Картинки с экрана - могут Вам помочь при борьбе с eKAV

Printable View

09.01.2010, 17:17
uuu99950

Картинки с экрана - могут Вам помочь при борьбе с eKAV

Три дня назад я принимал участие в изучении вируса eKAV. :tongue:

Пытались понять, что с ним можно сделать.

Вот краткий отчет :cool:

В принципе оказалось, что ту разновидность вируса, которую мы изучали - лечит DrWeb, а именно мы запускали скачанную с их сайта свежую версию утилиту CureIt. Она хороша тем, что ее не надо инсталлировать.

Наш вирус состоял из 14 библиотек с произвольными названиями. И еще одного файла, который был прописан в системном реестре, и этот файл осуществлял загрузку остальных библиотек.

А самих этих 14 библиотек (файлов .DLL) - в системном реестре прописано не было, как оказалось.

Антивирус Касперского - сработал хуже. Он обнаруживал все 14 библиотек вируса - но не обнаруживал главного файла, который их загружал.

Что я сделал ? Я попросил прислать мне с зараженного компьютера 5 файлов системного реестра. Те что лежат в папке "system32\config". Файлы забирались из под загрузочного CD.

И я поставил эти 5 файлов чужого, зараженного реестра - на одну из установленных на моем компьютере копию Windows XP SP2.

Мне не удалось загрузиться в обычном режиме, и это естественно. Ведь при загрузке компьютер требовал важные драйверы, которых на моей версии Windows XP SP2 попросту не было.

Но - мне удалось загрузиться в безопасном режиме. Вирус у меня, естественно, тоже не проявлялся, потому что на моем чистом компе файлов этого вируса тоже не было.

Я получил возможность лазить по системному реестру RegEdit-ом, и запускать разные программы, которые показывают что прописано в автозагрузку.

Оказалось, что Gmer видит тот вредоносный файл вируса eKAV, прописанный в соответствующее место системного реестра.

AVZ - не видит, даже при убитом вирусе. Оказалось что AVZ не умеет анализировать в реестре строки, созданные таким хитрым способом, как создал вирус eKAV.

Менеджер автозапуска от Санкт-Петербургской фирмы - "OSAM" - тоже видит прописанный в автозагрузку хитрый файл (с нестандартным расширением).

Вот залитые картинки на radikal.ru

[url]http://s41.radikal.ru/i094/1001/94/d307f783f4d1.jpg[/url]

[url]http://i001.radikal.ru/1001/78/26c15e05d1fe.jpg[/url]

[url]http://s52.radikal.ru/i137/1001/11/a2f263961252.jpg[/url]

[url]http://i076.radikal.ru/1001/1d/dae190d2390d.jpg[/url]

[url]http://s39.radikal.ru/i083/1001/1e/8624782f4e3b.jpg[/url]

Вывод: ищите этот вирус в первую очередь в ветке реестра, показанной на картинках. И смотрите названия файлов, прописанных в параметре:

AppInit_DLLs

Попробуйте из под загрузочного CD переименовать этот файл, найдя его по отображаемому GMER-ом пути. Если файлов там окажется несколько - то скопировав их на всякий случай на флэшку, переименуйте или удалите все, которые прописаны в AppInit_DLLs
по указанному пути.

А можно попробовать, переименовав на диске зловредный файл-загрузчик, на его место попробовать подсунуть свою безобидную DLL-ку, назвав ее как назывался файл вируса.
10.01.2010, 02:12
Andrey789

Да, все верно, AppInit_DLLs. У меня там был прописан фал шрифтов. Но помог его вычислить AVZ при обычном сканировании.
10.01.2010, 15:08
bolshoy kot

Там вроде прописан не файл, а поток NTFS внутри него.
10.01.2010, 15:41
AndreyKa

Не внутри, а снаружи. :)
10.01.2010, 16:00
Зайцев Олег

[QUOTE=uuu99950;555996]AVZ - не видит, даже при убитом вирусе. Оказалось что AVZ не умеет анализировать в реестре строки, созданные таким хитрым способом, как создал вирус eKAV.
[/QUOTE]
AVZ видит, нужно только научиться читать его логи ... если внимательно прочитать читать лог, то там (а не в списке автозапуска) будет прямо так и сказано - "обнаружен скрытый автозапуск, созданный таким хитрым образом ..." :) Для данного примера это выглядит так:
[CODE]
[SIZE=2]7. Эвристичеcкая проверка системы
[/SIZE][SIZE=2]Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\wbdbase.fra:FhvejB"
[/SIZE][/CODE]
12.01.2010, 23:09
user1213

[QUOTE=Зайцев Олег;556851]
[CODE]
[SIZE=2]7. Эвристичеcкая проверка системы
[/SIZE][SIZE=2]Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\wbdbase.fra:FhvejB"
[/SIZE][/CODE][/QUOTE]

Что означает этот набор символов: [SIZE=2]FhvejB ?[/SIZE]
12.01.2010, 23:10
PavelA

Обозначение потока NFTS
13.01.2010, 20:57
antanta

[QUOTE=AndreyKa;556839]Не внутри, а снаружи. :)[/QUOTE]

Вопрос философский. Сам я (до недавнего времени) полагал, что файловые потоки ntfs - вполне самостоятельные объекты, и нулевой поток ничем не выделяется среди прочих.
Попробовал создать поток blah.txt:stream.txt без прав писать в существующий blah.txt.
Ничего не вышло. Нет прав. Вот и думай, где они, эти потоки. Внутри или снаружи...
Неисповедимы пути...
14.01.2010, 16:59
bolshoy kot

Сейчас проверил - у меня файл [b]wbdbase.fra[/b] есть.
Но никаких [b]eKav antivirus[/b] и [b]Internet Security[/b] у меня никогда не было.
Откуда делаем вывод, что файл [b]wbdbase.fra[/b] - системный, а его расширение [b]*.fra[/b], скорее всего, указывает на то, что он отвечает за поддержку французского языка. А вирус [b]eKav antivirus[/b] просто добавляет в него новый поток. Следовально, удалять сам файл [b]wbdbase.fra[/b] не следует.

