Показано с 1 по 9 из 9.

Описания вирусов: Worm.Win32.Feebs

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Exclamation Описания вирусов: Worm.Win32.Feebs

    Семейство червей Worm.Win32.Feebs обладает рядом интересных особенностей, что делает данныого червя достаточно опасным.
    Первой особенностью является наличие "на борту" червя достоточно мощного UserMode руткита.
    Рассмотрим пример протокола зараженного ПК:
    1. Поиск RootKit и программ, перехватывающих функции API
    >> Опасно ! Обнаружена маскировка процессов
    >>>> Обнаружена маскировка процесса 912 svchost.exe
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo
    Функция kernel32.dll:FindFirstFileW (212) перехвачена, метод APICodeHijack.JmpTo
    Функция kernel32.dll:FindNextFileA (21 перехвачена, метод APICodeHijack.JmpTo
    Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
    Функция kernel32.dllpenProcess (629) перехвачена, метод APICodeHijack.JmpTo
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
    Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
    Функция ntdll.dllwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeHijack.JmpTo
    Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Функция wininet.dll:HttpOpenRequestA (203) перехвачена, метод APICodeHijack.JmpTo
    Функция wininet.dll:HttpOpenRequestW (204) перехвачена, метод APICodeHijack.JmpTo
    Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод APICodeHijack.JmpTo
    Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод APICodeHijack.JmpTo
    Функция wininet.dll:InternetConnectA (229) перехвачена, метод APICodeHijack.JmpTo
    Функция wininet.dll:InternetConnectW (230) перехвачена, метод APICodeHijack.JmpTo
    Функция wininet.dll:InternetQueryDataAvailable (26 перехвачена, метод APICodeHijack.JmpTo
    Функция wininet.dll:InternetReadFile (272) перехвачена, метод APICodeHijack.JmpTo
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Анализ перехваченных функций показывает, что червь может маскировать свой процесс, маскировать файлы на диске, фильтровать обращения к реестру. Кроме того, он перехватывает функции, отвечающие за работой в Инет.
    Интересен перехватчик OpenProcess - при обнаружении попытки открытия маскируемого руткитом процесса перехватчик червя убивает "любопытный" процесс - тем самым существенно затрудняется применение против червя всевозможных менеджеров процессов.
    Программный код червя размещен в DLL, которая как правило называется ms*32.dll (известны варианты названия msss32.dll, msgf32.dll).
    На эту DLL реагирует искатель кейлоггеров и троянских DLL AVZ:
    C:\WINDOWS\system32\msss32.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\msss32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши
    Сам DLL файл имеет размер около 54 кб (последний изученный образец имел размер 54697) и запакован UPack.
    Червь маскирует один процесс - это процесс svchost.exe, это системный компонент, DLL червя загружена в его адресное пространство.
    Распространение червя ведется по электронной почте, письмо имеет вид:
    You have received Protected Message from MSN.com user.
    This e-mail is addressed personally to you.
    To decrypt the e-mail take advantage of following data:
    Subject: happy new year
    ID: 18695
    Password: wsxoomdxi
    Keep your password in a safe place and under no circumstances give it
    to ANYONE.
    Protected Message and instruction is attached.
    Thank you,
    Secure E-mail System,
    MSN.com
