Вирус MAIBANAN

Printable View

18.12.2009, 19:57
y.xakep

Вирус MAIBANAN

Очень интересный вирус под названием [B][COLOR=red]MAIBANAN[/COLOR][/B]
Очень навязчевый.

Файл, присвоен системе как дривер:
C:\WINDOWS\System32\Drivers\maibanan.sys

Не могу открыть.

NotePad: [COLOR=dimgray]A device attached to the system is not functioning[/COLOR].
[IMG]http://img340.imageshack.us/img340/7758/notepad.png[/IMG]

AkelPad: [COLOR=dimgray]Невозможно открыть файл[/COLOR].
[IMG]http://img3.imageshack.us/img3/4391/akelpad.png[/IMG]

Viewrer: [COLOR=dimgray]Файл не найден[/COLOR].
[IMG]http://img237.imageshack.us/img237/4461/viewer.png[/IMG]

Не могу удалить.

Explorer: [COLOR=dimgray]Error Deleting File or Folder: Cannot delete mailbanan: Cannot read from the source file ot disk[/COLOR].
[U][COLOR=#0000ff][IMG]http://img3.imageshack.us/img3/481/explorer2.png[/IMG][/COLOR][/U]

TtlCmdr: [COLOR=dimgray]Нет доступа или файл уже используется[/COLOR].
[IMG]http://img69.imageshack.us/img69/9168/ttlcmd2.png[/IMG]

Unlocker: "[COLOR=dimgray]Не найден блоирующий десскриптор[/COLOR]". При попытке удалить - "[COLOR=dimgray]Удаление объекта невозможно[/COLOR]", даже при селдующей загрузки системы.
[IMG]http://img69.imageshack.us/img69/4329/unlocker1.png[/IMG] [IMG]http://img148.imageshack.us/img148/8074/unlocker2.png[/IMG]

Avast: [COLOR=dimgray]Hidden services -[/COLOR] [COLOR=red]Win32:Rootki-gen [Rtk].[/COLOR] При попытке удалить - ничего не происодит.
[IMG]http://img237.imageshack.us/img237/9523/avastq.png[/IMG]

AVPTool: [COLOR=dimgray]Невозможно удалить при перезагрузке:[/COLOR] [COLOR=red]Rootkit.Win32.Agent.aaba[/COLOR]

Регистр, создает невидимые или неразрешенные ключи:

Вот невидемые:

[CODE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\maibanan]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\maibanan]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maibanan]
[/CODE]

Regedit выдает: [COLOR=dimgray]Error Opening Key:Cannot open maibanan: Error while opening key[/COLOR]
[IMG]http://img705.imageshack.us/img705/131/reghide.png[/IMG]

Удалить неудается даже утилитой RegDelNull

А вот неразрешенные ключи:
[CODE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN\0000]
"Service"="maibanan"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="maibanan"
"Capabilities"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN\0000\Control]
"ActiveService"="maibanan"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MAIBANAN]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MAIBANAN\0000]
"Service"="maibanan"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="maibanan"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN\0000]
"Service"="maibanan"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="maibanan"
"Capabilities"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN\0000\Control]
"ActiveService"="maibanan"
[/CODE]
Удалить удается после создания рарешений: Permissions... FullControl - Allow
[IMG]http://img69.imageshack.us/img69/222/regpermission.png[/IMG]

Но поевляется опяь после перезагруски компютера.

Вирус отсылает по протоколу TCP спам на 25 порт разных, многих SMTP серверов.
А также 12025 порт localhost
Процесцы разные и невидемые. Иногда это - системный services.exe, а иногда - просто, пустая строка.

Использует email спамлист. Вот пару адрессов:
[CODE][email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected][EMAIL="[email protected]"]
[/EMAIL][email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[/CODE]
Использует smtp лист. Вот пару адрессов:
[CODE]
mail-in.freeserve.com
ppagent1.ad.uab.edu
mail1.bluetie.com
relay.bc.edu
p2.nsm.ctmail.com
mx01.mx-server.net
server97.appriver.com
server74.appriver.com
82.1c.374a.static.theplanet.com
188.132.196.200
server41.appriver.com
kr-inmail.lycos.co.kr
mail.esat.ie
wsip-98-174-84-46.ri.ri.cox.net
sv121.visun.vn
s6a1.psmtp.com
mail1.garnethill.com
email.phoenix.edu
mail.emecmt.com
smtp2.thementornetwork.com
imss01.bes.com.tw
p2.nsm.ctmail.com
mail.bfsent.com
p2.nsm.ctmail.com
[/CODE]

Avast на высоком уровне email мониторинга находит:
[CODE]
There are too many identical e-mails in appointed time

Sender: VIAGRA © Online Shop <[COLOR=blue]RandomUser[/COLOR]@[COLOR=blue]MyRealHost.MyRealDomain[/COLOR]>
Recipient: <[COLOR=red]SpamUser[/COLOR]>@<[COLOR=red]SpamDomain[/COLOR]>
Subject: For <[COLOR=red]SpamUser[/COLOR]> special 80% OFF on Pfizer
[/CODE]

Вот само сообщение:
[QUOTE][IMG]http://img37.imageshack.us/img37/4661/spamcontent.png[/IMG][/QUOTE]