А интересно, как поступает вирус, если файловая система - FAT32? Создает просто *.dll-файл с именем из случайных букв?
14.01.2010, 17:13
Torvic99

У меня в вин2003 - вот так
[QUOTE]wbdbase.deu
wbdbase.enu
wbdbase.esn
wbdbase.fra
wbdbase.ita
wbdbase.nld
wbdbase.sve[/QUOTE] - так что это однозначно системные файлы.
14.01.2010, 18:09
antanta

Сегодня нарвался на "злобную" версию "Internet Security". Антивирус был заблокирован через safer. Как он попал в систему - загадка. Разве что детки анвирус отключали.
Сами клиенты - люди вменяемые. В итоге: диспетчер задач , cmd, редактирование реестра - все заблокировано. При попытке даже войти в папку с AVZ или ICE Sword выгружается проводник, система перестает реагировать. В безопасном - та же беда. Судя по всему, злодей применяет подобие эвристики, и прибивает подозрительные программы. Reg.exe запускался, кстати.
Пришлось загрузится с PE. Так и есть - в AppInit_DLLs прописана загрузка чего-то из Cursors, тоже дополнительный поток. Отключил это дело, разблокировал антивирус - заработало.
Через AVZ скрипт хотел поток вынуть, антивирь прибил его тут же.
Будем поискать очередные методы обхода. Не нравится мне это дело.
14.01.2010, 19:03
thetoken12

to bolshoy kot:
[quote]А интересно, как поступает вирус, если файловая система - FAT32?[/quote]
[url=http://antivirus.about.com/b/2008/01/21/alternate-data-streams-ads.htm]Link[/url].
[url=http://en.wikipedia.org/wiki/File_Allocation_Table#FAT_and_Alternate_Data_Streams]Another link[/url].
15.01.2010, 02:03
Юльча

[QUOTE=thetoken12;560565]to bolshoy kot:

[URL="http://antivirus.about.com/b/2008/01/21/alternate-data-streams-ads.htm"]Link[/URL].
[URL="http://en.wikipedia.org/wiki/File_Allocation_Table#FAT_and_Alternate_Data_Streams"]Another link[/URL].[/QUOTE]
это понятно что фат32 не поддерживает потоки, но совсем не факт что у этого вируса нет варианта заражения под фат32 без использования потоков

или факт?

имхо, если все возможности этого вируса неизвестны можно проверить их методом тыка, запустить вирус на фат32 и посмотреть :smile:
15.01.2010, 19:17
Зайцев Олег

[QUOTE=user1213;558992]Что означает этот набор символов: [SIZE=2]FhvejB ?[/SIZE][/QUOTE]
До двоеточия - имя файла, после него - имя потока в файле (я просто внес в реестр строчку из примера).
15.01.2010, 23:40
sergey ulasen

Вчера имел удовольствие ITW встретиться с данным трояном. И как раз система была с FAT32. Вычислил я его сразу:
1. он заразил мою флешку;
2. поиском по диску c:\ я нашел файл с таким же размером (f.dll он назывался).

[B]2uuu99950[/B]:

Тот же regedit дает возможность загружать удаленные кусты реестра из файлов. Вы могли подгрузить кусты из файла SOFTWARE и Вам не пришлось бы производить манипуляции с подменой файлов. Но тогда, правда, и анализ реестра нужно было бы производить вручную, а тут без знаний автозагрузки не обойтись.

Анализ реестра также показал, что файл был прописан в AppInit_DLLs.
16.01.2010, 00:13
Юльча

[QUOTE=sergey ulasen;561568]Вчера имел удовольствие ITW встретиться с данным трояном. И как раз система была с FAT32. [/QUOTE]
вот и "проверили" :)

[QUOTE=sergey ulasen;561568]Но тогда, правда, и анализ реестра нужно было бы производить вручную, а тут без знаний автозагрузки не обойтись.
Анализ реестра также показал, что файл был прописан в AppInit_DLLs.[/QUOTE]имха
учитывая информацию об этих вирусах выложенную на вирусинфо, знаний о реестре много не нужно. ключи запусков таких вирусов подробно описаны..
уверенный пользователь, а может и новичок имеющий общее представление о реестре увидев ключики в примере на форуме, поймет шо и где у себя искать
25.01.2010, 19:14
bolshoy kot

Между тем, eKav (вернее, его новая версия - Internet Security) продолжает требовать SMS с пользователей Интернета. Например, на сайте Ответы.Mail.Ru есть открытые (т.е. недавно заданные вопросы) про этот троян.
Каков же путь заражения eKav? Установка фейк-кодека? Использование уязвимостей?