наш троян не ломится в сеть :

1 - сабж для меньшей "палевности" установил в билд некий тайминг, чтобы отстук до админки шел не сразу, после запуска, а спустя какое-то время.
2 - Банальное, но имеет место - криптор, который сабж использовал для сокрытия сигнатур, просто напросто запорол ему билд, и тот оказался не рабочим.Собственно, эту утилиту юзает не меньше 1 000 человек, и я так полагаю, что если к примеру мне достался нерабочий семпл, то у кого-то он возможно выполняет свою роль трояна.
Прошу у вас помощи, если это возможно - сделать универсальный скрипт для помощи всем пострадавшим.Сделал бы сам, но знаний в этой области у меня не хватит.
Если имеете возможность, проведите пожалуйста свой анализ файла, может я что-то упустил, или где-то ошибся.
Заранее благодарю вас, за уделенное мне время и внимание.
С уважением. :)

Что, никто не поможет с решением этой задачи ?

Здравствуйте!

К сожалению, оперативно пока не получится провести анализ. Быть может, Вам пока лучше воспользоваться анализаторами поведения, типа как сервис от comodo? Похожих сервисов насчитывается несколько, попробую сегодня собрать ссылки, если заинтересует.

Да, разумеется, хотелось бы узнать конкретнее, что изменяет сей трой в системе, а так же куда и что он дропает после запуска, ибо я не уверен, что мой анализ полностью корректный.
С лечением хотелось бы конечно оперативнее, но я понимаю, что не один тут такой нуждающийся, и конечно же никого торопить не собираюсь.
В любом случае благодарен вам за помощь и отзывчивость :)
А сервисы для анализа увидеть было бы неплохо, даже если честно не в курсе, что таковые имеются.
Всё по старинке, отладчик да сниффер)

Вот от Comodo - http://camas.comodo.com
Вот еще сверху - http://threatexpert.com

Если я все правильно понял, то тут достаточно убить пару процессов, убрать троя из автозагрузки, и удалить созданные им бинари.

Вот что сказал мне сервис от комодо :


• Files Created
Name Size Last Write Time Creation Time Last Access Time Attr
C:\Documents and Settings\User\Local Settings\Temp\424242.exe 0 2009.01.09 10:37:43.890 2009.01.09 10:37:43.890 2009.01.09 10:37:43.890 0x22
C:\Documents and Settings\User\Local Settings\Temp\ZOOMHACK by ACONEX.exe 953207 2009.01.09 10:37:43.078 2009.01.09 10:37:42.375 2009.01.09 10:37:42.375 0x22


PId Process Name TId Start Start Mem Win32 Start Win32 Start Mem
0x2b0 lsass.exe 0x4c0 0x7c810856 MEM_IMAGE 0x77e76bf0 MEM_IMAGE


0x6a0 C:\DOCUME~1\User\LOCALS~1\Temp\424242.exe 0x404b9b User5


0x30c C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe 0x417c36 ClientWindowCreated
0x30c C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe 0x417c45 ClientThreadKilled
0x30c C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe 0x7473d2a8 CTF.ThreadMIConnectionEvent.000007A0.00000000.0000 0004
0x30c C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe 0x7473d2a8 CTF.ThreadMarshalInterfaceEvent.000007A0.00000000. 00000004
0x30c C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe 0x7473d2a8 MSCTF.SendReceive.Event.AKH.IC
0x30c C:\DOCUME~1\User\LOCALS~1\Temp\ZOOMHACK by ACONEX.exe 0x7473d2a8 MSCTF.SendReceiveConection.Event.AKH.IC

Может быть с учетом этих данных, вам будет проще разобраться с универсальным скриптом.
Меня смущает только случай с бинарем Syslogon.exe - у моего друга трой его запилил в %windir% или в system32

В общем жду мнения экспертов :)

Если есть возможность, сделайте отчеты AVZ по правилам хотя бы на двух зараженных компьютерах. Если методика заражения окажется идентичной, мы поможем Вам с универсальным скриптом для этой ситуации.

ShadowFrench, слегка дополню ваш анализ активности файла:

ZOOMHACK by ACONEX 2.exe написан на С++
Анализ на VT https://www.virustotal.com/ru/file/bec1d5fad5cbbbd039ce4317ec73772b0fa7774e1bb290d3c8 896604d0484882/analysis/1371993187/
детекты:
Kaspersky: UDS:DangerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77

Создаёт файлы:

C:\Windows\system32\H@tKeysH@@k.DLL
Размер: 20480 bytes
MD5 hash: 116ec20265b00cfe389518e2a0c7ed81
Анализ на VT https://www.virustotal.com/ru/file/ef9d09e51c42bc04d48444b2517471ea07f2d8a6a6a2e67dd6 35b7bf95bf8b7a/analysis/1371992759/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: Win32.Keylogger.HotKeysHook.A
F-Secure: Adware:W32/H@tKeysH@@k.A
DrWeb: Tool.Hatkeys


