PDA

Просмотр полной версии : Trojan-Ransom.Win32.Delf.h



NStorm
30.06.2009, 22:40
Антивирус Версия Обновление Результат
a-squared 4.5.0.18 2009.06.30 Virus.Win32.Delf!IK
AhnLab-V3 5.0.0.2 2009.06.30 -
AntiVir 7.9.0.199 2009.06.30 -
Antiy-AVL 2.0.3.1 2009.06.30 -
Authentium 5.1.2.4 2009.06.29 -
Avast 4.8.1335.0 2009.06.29 -
AVG 8.5.0.339 2009.06.30 -
BitDefender 7.2 2009.06.30 -
CAT-QuickHeal 10.00 2009.06.29 -
ClamAV 0.94.1 2009.06.30 -
Comodo 1507 2009.06.30 -
DrWeb 5.0.0.12182 2009.06.30 Trojan.Winlock.origin
eSafe 7.0.17.0 2009.06.29 -
eTrust-Vet 31.6.6590 2009.06.30 -
F-Prot 4.4.4.56 2009.06.29 -
F-Secure 8.0.14470.0 2009.06.30 -
Fortinet 3.117.0.0 2009.06.30 -
GData 19 2009.06.30 -
Ikarus T3.1.1.64.0 2009.06.30 Virus.Win32.Delf
Jiangmin 11.0.706 2009.06.30 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.30 -
McAfee 5661 2009.06.29 -
McAfee+Artemis 5661 2009.06.29 -
McAfee-GW-Edition 6.7.6 2009.06.30 -
Microsoft 1.4803 2009.06.30 -
NOD32 4200 2009.06.30 -
Norman 6.01.09 2009.06.29 -
nProtect 2009.1.8.0 2009.06.30 -
Panda 10.0.0.14 2009.06.29 -
PCTools 4.4.2.0 2009.06.30 -
Rising 21.36.14.00 2009.06.30 -
Sophos 4.43.0 2009.06.30 -
Sunbelt 3.2.1858.2 2009.06.29 -
Symantec 1.4.4.12 2009.06.30 -
TheHacker 6.3.4.3.358 2009.06.30 -
TrendMicro 8.950.0.1094 2009.06.30 -
VBA32 3.12.10.7 2009.06.30 -
ViRobot 2009.6.30.1812 2009.06.30 -
VirusBuster 4.6.5.0 2009.06.29 -
Дополнительная информация
File size: 387584 bytes
MD5...: 8bd4b97176ff5382d384dc7e61f52d68
SHA1..: 323607ce5391ce9196f05288635ae841c037d8c4
SHA256: 3638395afd948847f2f82b3cc8fdc9e4a47f49cf0f83aa374c 3b01c6580233c4
ssdeep: 6144:z/W1Me/r0emFHfWRPwxANmpVkXYYARCQ068hfrFy0boLSS57iA68fuBl: TW
Oe/QeY/WRYO1XVvQ0NFbo2obuP
PEiD..: BobSoft Mini Delphi -> BoB / BobSoft
TrID..: File type identification
-
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x50290
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x4f2d8 0x4f400 6.53 5f33366658d4588c20a5e9dccf720f0d
DATA 0x51000 0x1170 0x1200 4.11 9308bb020b72d9547b26aea22b55e7ab
BSS 0x53000 0xbdd 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x54000 0x1fce 0x2000 4.94 9cd6eea2929088e672c201f895f5af7e
.tls 0x56000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x57000 0x18 0x200 0.20 f812e2dd7668d7eb96c403290f7b169b
.reloc 0x58000 0x5a68 0x5c00 6.64 fb37a219a961fdd9cd9cef57615d5927
.rsrc 0x5e000 0x6200 0x6200 4.71 18ef660c3538febaefe79cfac36855b9

( 13 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegFlushKey, RegDeleteValueA, RegCreateKeyExA, RegCloseKey
> kernel32.dll: lstrcpyA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResetEvent, ReadFile, MulDiv, MoveFileExA, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTickCount, GetThreadLocale, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedExchange, FreeLibrary, FormatMessageA, FindResourceA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CopyFileA, CompareStringA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, RectVisible, RealizePalette, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, BitBlt
> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, AttachThreadInput, CharNextA, CharLowerA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set

Простенький "русский" вирус из категории шантажистов. К сожалению источник заражения не известен.
На зараженной машине при логине под пользователем экран блокируется, на черном фоне написан текст про то что якобы используется нелицензионная копия Windows и для разблокировки нужно "отправить SMS на номер 8355 с кодом +2461234 стоимость 100 руб. (3$)" для получения кода разблокировки.
Не блокирует комбинацию Ctrl+Alt+Del, однако находится поверх всех окон, так что вызвав диспетчер задач увидеть его удается лишь на доли секунды.
Устанавливается как C:\Windows\Media\Sound.exe (именно так, без %SYSTEMROOT%, путь c:\Windows... жестко прописан внутри тела, вообще тело не запаковано и не зашифрованно, думаю его можно будет легко проанализировать, есть подозрение что кодом для "разблокировки" является 69b453, но проверить пока времени не было).
Автозапуск прописывается в HKLM\Software\Microsoft\Windows\CurrentVersion\Win dows\RunOnce.
Я удалил по сети с помощью PsTools убив процесс sound.exe, сразу же продолжилась загрузка рабочего стола, откуда почистил остальное. Хотя возможны простые варианты по удалению файла или ветки реестра.
Пока писал данный текст, получил ответ от ЛК (и авиры):


Hello,

sound.dat - Trojan-Ransom.Win32.Delf.h

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
авира добавили в базу как TR/LockScreen.B.

Тело прислать на терзания?

AndreyKa
01.07.2009, 08:02
Запакуйте файл в zip-архив с паролем virus
и загрузите через ссылку http://virusinfo.info/upload_virus.php?tid=49021

NStorm
01.07.2009, 09:03
Файл сохранён как 090701_084216_sound_4a4ae9288a2c1.zip
Размер файла 196332
MD5 186f3130b886bc4215f6d4cc26026dac

Пронализировал на сэндбоксе. Вирус при запуске из любого места копирует себя в C:\Windows\Media\Sound.exe, добавляет в автозагрузку через вышеописанный ключ и добавляет запись в реестр для удаления исходного файла при следующей перезагрузке (при помощи функции WinAPI MoveFileExA):
HKLM\​System\​CurrentControlSet\​Control\​Session Manager\PendingFileRenameOperations
Во время работы мониторит клавишу VK_MENU (18).
Судя по всему ожидает ввода кода 69b453, после ввода выдает сообещние 'СИСТЕМА АКТИВИРОВАНА' и помещает файл c:\Windows\Media\Sound.exe в список удаления при следующей загрузке функцией MoveFileExA.

Lw?
30.11.2010, 18:54
Спасибо :)