PDA

Просмотр полной версии : Trojan-Spy.Win32.Goldun.axw



priv8v
30.09.2008, 20:39
Trojan-Spy.Win32.Goldun.axw


Написан на ассемблере. Антивирусом касперского детектируется как Trojan-Spy.Win32.Goldun.axw.
Сам файл содержит защиту от запуска на виртуальным машинах (в том числе и VMware) и элементы антиэмуляции, достаточно сильно зашифрован (не считая того, что поверх этого он, дабы не детектироваться антивирусами был еще и закриптован разными крипторами - это стандартно, редко в "живой природе" можно встретить некриптованного зловреда).

Рассмотрим, что троян делает при запуске:

Создает следующие файлы:
C:\WINDOWS\system32\upscr.sys
(размер 8.42 Кб)
C:\WINDOWS\system32\upsctl.dll
(размер 22.2 Кб, упакована UPX, в распакованном виде - 44.2 Кб)

Для того, что бы остаться в системе (загружаться вместе с ней) троян создает раздел:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\upsctl
и прописывает туда свою dll (upsctl.dll)

Внедряется в процесс проводника. Загружает в него свою библиотеку (upsctl.dll). И удаляет сам исполняемый файл (тот, что мы запускали).

После перезагрузки компьютера делает следующее (укажу лишь существенные и интересные, на мой взгляд, для нас действия):

1). Внедряет свою библиотеку в проводник. После чего уже "от имени" проводника внедряется во все запускаемые нами приложения.
2). Скрывает свои файлы (upscr.sys и upsctl.dll), для этого (и для своевременного внедрения и других действий) перехватывает:
NtQueryDirectoryFile, IoCreateFile, IoGetCurrentProcess, PsGetCurrentProcess, NtCreateProcess, NtCreateProcessEx, NtOpenProcess, IoCreateDevice...
Стоит отметить, что свои записи в реестре он не скрывает, и в автозапуске его видит даже самый "ленивый" просмотрщик автозагрузки.
К примеру HJT это дело палит так:
O20 - Winlogon Notify: upsctl - C:\WINDOWS\SYSTEM32\upsctl.dll
(и следовательно можно эту строку "пофиксить" - только это ничего нам не даст, почему - см. далее)
3). Для обхода системного фаервола в реестр вносит следующую запись в раздел:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001(2)\Service s\SharedAccess\Parameters\FirewallPolicy\StandardP rofile\AuthorizedApplications\List
имя:
\??\C:\WINDOWS\system32\winlogon.exe
значение:
\??\C:\WINDOWS\system32\winlogon.exe:*:Enabled:exp lorer
4). Для того, что бы загружаться и в безопасном режиме пишет в реестр следующее:
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ upscr.sys
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ upscr.sys
итого получается, что его драйвер будет грузиться и в безопасном режиме
5). Блокирует создание/действия файлов с расширением avz
6). Также создает следующие разделы и прописывает туда свой драйвер:
HKLM\SYSTEM\ControlSet001\Services\upscr\
HKLM\SYSTEM\CurrentControlSet\Services\upscr\

Важно: нужно заметить, что все, создаваемые им, файлы/ключи - имеют статичные (постоянные во времени и пространстве) имена.


Борьба с ним:

1). AVPTool сборки 20 сентября 2008 года уверенно лечит этот зловред (детектирует и драйвер и библиотеку) - находит и при перезагрузке удаляет, при этом, трояном успешно блокируется создание AVPTool'ом файлов на диске с расширением *.avz, но они не нужны для автоматической чистки системы и поэтому AVPTool справляется с поставленной задачей.
2). CureIt! сборки 20 сентября 2008 находит только библиотеку и вылечить не может - просит произвести лечение при перезагрузке, но перезагрузить компьютер у него не выходит. При аварийной перезагрузке ПК - все остается на своих местах. Более новой версией CureIt'a не проверялась система - т.к какой был в дистрибутивах тем и проверил.
3). Под ограниченным пользователем работать не сможет - вот и защита :)
4). Любая проактивная защита (даже самая "ленивая") обнаружила бы его т.к он делает все, что не желательно делать по мнению ПДМ - пишет в system32, в автозагрузку в реестр, внедряется в процесс, загружает в процесс библиотеку и т.д
5). Может быть остановлен на последнем этапе - при отсылке данных - любым фаерволом - т.к никакой попытки их обхода (кроме системного) он делать не пробует.
6). При запуске такого (подобного) зловреда самое главное - не поддаваться панике - это в первую очередь, во вторую - выдернуть интернет-кабель (что-бы ничего не отослал) и третье - не перезагружать компьютер. Пока компьютер не перезагружен вычистить будет проще.
7). С помощью одиночного файла АВЗ (pingpong) этот зловред можно вылечить, к примеру, таким вот скриптом:


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\upscr.sys');
DeleteFile('C:\WINDOWS\system32\upsctl.dll');
DelWinlogonNotifyByKeyName('upsctl');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Хочется отметить, что данный зловред очень хорошо виден в логе АВЗ, даже очень хорошо.
Возможно, кому-то в будущем может пригодится, а также для наглядности расскажу где зловред виден в логе сбора информации:
7.1). В загруженных модулях
7.2). В модулях пространства ядра
7.3). В автозапуске
7.4). В "Подозрительные объекты"
7.5). В текстовой части протокола


8). Но т.к я люблю просто так "ковыряться" во всем, что относится к системе, то и тут не буду изменять своим привычкам и покажу самый простой способ (по-моему) как от этого зловреда можно избавиться руками.
Т.к ключи в реестре свои он не прячет, то попробуем этим воспользоваться и удалить его руками. Идем в реестр (Пуск - Выполнить - regedit). И делаем действия по инструкции:
8.1). Удаляем раздел:
HKLM\SYSTEM\CurrentControlSet\Services\upscr\

8.2). На вот этом разделе:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\upsctl
щелкаем правой клавишей - вызываем контекстное меню и в выпавшей "менюшке" нажимаем на "Разрешения...".

Там в окошечке "Группы и пользователи" выделяем строку SYSTEM (нажимаем на нее левой клавишей мыши) и после этого в окошке ниже под названием "Разрешения для SYSTEM" ставим галочки напротив запретить на "Полный доступ" и на "Чтение". Затем нажимаем применить и переименовываем в этом ключе upsctl.dll на что-то другое (например на up3sctl.dll). После этого спокойно нажимаем на RESET на системном блоке и после перезагрузки руками удаляем оставшиеся ключи и файлы с компьютера.
Стоит отметить, что если этот ключ просто так удалять - он появится снова, поэтому приходится делать вот так...


Функции зловреда:

1). Тащит пароли от IE, из The Bat!, грабит формы.
2). Удаляет из IE добавленные элементы (тулбары, BHO...) видимо для более комфортной своей работы.
3). Тащит еще пароли из разных программ - узнать, что за программы чисто визуально я не смог - т.к мне видны лишь имена файлов, в которых они хранят свои пароли - узнавать, что за программы хранят свои пароли в файлах с такими именами я не стал, т.к это довольно-таки проблематично.
4). Мешает пользователю заходить на следующие сайты:

virusinfo.info
customer.symantec.com
download.mcafee.com
mcafee.com
securityresponse.symantec.com
liveupdate.symantec.com
ftp.sophos.com
liveupdate.symantecliveupdate.com
networkassociates.com
5). Хитрым способом ворует ключи и пароли от системы Webmoney (собирает по кускам)
6). Собранные данные (пароли...) передает на хост в интернете.