Зайцев Олег
06.08.2005, 15:52
Сегодня на исследование попал вирус Net-Worm.Win32.Padobot.z, обладающий встроенным руткитом. Именно руткитом он и интересен, т.к. качественно маскирует процессы и файлы и его защитный механизм в принципе работоспособен в 9x и NT.
Фот фрагмент протокола:
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1184 BCFFFJJ0.exe
>>>> Обнаружена маскировка процесса 1636 Ojcdjp32.exe
>>>> Обнаружена маскировка процесса 652 JEBHCCDC.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo
После противодействия руткиту произошло обнаружение процессов:
>>>> Подозрение на маскировку процесса 1184 c:\test\bcfffjj0.exe
>>>> Подозрение на маскировку процесса 1636 c:\windows\system32\ojcdjp32.exe
>>>> Подозрение на маскировку процесса 652 c:\windows\system32
\jebhccdc.exe
Сам вирус копирует себя в папку System32, имена файлов судя по всему случайные. Файлы ничем не сжаты и не зашифрованы
BCFFFJJ0.exe - размер 13857 байта, содержит открытым текстом заголовки окон популярных антивирусов и Firewall, в частности OfficeScanNT, ZoneAlarm, Panda, Antivirus Norton Antivirus ... и заготовку HTTP апроса
Gdiooi32.exe - размер 46592 байта, не сжат и не зашифрован
После запуска вируса на тестовом ПК обнаружились еще две троянские библиотеки:
c:\windows\system32\esvfo32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s
c:\windows\system32\ztelhj32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s
как оказалось, они прописаны в ShellServiceObjectDelayLoad.
Лечение
1. Провести сканирование при помощи AVZ с включенным антируткитом
2. Завершить процессы вируса
3. при помощи встроенного поиска файлов найти файлы вируса и удалить их
Фот фрагмент протокола:
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1184 BCFFFJJ0.exe
>>>> Обнаружена маскировка процесса 1636 Ojcdjp32.exe
>>>> Обнаружена маскировка процесса 652 JEBHCCDC.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo
После противодействия руткиту произошло обнаружение процессов:
>>>> Подозрение на маскировку процесса 1184 c:\test\bcfffjj0.exe
>>>> Подозрение на маскировку процесса 1636 c:\windows\system32\ojcdjp32.exe
>>>> Подозрение на маскировку процесса 652 c:\windows\system32
\jebhccdc.exe
Сам вирус копирует себя в папку System32, имена файлов судя по всему случайные. Файлы ничем не сжаты и не зашифрованы
BCFFFJJ0.exe - размер 13857 байта, содержит открытым текстом заголовки окон популярных антивирусов и Firewall, в частности OfficeScanNT, ZoneAlarm, Panda, Antivirus Norton Antivirus ... и заготовку HTTP апроса
Gdiooi32.exe - размер 46592 байта, не сжат и не зашифрован
После запуска вируса на тестовом ПК обнаружились еще две троянские библиотеки:
c:\windows\system32\esvfo32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s
c:\windows\system32\ztelhj32.dll>>>>> Вирус !! Trojan-Spy.Win32.Qukart.s
как оказалось, они прописаны в ShellServiceObjectDelayLoad.
Лечение
1. Провести сканирование при помощи AVZ с включенным антируткитом
2. Завершить процессы вируса
3. при помощи встроенного поиска файлов найти файлы вируса и удалить их