Показано с 1 по 17 из 17.

Картинки с экрана - могут Вам помочь при борьбе с eKAV

  1. #1
    Banned Репутация
    Регистрация
    06.01.2010
    Сообщений
    26
    Вес репутации
    0

    Картинки с экрана - могут Вам помочь при борьбе с eKAV

    Три дня назад я принимал участие в изучении вируса eKAV.

    Пытались понять, что с ним можно сделать.

    Вот краткий отчет

    В принципе оказалось, что ту разновидность вируса, которую мы изучали - лечит DrWeb, а именно мы запускали скачанную с их сайта свежую версию утилиту CureIt. Она хороша тем, что ее не надо инсталлировать.

    Наш вирус состоял из 14 библиотек с произвольными названиями. И еще одного файла, который был прописан в системном реестре, и этот файл осуществлял загрузку остальных библиотек.

    А самих этих 14 библиотек (файлов .DLL) - в системном реестре прописано не было, как оказалось.

    Антивирус Касперского - сработал хуже. Он обнаруживал все 14 библиотек вируса - но не обнаруживал главного файла, который их загружал.

    Что я сделал ? Я попросил прислать мне с зараженного компьютера 5 файлов системного реестра. Те что лежат в папке "system32\config". Файлы забирались из под загрузочного CD.

    И я поставил эти 5 файлов чужого, зараженного реестра - на одну из установленных на моем компьютере копию Windows XP SP2.

    Мне не удалось загрузиться в обычном режиме, и это естественно. Ведь при загрузке компьютер требовал важные драйверы, которых на моей версии Windows XP SP2 попросту не было.

    Но - мне удалось загрузиться в безопасном режиме. Вирус у меня, естественно, тоже не проявлялся, потому что на моем чистом компе файлов этого вируса тоже не было.

    Я получил возможность лазить по системному реестру RegEdit-ом, и запускать разные программы, которые показывают что прописано в автозагрузку.

    Оказалось, что Gmer видит тот вредоносный файл вируса eKAV, прописанный в соответствующее место системного реестра.

    AVZ - не видит, даже при убитом вирусе. Оказалось что AVZ не умеет анализировать в реестре строки, созданные таким хитрым способом, как создал вирус eKAV.

    Менеджер автозапуска от Санкт-Петербургской фирмы - "OSAM" - тоже видит прописанный в автозагрузку хитрый файл (с нестандартным расширением).

    Вот залитые картинки на radikal.ru

    http://s41.radikal.ru/i094/1001/94/d307f783f4d1.jpg

    http://i001.radikal.ru/1001/78/26c15e05d1fe.jpg

    http://s52.radikal.ru/i137/1001/11/a2f263961252.jpg

    http://i076.radikal.ru/1001/1d/dae190d2390d.jpg

    http://s39.radikal.ru/i083/1001/1e/8624782f4e3b.jpg


    Вывод: ищите этот вирус в первую очередь в ветке реестра, показанной на картинках. И смотрите названия файлов, прописанных в параметре:

    AppInit_DLLs

    Попробуйте из под загрузочного CD переименовать этот файл, найдя его по отображаемому GMER-ом пути. Если файлов там окажется несколько - то скопировав их на всякий случай на флэшку, переименуйте или удалите все, которые прописаны в AppInit_DLLs
    по указанному пути.

    А можно попробовать, переименовав на диске зловредный файл-загрузчик, на его место попробовать подсунуть свою безобидную DLL-ку, назвав ее как назывался файл вируса.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    06.01.2007
    Сообщений
    5
    Вес репутации
    40
    Да, все верно, AppInit_DLLs. У меня там был прописан фал шрифтов. Но помог его вычислить AVZ при обычном сканировании.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    111
    Там вроде прописан не файл, а поток NTFS внутри него.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Не внутри, а снаружи.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от uuu99950 Посмотреть сообщение
    AVZ - не видит, даже при убитом вирусе. Оказалось что AVZ не умеет анализировать в реестре строки, созданные таким хитрым способом, как создал вирус eKAV.
    AVZ видит, нужно только научиться читать его логи ... если внимательно прочитать читать лог, то там (а не в списке автозапуска) будет прямо так и сказано - "обнаружен скрытый автозапуск, созданный таким хитрым образом ..." Для данного примера это выглядит так:
    Код:
    7. Эвристичеcкая проверка системы
    Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\wbdbase.fra:FhvejB"
    

  7. #6
    Junior Member Репутация
    Регистрация
    14.07.2009
    Сообщений
    1
    Вес репутации
    31
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Код:
    7. Эвристичеcкая проверка системы
    Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\wbdbase.fra:FhvejB"
    
    Что означает этот набор символов: FhvejB ?

