PDA

Просмотр полной версии : Trojan.Win32.KillAV.cn - KernelMode троян



Зайцев Олег
30.11.2007, 10:23
Небольшая троянская программа, предназначена для борьбы с антивирусами, Firewall и антивирусными утилитами. Размер исполняемого файла около 5 кб. В случае запуска скрытно выполняет следующие действия:
1. Создает на диске драйвер C:\WINDOWS\system32\unpr.sys размером 2.5 кб (данный файл хранится в теле Трояна)
2. Регистрирует драйвер через стандартное API под именем UNPR, после чего завершает работу

Троян не загружает установленный драйвер, поэтому его загрузка пройдет только после перезагрузки компьютера. Драйвер осуществляет слежение за загрузкой без перехвата функций, при помощи документированного механизма уведомлений о загрузке PE файлов в память (LoadImageNotifyRoutine). Получив уведомление о запуске процесса драйвер сравнивает имя исполняемого файла процесса с базой имен, имеющейся в драйвере (в драйвере две базы - база имен EXE файлов и база имен драйверов). Обнаружив совпадение, драйвер открывает процесс и завешает его работу.

Троян блокирует работу процессов с именами: avp.exe avpm.exe avz.exe bdmcon.exe bdss.exe ccapp.exe ccevtmgr.exe cclaw.exe ccpxysvc.exe fsav32.exe fsbl.exe fsm32.exe gcasserv.exe iao.exe icmon.exe inetupd.exe issvc.exe kav.exe kavss.exe kavsvc.exe klswd.exe livesrv.exe mcshield.exe msssrv.exe nod32krn.exe nod32ra.exe pavfnsvr.exe rtvscan.exe savscan.exe zclient.exe

Как легко заметить, в базе троянского драйвера есть avz.exe, что приводит к блокировке его запуска. Защититься от этого просто - идентификация процесса идет по имени, поэтому для защиты достаточно переименовать исполняемый файл, дав ему случайное имя типа 123.exe. Для удаления троянского драйвера можно применить скрипт AVZ следующего вида:
begin
DeleteService('UNPR', true);
RebootWindows(true);
end.

[500mhz]
30.11.2007, 20:00
не креативно по имени процессы килять

borka
30.11.2007, 23:35
;155504']не креативно по имени процессы килять
Есть другие варианты?

Muffler
30.11.2007, 23:48
Да и не один, например одна из версий этого зверька убивает АВ по заголвку окна...

borka
01.12.2007, 00:05
Да и не один, например одна из версий этого зверька убивает АВ по заголвку окна...
М-да... И о чем я думал... :embarasse

[500mhz]
01.12.2007, 11:55
заголовок тоже не панацея ) может же быть русская версия и англицкая
и соответственно заголовки будут разными
лучше сделать элементарную контрольну сумму куска кода , и места мало занимает и эффективно, и по ней килять процес

drongo
02.12.2007, 01:46
интересно, самозащита каспера спасала, когда каспер его сигнатуру не знал или нет ?

[500mhz]
02.12.2007, 13:37
не думаю
он же не из ring3 киляет а из 0, а там все равны, шо каспер шо вирус

Surfer
02.12.2007, 18:48
По идее сначало надо обойти проактивку, чтобы установить драйвер.
Затем снять хуки, чтобы можно было кильнуть процесс. =))

Muffler
02.12.2007, 20:07
По идее сначало надо обойти проактивку, чтобы установить драйвер.

Да, но насколько я знаю, это не проблема с проктивкой Касперского...

Jolly Rojer
03.12.2007, 11:23
;155797']не думаю
он же не из ring3 киляет а из 0, а там все равны, шо каспер шо вирус

+1 согласен логично!


Да, но насколько я знаю, это не проблема с проктивкой Касперского...

+1 ! Хотелось бы услышать мнение DVI

DVi
03.12.2007, 12:53
+1 ! Хотелось бы услышать мнение DVI
Лучше уж мнение Олега - у него уже есть испытательный стенд для препарирования зверька.

Jolly Rojer
03.12.2007, 13:13
Да, но насколько я знаю, это не проблема с проктивкой Касперского...

DVI. я хотел услышать именно Ваш комментари именно относительно данной цитаты как оффициального представителя ЛК ;)


Лучше уж мнение Олега - у него уже есть испытательный стенд для препарирования зверька.

Мнение Олега я в принципе уже знаю обсуждалось в привате с Олегом и Олег это может подтвердить ;) (хотя конкретно мнение о драйвере не обсуждалось... просто его можно было получить по ходу логического рассуждения) :)

DVi
03.12.2007, 14:13
DVI. я хотел услышать именно Ваш комментари именно относительно данной цитаты как оффициального представителя ЛК ;)

У меня нет испытательного стенда, поэтому я не могу никак прокомментировать эту цитату. Возможно, ее сможет прокомментировать сам Muffler.

Судя по тесту Олега (и тому, что он написал мне в приват), действия, совершаемые этим зверьком, успешно пресекаются и проактивкой, и самозащитой работающего на компьютере KAV/KIS7.

vaber
03.12.2007, 15:28
Да, но насколько я знаю, это не проблема с проктивкой Касперского...
Просто не просто, а большая часть малвар при инсталляции драйвера палятся проактивкой - будь то поведенческий анализ, будь то монитор реестра.