    К письму приаттачен HTA файл, типичное имя - Encrypted Html File.hta или Secure Mail File.hta, его запуск и приводит к инсталляции червя (при этом имитируется вывод окна запроса пароля, что соответствует контексту письма). Второй вариант - это письмо с ZIP-архивом, который в свою очередь содержит HTA файл. Третий вариант - инсталлятор червя в виде небольшого исполняемого файла размером около 55 кб, один из вариантов имени - webinstall.exe.
    Согласно отчетам пользователей в ряде случаев на зараденной машине наблюдается побочный эффект - перестает переключаться раскладка клавиатуры.
    Изученная разновидность червя регистрирует CLSID 95BC0491-2934-6105-856B-193602DCEB1F и прописывает себя на автозапуск при помощи ShellServiceObjectDelayLoad (в котором собственно идет ссылка на CLSID червя).
    На зараженном компьютере можно обнаружить инсталлятор червя. Он имеет имя ms*.exe (например, mshq.exe) и размер около 55 кб.
    Червь создает в реестре ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSxx, в которо хранит различную информацию. В частности, раздел DAT этого ключа хранит найденные на компьютере email адреса.
    Последний раз редактировалось Зайцев Олег; 19.01.2006 в 21:56.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Сегодня у меня появилась свободная минутка, которую я посвятил анализу HTA файлов, которые применяются для закачки червя.
    HTA файл содержит скрипт, часть которого зашифрована. Шифровка многоступенчатая:
    1. В скрипте имеется несколько строковых переменных с несмысловыми именами, которые содержат текст фанкции-дешифратора. Данные в переменных представлены в формате %XX, где XX - код символа. Собственно "дешифрация" сводится к конкантенации строк и обработке содержащейся в ней информации при помощи unescape (в частности, в исследуемом образце это выглядело как "unescape(eb+lc+aqe+iao+hrb);". В результате получается текст функции, который выполняется с помощью eval (побочный эффект - функция становится доступной для последующего кода). Данная функция-дешифратор на входе получат строку, раскодирует ее и выводит в документ при помощи document.write
    2. Производится вызов функции-дешифратора. Код
    i("T'mmsZF,mv$F'$jKw''9Z'x$ sZ= .... в скрипте на первый взгляд является мусором, но это не так - это вызов функции с именем "i" (эта функция получается на шаге 1), а бредовые на первый взгляд данные - это зашифрованный скрипт).
    3. Функция-дешифратор помещает расшифрованный скрипт в документ, и он исполняется.
    Размещенный в документе на шаге 3 скрипт собсвенно и делает всю работу. Его можно классифицировать как Trojan-Downloader. В теле скрипта имеется массив из нескольких адресов, с которых производится загрузка файла. Загрузка оригинальна - загружаемый файл текстовый, поэтому просто производится навигация на один из URL загрузки, а затем полученный текст считывается из Document.Body.InnerText. В моем случае файл сохранялся в папке C:\Recycled\userinit.exe, причем в скрипте предусмотрена проверка наличия там этого файла. В случае отсутствия файла он создается и заполняется результатми расшифровки.
    Примечательно, что в скрипте содержится адрес, на который был прислан скрипт - этот адрес сохраняется в реестре. Второй особенностью скрипт является попытка удаления в реестре сервисов pcipim, pcIPPsC, RapDrv, FirePM, KmxFile. Если хотя-бы одна из попыток удаления оказывается успешной, то скрипт определяет через реестр путь к папке автозапуска и копирует туда загруженный/расшифрованный EXE файл. Если удаление было неспешным (т.е. предполагается, что таких сервисов в реестре не зарегистрировано), то происходит запуска загруженного файла. Кроме того, в скрипте есть код для прописывания а Active Setup\Installed Components\{CLSID вируса} параметра Stubpath, указывающего на загруженный файл.
    Загруженный EXE файл является дроппером DLL, которая собственно и является вирусом.