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Обозначение потока NFTS
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    507
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Не внутри, а снаружи.
    Вопрос философский. Сам я (до недавнего времени) полагал, что файловые потоки ntfs - вполне самостоятельные объекты, и нулевой поток ничем не выделяется среди прочих.
    Попробовал создать поток blah.txt:stream.txt без прав писать в существующий blah.txt.
    Ничего не вышло. Нет прав. Вот и думай, где они, эти потоки. Внутри или снаружи...
    Неисповедимы пути...

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    111
    Сейчас проверил - у меня файл wbdbase.fra есть.
    Но никаких eKav antivirus и Internet Security у меня никогда не было.
    Откуда делаем вывод, что файл wbdbase.fra - системный, а его расширение *.fra, скорее всего, указывает на то, что он отвечает за поддержку французского языка. А вирус eKav antivirus просто добавляет в него новый поток. Следовально, удалять сам файл wbdbase.fra не следует.

    А интересно, как поступает вирус, если файловая система - FAT32? Создает просто *.dll-файл с именем из случайных букв?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    204
    У меня в вин2003 - вот так
    wbdbase.deu
    wbdbase.enu
    wbdbase.esn
    wbdbase.fra
    wbdbase.ita
    wbdbase.nld
    wbdbase.sve
    - так что это однозначно системные файлы.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    507
    Сегодня нарвался на "злобную" версию "Internet Security". Антивирус был заблокирован через safer. Как он попал в систему - загадка. Разве что детки анвирус отключали.
    Сами клиенты - люди вменяемые. В итоге: диспетчер задач , cmd, редактирование реестра - все заблокировано. При попытке даже войти в папку с AVZ или ICE Sword выгружается проводник, система перестает реагировать. В безопасном - та же беда. Судя по всему, злодей применяет подобие эвристики, и прибивает подозрительные программы. Reg.exe запускался, кстати.
    Пришлось загрузится с PE. Так и есть - в AppInit_DLLs прописана загрузка чего-то из Cursors, тоже дополнительный поток. Отключил это дело, разблокировал антивирус - заработало.
    Через AVZ скрипт хотел поток вынуть, антивирь прибил его тут же.
    Будем поискать очередные методы обхода. Не нравится мне это дело.

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.05.2009
    Сообщений
    43
    Вес репутации
    73
    to bolshoy kot:
    А интересно, как поступает вирус, если файловая система - FAT32?
    Link.
    Another link.

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    360
    Цитата Сообщение от thetoken12 Посмотреть сообщение
    to bolshoy kot:

    Link.
    Another link.
    это понятно что фат32 не поддерживает потоки, но совсем не факт что у этого вируса нет варианта заражения под фат32 без использования потоков

    или факт?

    имхо, если все возможности этого вируса неизвестны можно проверить их методом тыка, запустить вирус на фат32 и посмотреть
    Последний раз редактировалось Юльча; 15.01.2010 в 02:14.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от user1213 Посмотреть сообщение
    Что означает этот набор символов: FhvejB ?
    До двоеточия - имя файла, после него - имя потока в файле (я просто внес в реестр строчку из примера).

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1164
    Вчера имел удовольствие ITW встретиться с данным трояном. И как раз система была с FAT32. Вычислил я его сразу:
    1. он заразил мою флешку;
    2. поиском по диску c:\ я нашел файл с таким же размером (f.dll он назывался).

    2uuu99950:

    Тот же regedit дает возможность загружать удаленные кусты реестра из файлов. Вы могли подгрузить кусты из файла SOFTWARE и Вам не пришлось бы производить манипуляции с подменой файлов. Но тогда, правда, и анализ реестра нужно было бы производить вручную, а тут без знаний автозагрузки не обойтись.

    Анализ реестра также показал, что файл был прописан в AppInit_DLLs.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    360
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    Вчера имел удовольствие ITW встретиться с данным трояном. И как раз система была с FAT32.
    вот и "проверили"


    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    Но тогда, правда, и анализ реестра нужно было бы производить вручную, а тут без знаний автозагрузки не обойтись.
    Анализ реестра также показал, что файл был прописан в AppInit_DLLs.
    имха
    учитывая информацию об этих вирусах выложенную на вирусинфо, знаний о реестре много не нужно. ключи запусков таких вирусов подробно описаны..
    уверенный пользователь, а может и новичок имеющий общее представление о реестре увидев ключики в примере на форуме, поймет шо и где у себя искать

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    111
    Между тем, eKav (вернее, его новая версия - Internet Security) продолжает требовать SMS с пользователей Интернета. Например, на сайте Ответы.Mail.Ru есть открытые (т.е. недавно заданные вопросы) про этот троян.
    Каков же путь заражения eKav? Установка фейк-кодека? Использование уязвимостей?

Похожие темы

  1. Ответов: 13
    Последнее сообщение: 24.04.2012, 17:27
  2. Ответов: 0
    Последнее сообщение: 09.01.2010, 17:17
  3. Прошу помочь в борьбе с троянами.
    От Кромвель в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 27.03.2009, 00:53
  4. Веселые картинки
    От Wazza в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 31.10.2008, 10:05

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00222 seconds with 16 queries