[500mhz]
03.12.2007, 15:47
Проверка WOWLoader
Автором был предоставлен билд и админка. Билд удачно отработал на WinХРsp2
Размер: 13,5кб
Упакованого: 7кб

avcheck.biz
VirusBuster 4.3.23:9 2007-11-19 18:25:21 ok
BitDefender v7.60825 2007-11-20 14:20:2 ok
DrWeb 4.33.0.09211 2007-11-20 14:47:11 ok
ClamAV 0.91.2/4855 2007-11-20 12:28:35 ok
f-prot 3.16.16 2007-11-17 0:40:15 ok
Avast! 071119-1 2007-11-20 0:1:0 ok
KAV 5.7.13 2007-11-20 15:11:2 ok
Avira 2.1.11-34 2007-11-20 14:50:12 ok
McAfee v5166 2007-11-19 7:20:0 ok
ArcaVir 1.0.5 2007-11-20 4:55:4 ok
Nod32 2.04 2007-11-13 5:35:14 ok

Kasper 7.0.0.124 проактивная защита - ОК
Outpost Firewall Pro 8 - ОК

Проверка на трафе дала хороший результат!
Было загруежено 350.
80,13% и учтите еще то что траф предпочтительно уса был.

Используется новая техника обхода, не BITS!

Комментарии:
------------------
Обошел аутпост и каспера - это есть гуд! Хочю отметить что у меня это первый лоадер который обошел эти защиты. Админка - тоже понравилась, простая но функциональная.
Коменты от el-
код понравился, довольно оригинальный метод обхода, описанию соответствует

в тему про проактивку
проверялось данное малваре 10 дней назад
:http://forum.web-hack.ru/index.php?showtopic=67412&st=0&#entry564888

ждем коментов от девелоперов проактивки

Зайцев Олег
03.12.2007, 15:57
Просто не просто, а большая часть малвар при инсталляции драйвера палятся проактивкой - будь то поведенческий анализ, будь то монитор реестра.
Совершенно верно - конкретно на этого зловреда проактивка KIS дает алерт "Перехвачена попытка создания значения в ключе системного реестра, который входит в группу System Services..."

Surfer
03.12.2007, 18:46
;156122']ждем коментов от девелоперов проактивки
Как говорят девелоперы, им нужны факты :)

Кстати есть довольно прилично методов обхода, популярный пример - говяный rku последних версий, ставит свой поганый драйвер втихую, проактивка молчит.

DVi
03.12.2007, 19:37
forum.web-hack.ru/index.php?showtopic=67412 (http://:http//forum.web-hack.ru/index.php?showtopic=67412&st=0&#entry564888)
Оценивание производят независимые эксперты: Maestro, el- и 500mhz.
Независимый эксперт 500mhz может дать зверька нам? На экспертизу.

Muffler
03.12.2007, 20:40
Возможно, ее сможет прокомментировать сам Muffler.

Не секрет что есть несколько способов обхода проактивной защиты КИС и КАВ(которые мы здесь не будем называть и обсуждать - не тот форум) на которые не обращает внимания ЛК.


Просто не просто, а большая часть малвар при инсталляции драйвера палятся проактивкой - будь то поведенческий анализ, будь то монитор реестра.

Да, это правда.


Независимый эксперт 500mhz может дать зверька нам? На экспертизу.

Хм... После такой фразы напрашивается вопрос, а вам(разработчикам) за что деньги платят? Тем более это уже давно публично описано и реализовано...

[500mhz]
03.12.2007, 20:47
э нет, мы как независимые эксперты соблюдаем прайвази клиентов а так же ихние наработки и сикреты )

vaber
03.12.2007, 21:12
Не секрет что есть несколько способов обхода проактивной защиты КИС и КАВ(которые мы здесь не будем называть и обсуждать - не тот форум) на которые не обращает внимания ЛК.

Обращает ;). Надеюсь, что в восьмерке все те способы,которые реализованы в теперешнем ITW будет возможность блокировать.

[500mhz]
03.12.2007, 21:24
ох уж это извечное противостояние )
ну и в 8 ченить найдется что может пригодится для наших корыстно чорных целей )

DVi
03.12.2007, 23:38
а вам(разработчикам) за что деньги платят? Тем более это уже давно публично описано и реализовано...

Разработчики обычно заняты рутиной (особенно в периоды между выпусокм новых версий продуктов). Исследовательскими проблемами и активным исследованием перспективных малвар они имеют возможность заниматься только в период активных разработок новых фич.
Поэтому закрывать дырки, нащупаные малварщиками в текущей реализации проактивки, эффективнее всего получается, превратив эти дырки в рутину: т.е. воспроизведя дырку на реальном семпле в тестлабе и записать багу высокого приоритета.

Именно поэтому я и прошу семпл для опытов в тестлабе.

[500mhz]
04.12.2007, 00:06
DVi
ну дык оно же продается разделе продаж
сходите в бухгалтерию и попрасите денег (WMZ) на научные изыскания и все )
неужели к вас нет статьи расходов на исследования?
ну если что то спишите как представительские )

Jolly Rojer
04.12.2007, 07:56
Muffler Вы полностью ответили на мой вопрос выше за что большое спасибо :)
Ваш комментарий удовлетворил меня полностью!

Добавлено через 55 секунд


;156322']DVi
ну дык оно же продается разделе продаж
сходите в бухгалтерию и попрасите денег (WMZ) на научные изыскания и все )
неужели к вас нет статьи расходов на исследования?
ну если что то спишите как представительские )

+1 ;)