C:\Windows\system32\Syslogon.exe - имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Анализ на VT https://www.virustotal.com/ru/file/4e8cd23620c9b4b972b137128285a14946a11861ec76c56e3e 82e5f59112cd5e/analysis/1371993618/
детекты:
Kaspersky: UDS:DangerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77
ESET-NOD32: a variant of Win32/Injector.Autoit.MT


C:\Users\Roman\AppData\Local\Temp\424242.exe
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Является копией файла C:\Windows\system32\Syslogon.exe


C:\Users\Roman\AppData\Local\Temp\UserName2.txt
C:\Users\Roman\AppData\Local\Temp\UserName7
C:\Users\Roman\AppData\Local\Temp\UserName8


C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe - имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: 3ee3e1b800f02934230bf8467b852a5c
Анализ на VT https://www.virustotal.com/ru/file/18a6834074bc156907f63f75146b8fe11c00d090fab9311f63 301cdc9a0ea34e/analysis/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: TrojWare.Win32.Spy.HotKeys.A
ESET-NOD32: a variant of Win32/GameHack.EW

Создаёт скрытую папку:

C:\Users\UserName\AppData\Roaming\A3C66442

Создаёт скрытый файл

C:\Users\UserName\AppData\Roaming\A3C66442\dd-mm-yyyy
Вместо dd-mm-yyyy текущая дата в данном формате.
Размер: 350 bytes
MD5 hash: 311000b811c15be54df6a4c92e968e92

создаёт файл

c:\Sandbox\Roman\Viri\user\current\AppData\Roaming \A3C66442\ak.tmp
следующего содержания

Hacked!!!_A3C66442 - Installed on DD/MM/YYYY -- hh:mm
DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.


C:\Users\Roman\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Startup\Syslogon.exe - имеет атрибуты скрытого
находится в автозапуске.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Явдяется копией - C:\Windows\system32\Syslogon.exe

Сетевая активность:
поключается к

"178.150.126.172" on port 228.
"178.150.126.172" on port 1488.
"178.150.126.172" on port 8888.

Создаёт мьютексы:

_SHuassist.mtx
{C20CD437-BA6D-4ebb-B190-70B43DE3B0F3}

Создаёт процессы


C:\Users\UserName\AppData\Local\Temp\424242.exe
C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe
C:\Windows\System32\Syslogon.exe

Создаёт/изменяет следующие ключи реестра


machine\software\microsoft\Active Setup\Installed Components\{ACO46G2I-8VS4-6870-RJ0D-NRSK54583FI7}\StubPath = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\ Explorer\BitBucket\NukeOnDelete = 00000001
machine\software\microsoft\Windows\CurrentVersion\ Explorer\BitBucket\UseGlobalSettings = 00000001
machine\software\microsoft\Windows\CurrentVersion\ Policies\Explorer\run\Policies = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\ Run\Winlogon = C:\Windows\System32\Syslogon.exe
user\current\software\Hacked!!!\FirstExecution = DD/MM/YYYY -- hh:mm
user\current\software\Hacked!!!\NewIdentification = Hacked!!!
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{47c0f14b-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{47c0f14c-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{84640fa8-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{84640fac-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{fcdbc158-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{fcdbc159-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{fcdbc15a-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Policies\Explorer\Run\Policies = C:\Windows\System32\Syslogon.exe
user\current\software\Microsoft\Windows\CurrentVer sion\Run\Winlogon = C:\Windows\System32\Syslogon.exe

параметр NukeOnDelete = 00000001 означает, что файлы будут удаляться напрямую минуя корзину.
DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.

Обладает функционалам кейлогера.

- - - Добавлено - - -

ссылку с первого поста удалите, закачал сюда (http://virusinfo.info/showthread.php?t=37678)


Результат загрузкиФайл сохранён как 130623_200656_ZOOMHACK by ACONEX 2_51c75560c9ed3.zip
Размер файла 3406896
MD5 68e4ee2f03c106ee26ae3c52f3fbfe24

Файл закачан, спасибо!