В нем много ссылок, но URL один:
http://profiles.yahoo.com/blog/W45OUR2JTXH2YZ6GQJONUZYKTM
или
http://profiles.yahoo.com/u/W45OUR2JTXH2YZ6GQJONUZYKTM

Если отключится от сети - спит себе спокойно.
18.12.2009, 20:01
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\CAMTHWDM.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\maibanan.sys','');
QuarantineFile('C:\WINDOWS\system32\LogonDll.dll','');
DeleteFile('C:\WINDOWS\system32\Drivers\maibanan.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\maibanan.sys');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам

Сделайте новые логи + лог GMER (ссылка у меня в подписи)
18.12.2009, 20:17
y.xakep

1. Скрипт выполнен.
2. После перезагруски все также.
3. Карантин закачан.

[CODE]Файл сохранён как 091218_201628_virus_4b2bb8ecb8c1a.zip
Размер файла 81116
MD5 e80c640700fe49097aca1af3aa78e889[/CODE]

4. Буду делать новые логи и Gmer
18.12.2009, 20:18
Никита Соловьев

[QUOTE='Venus Doom;538751']Сделайте новые логи + лог GMER (ссылка у меня в подписи) [/QUOTE]...
19.12.2009, 00:42
y.xakep

Next

Во время сканирования GMER на RootKit произошла китическая ошибка (синий экран).
Не успел сохранить лог, но коечто запомнил:
GMER в табе RootKit обнаружил [COLOR="Red"]maibanan [/COLOR]в трех местах
GMER в табе Services обнаружил service [COLOR="Red"]maibanan [/COLOR]при [I][B]BOOT [/B][/I]загрузке.
[IMG]http://img706.imageshack.us/img706/1808/gmer1.png[/IMG]

Перезагрузился комп.
Не отссылается никакой спам. Всё тихо.
Service [COLOR="Red"]maibanan [/COLOR]- дезактивирован и позволяет удалять себя.
[IMG]http://img706.imageshack.us/img706/146/gmer2.png[/IMG]
Файл C:\WINDOWS\System32\Drivers\maibanan.sys стал нулевым [0 байт].
И позволяет себя удалять без особого труда.
Регистры остались но уже не скрытны:
Вот они:
[CODE][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\maibanan]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"Group"="Boot Bus Extender"
"e0p5kRmW6"=hex:33,f1,33,96,34,7a,90,2f
"xYo8sW2l"=hex:50,99,19,32,3c,53,48,69,5a,51,a9,98,ee,ac,5a,e8,50,85,13,f8,b5,\
b1,85,f5,5e,c1,2f,dd,80,3b,0d,5e,86,2b,89,9a,fb,f3,28,35,aa,34,be,46,82,0b,\
c2,17,62,b2,04,93,51,36,fd,57,97,3e,ef,b2
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\maibanan\Enum]
"0"="Root\\LEGACY_MAIBANAN\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\maibanan]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"Group"="Boot Bus Extender"
"e0p5kRmW6"=hex:33,f1,33,96,34,7a,90,2f
"xYo8sW2l"=hex:50,99,19,32,3c,53,48,69,5a,51,a9,98,ee,ac,5a,e8,50,85,13,f8,b5,\
b1,85,f5,5e,c1,2f,dd,80,3b,0d,5e,86,2b,89,9a,fb,f3,28,35,aa,34,be,46,82,0b,\
c2,17,62,b2,04,93,51,36,fd,57,97,3e,ef,b2

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maibanan]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"Group"="Boot Bus Extender"
"e0p5kRmW6"=hex:33,f1,33,96,34,7a,90,2f
"xYo8sW2l"=hex:50,99,19,32,3c,53,48,69,5a,51,a9,98,ee,ac,5a,e8,50,85,13,f8,b5,\
b1,85,f5,5e,c1,2f,dd,80,3b,0d,5e,86,2b,89,9a,fb,f3,28,35,aa,34,be,46,82,0b,\
c2,17,62,b2,04,93,51,36,fd,57,97,3e,ef,b2
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maibanan\Enum]
"0"="Root\\LEGACY_MAIBANAN\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN\0000]
"Service"="maibanan"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="maibanan"
"Capabilities"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MAIBANAN\0000\Control]
"ActiveService"="maibanan"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MAIBANAN]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MAIBANAN\0000]
"Service"="maibanan"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="maibanan"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN\0000]
"Service"="maibanan"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="maibanan"
"Capabilities"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MAIBANAN\0000\Control]
"ActiveService"="maibanan"[/CODE]
Мой вопрос:
Удалить процес сейчас?
Удалить ключи сейчас?
Удалить файл сейчас?
Или для вас еще важны коекакие логи?
19.12.2009, 00:54
Никита Соловьев

Сделайте новый лог virusinfo_syscheck.zip
19.12.2009, 01:06
y.xakep

Новые логи

Новые логи:
"Скрипт сбора информации для раздела "Помогите!" virusinfo.info"
19.12.2009, 01:14
Никита Соловьев

В логах он больше не виден. Удаляйте
19.12.2009, 01:20
y.xakep

Удалил - [COLOR="DarkGreen"][Излечено][/COLOR]
Огромное спасибо Venus Doom.
20.12.2009, 01:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]