    Побочным эффектом работы червя является удаление всех сохраненных на компьютере cookies.

    PS: Другое (достаточно полное и интересное) описание зверя можно найти на сайте
    http://www.symantec.ru/avcenter/venc...2.feebs.a.html
    http://www.symantec.ru/avcenter/[email protected]
    http://www.viruslist.com/ru/viruses/...virusid=107701
    Последний раз редактировалось Зайцев Олег; 19.01.2006 в 21:51.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Зайцев Олег
    PS: Другое (достаточно полное и интересное) описание зверя можно найти на сайте
    http://www.symantec.ru/avcenter/venc...2.feebs.a.html
    http://www.symantec.ru/avcenter/[email protected]
    http://www.viruslist.com/ru/viruses/...virusid=107701
    у касперского левое описание.

    вот продолжение серии от Симантека (действительно достаточно подробно, но тоже не о всем):
    http://www.symantec.ru/avcenter/[email protected]

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    У доктора неплохое описание - http://info.drweb.com/virus/?virus=471
    Последний раз редактировалось RiC; 20.01.2006 в 00:47.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1747
    http://virusinfo.info/showthread.php?t=5095
    Олег, если речь идет об этом вирусе, то avz cо свежей базой его не видит!!
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Может быть, новая разновидность. На анализ его надо как-нибудь.

  8. #7
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Сегодня получил свежую версию, на этот раз - якобы от HotMail ;-) После запуска HTA-шки происходит запуск дроппера msab.exe в System32, который экстрактит msvz32.dll, прпоисываемую в SSODL.

    Далее библиотека внедряется в svchost.exe и маскирует процесс. Также маскируется файл либы на диске.

    Код:
    Logfile of XenAntiSpyware 4.2.8
    Scan saved at 22:04:14, on 31.05.2006
    Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600) 
    MSIE: Internet Explorer build 6.0.2900.2180
    
    [Hidden] [Process] [1416] [svchost.exe]
    [Delay Load Object] [msvz32.dll] [c:\windows\system32\msvz32.dll] *
    Как избавиться от заразы: отметьте галочками два найденных пункта в XenAntiSpyware и нажмите Удалить. Или же перегрузитесь в безопасный режим и грохните файлы оттуда вручную.

  9. #8
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    16
    Вес репутации
    60
    Цитата Сообщение от Xen Посмотреть сообщение
    Сегодня получил свежую версию, на этот раз - якобы от HotMail ;-) После запуска HTA-шки происходит запуск дроппера msab.exe в System32, который экстрактит msvz32.dll, прпоисываемую в SSODL.

    Далее библиотека внедряется в svchost.exe и маскирует процесс. Также маскируется файл либы на диске.

    Код:
    Logfile of XenAntiSpyware 4.2.8
    Scan saved at 22:04:14, on 31.05.2006
    Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600) 
    MSIE: Internet Explorer build 6.0.2900.2180
     
    [Hidden] [Process] [1416] [svchost.exe]
    [Delay Load Object] [msvz32.dll] [c:\windows\system32\msvz32.dll] *
    Как избавиться от заразы: отметьте галочками два найденных пункта в XenAntiSpyware и нажмите Удалить. Или же перегрузитесь в безопасный режим и грохните файлы оттуда вручную.
    Пробывал грохнуть с безопасного он опять появился...и есчо одно когда в безопасный режим вошел очередной раз его необнаружил ниодин из : Avast,avz,Dr.Web после этого загрузил в обычном режиме систему появился...Аваст предлагает удалить файл mscn32.dll ...ставлю галочку удалить при след.загрузке системы..тоже самое...
    П.С. при загрузке винды постоянно вылетает окно svchost

    ?? Как его сделать

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от Jay228 Посмотреть сообщение
    Как его сделать
    Я Вам ответил http://virusinfo.info/showpost.php?p=168939&postcount=2

Похожие темы

  1. вирус Worm.Win32.Feebs.mf
    От Boyar в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 22.02.2009, 03:04
  2. Win32.hllm.Graz или Worm.Win32.Feebs
    От Ruslan в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 22.02.2009, 01:37
  3. Worm.Win32.Feebs (Win32.HLLM.Graz)
    От ScratchyClaws в разделе Вредоносные программы
    Ответов: 6
    Последнее сообщение: 25.09.2007, 16:06
  4. Сетевой червь Worm.Win32.Feebs.gi
    От av56 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 12.05.2006, 13:36
  5. Worm.Win32.Feebs.ag
    От Xen в разделе Вредоносные программы
    Ответов: 1
    Последнее сообщение: 26.01.2006, 16:11

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01388 seconds with 17 queries