ShadowFrench, слегка дополню ваш анализ активности файла:

ZOOMHACK by ACONEX 2.exe написан на С++
Анализ на VT https://www.virustotal.com/ru/file/bec1d5fad5cbbbd039ce4317ec73772b0fa7774e1bb290d3c8 896604d0484882/analysis/1371993187/
детекты:
Kaspersky: UDS:DangerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77

Создаёт файлы:

C:\Windows\system32\H@tKeysH@@k.DLL
Размер: 20480 bytes
MD5 hash: 116ec20265b00cfe389518e2a0c7ed81
Анализ на VT https://www.virustotal.com/ru/file/ef9d09e51c42bc04d48444b2517471ea07f2d8a6a6a2e67dd6 35b7bf95bf8b7a/analysis/1371992759/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: Win32.Keylogger.HotKeysHook.A
F-Secure: Adware:W32/H@tKeysH@@k.A
DrWeb: Tool.Hatkeys


C:\Windows\system32\Syslogon.exe - имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Анализ на VT https://www.virustotal.com/ru/file/4e8cd23620c9b4b972b137128285a14946a11861ec76c56e3e 82e5f59112cd5e/analysis/1371993618/
детекты:
Kaspersky: UDS:DangerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77
ESET-NOD32: a variant of Win32/Injector.Autoit.MT


C:\Users\Roman\AppData\Local\Temp\424242.exe
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Является копией файла C:\Windows\system32\Syslogon.exe


C:\Users\Roman\AppData\Local\Temp\UserName2.txt
C:\Users\Roman\AppData\Local\Temp\UserName7
C:\Users\Roman\AppData\Local\Temp\UserName8


C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe - имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: 3ee3e1b800f02934230bf8467b852a5c
Анализ на VT https://www.virustotal.com/ru/file/18a6834074bc156907f63f75146b8fe11c00d090fab9311f63 301cdc9a0ea34e/analysis/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: TrojWare.Win32.Spy.HotKeys.A
ESET-NOD32: a variant of Win32/GameHack.EW

Создаёт скрытую папку:

C:\Users\UserName\AppData\Roaming\A3C66442

Создаёт скрытый файл

C:\Users\UserName\AppData\Roaming\A3C66442\dd-mm-yyyy
Вместо dd-mm-yyyy текущая дата в данном формате.
Размер: 350 bytes
MD5 hash: 311000b811c15be54df6a4c92e968e92

создаёт файл

c:\Sandbox\Roman\Viri\user\current\AppData\Roaming \A3C66442\ak.tmp
следующего содержания

DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.


C:\Users\Roman\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Startup\Syslogon.exe - имеет атрибуты скрытого
находится в автозапуске.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Явдяется копией - C:\Windows\system32\Syslogon.exe

Сетевая активность:
поключается к

"178.150.126.172" on port 228.
"178.150.126.172" on port 1488.
"178.150.126.172" on port 8888.

Создаёт мьютексы:

_SHuassist.mtx
{C20CD437-BA6D-4ebb-B190-70B43DE3B0F3}

Создаёт процессы


C:\Users\UserName\AppData\Local\Temp\424242.exe
C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe
C:\Windows\System32\Syslogon.exe

Создаёт/изменяет следующие ключи реестра


machine\software\microsoft\Active Setup\Installed Components\{ACO46G2I-8VS4-6870-RJ0D-NRSK54583FI7}\StubPath = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\ Explorer\BitBucket\NukeOnDelete = 00000001
machine\software\microsoft\Windows\CurrentVersion\ Explorer\BitBucket\UseGlobalSettings = 00000001
machine\software\microsoft\Windows\CurrentVersion\ Policies\Explorer\run\Policies = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\ Run\Winlogon = C:\Windows\System32\Syslogon.exe
user\current\software\Hacked!!!\FirstExecution = DD/MM/YYYY -- hh:mm
user\current\software\Hacked!!!\NewIdentification = Hacked!!!
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{47c0f14b-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{47c0f14c-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{84640fa8-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{84640fac-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{fcdbc158-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{fcdbc159-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Explorer\BitBucket\Volume\{fcdbc15a-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVer sion\Policies\Explorer\Run\Policies = C:\Windows\System32\Syslogon.exe
user\current\software\Microsoft\Windows\CurrentVer sion\Run\Winlogon = C:\Windows\System32\Syslogon.exe

параметр NukeOnDelete = 00000001 означает, что файлы будут удаляться напрямую минуя корзину.
DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.

Обладает функционалам кейлогера.

- - - Добавлено - - -

ссылку с первого поста удалите, закачал сюда (http://virusinfo.info/showthread.php?t=37678)

я уже не могу править первый пост, поэтому попрошу модераторов убрать линк на rghost из моего топика.
всем спасибо за помощь, с отчетами авз и хайджек постараюсь решить вопрос и опубликовать их в этой теме.

и опубликовать их в этой теме.

Не-а, не пойдет. Все вопросы по логам в этом разделе (http://http://virusinfo.info/forumdisplay.php?f=46), в новой теме, так уж принято. :)

Хорошо, правила есть правила.
Вот топик.

http://virusinfo.info/showthread.php?t=141220&p=1014529#post1014529

Хорошо, правила есть правила.
Вот топик.

http://virusinfo.info/showthread.php?t=141220&p=1014529#post1014529