поговорить о uVS, Carberp, планете Земля

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.11.2011 19:06:42

Обсуждаем Carberp всех модификаций

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 6D99C48BBD436116B78A04997D854F57 164352 delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Изменено: Арвид - 22.11.2011 13:07:19

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 18 19 20 21 22 ... 167 След.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 19.01.2012 22:37:36

Цитата
santy пишет: Возможно, не проверяется данный ключ в реестре

1) Если, это так, то следует оформить - это, как предложение для uVS на Форуме Anti-Malware.
*Возможно стоит предложить добавление ключей ( аналог команды ADDDIR - но, для реестра )

2) Зачем проверять ключ, когда есть команда: ADDDIR
Добавить и Посмотреть все файлы каталога.

3) И вообще, давно пора системные каталоги добавлять в образ по выбору - и делать это на регулярной основе*.
*Были уже случаи - добавляли и смотрели !

Изменено: RP55 RP55 - 20.01.2012 01:02:08

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.01.2012 06:39:16

1. необходимо больше знать инфо в реестре по этому CLSID

Цитата
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

2. adddir файлы то добавит, а вот будут ли при этом ссылки на файл из реестра - это вопрос.

3.

Цитата
были уже случаи - добавляли и смотрели!

adddir добавляет исполняемые файлы по расширению? в таком случае, врядли библиотека Corkow попадет в автозапуск.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.01.2012 07:58:03

по Corkow имеет смыcл сделать логи AVZ, чтобы посмотреть, какой разбор в нем CLSID
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
вот такая может запись в автозапуске,

Код
C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, SysTray

Код

C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo
Скрипт: Kарантин, Удалить, Удалить через BC   Активен   Ключ реестра   HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, SysTray

причем, удаление параметра реестра приводит к исчезновению легальных объектов в системном трее. Т.е. в этом ключе должно прописываться правильное значение dll. вместо удаляемой троянской dll.
http://virusinfo.info/showthread.php?t=114877
(кстати, очень интересный случай, dll отказывается удалиться из активной системы, и присутствует в том числе и Lanmanserver)
еще одна полезная ссылка по проблеме.
http://www.developing.ru/com/what_com_stores.html
----
возможно идет подмена этого объекта.

Цитата
Полное имя C:\WINDOWS\SYSTEM32\STOBJECT.DLL Имя файла STOBJECT.DLL Тек. статус АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске Размер 139776 байт Создан 12.03.2010 в 16:53:20 Изменен 12.03.2010 в 16:53:20 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя stobject.dll Версия файла 5.1.2600.5512 (xpsp.080413-2105) Версия продукта 5.1.2600.5512 Описание Объект службы оболочки Systray Продукт Операционная система Microsoft® Windows® Copyright © Корпорация Майкрософт. Все права защищены. Производитель Корпорация Майкрософт Доп. информация на момент обновления списка SHA1 B9A16DB183F569E00198026656D66558B44F325F MD5 D5D807BE9F6099F42F46456243728F39 Процессы на момент обновления списка Процесс C:\WINDOWS\EXPLORER.EXE Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray Ссылка HKLM\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Цитата

Полное имя C:\WINDOWS\SYSTEM32\STOBJECT.DLL
Имя файла STOBJECT.DLL
Тек. статус АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске
Размер 139776 байт
Создан 12.03.2010 в 16:53:20
Изменен 12.03.2010 в 16:53:20
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя stobject.dll
Версия файла 5.1.2600.5512 (xpsp.080413-2105)
Версия продукта 5.1.2600.5512
Описание Объект службы оболочки Systray
Продукт Операционная система Microsoft® Windows®
Copyright © Корпорация Майкрософт. Все права защищены.
Производитель Корпорация Майкрософт

Доп. информация на момент обновления списка
SHA1 B9A16DB183F569E00198026656D66558B44F325F
MD5 D5D807BE9F6099F42F46456243728F39

Процессы на момент обновления списка
Процесс C:\WINDOWS\EXPLORER.EXE

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray

Ссылка HKLM\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Изменено: santy - 20.01.2012 08:44:07

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.01.2012 08:35:37

в некоторых случаях (возможно ранние варианты Corkow), троянская dll присутствует в автозапуске

Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\FAMILY\APPLICATION DATA\MICROSOFT CORPORATION\MSPUID.AVE Имя файла MSPUID.AVE Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям ПОДОЗРЕНИЕ НА CORKOW.A ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD\SYSTRAY ПОДОЗРЕНИЕ НА CORKOW.A ССЫЛКА: HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_CLASSES\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\ Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 175104 байт Создан 21.01.2010 в 08:52:56 Изменен 21.01.2010 в 08:52:56 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя spRio600.dll Версия файла 1.0.2.1 Описание MDM Device Interface for Rio 600 device. Производитель S3/Diamond Multimedia Комментарий Media Device Manager for Rio 600 device Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка SHA1 F045713A878A8E376CD3F5B3FB0A2845FAB4D8D9 MD5 8CCEC30EFA773D557BA3CAFCF6EC652B Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray Ссылка HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Цитата

Полное имя C:\DOCUMENTS AND SETTINGS\FAMILY\APPLICATION DATA\MICROSOFT CORPORATION\MSPUID.AVE
Имя файла MSPUID.AVE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
ПОДОЗРЕНИЕ НА CORKOW.A ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD\SYSTRAY
ПОДОЗРЕНИЕ НА CORKOW.A ССЫЛКА: HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_CLASSES\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 175104 байт
Создан 21.01.2010 в 08:52:56
Изменен 21.01.2010 в 08:52:56
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя spRio600.dll
Версия файла 1.0.2.1
Описание MDM Device Interface for Rio 600 device.
Производитель S3/Diamond Multimedia
Комментарий Media Device Manager for Rio 600 device

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 F045713A878A8E376CD3F5B3FB0A2845FAB4D8D9
MD5 8CCEC30EFA773D557BA3CAFCF6EC652B

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray

Ссылка HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Изменено: santy - 20.01.2012 08:36:28

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.01.2012 09:53:48

вот эта часть тоже интересна.
http://virusinfo.info/showthread.php?t=115210

скриптом сбрасывается значение параметра.

Код
begin RegKeyResetSecurity('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad'); RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}'); RebootWindows(true); end.

Код

begin
RegKeyResetSecurity('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad');
RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}');
RebootWindows(true);
end.

по словам, вирус удален,
но после перезагрузке в автозапуске опять троянская dll.

Цитата
C:\Documents and Settings\Yaf\Application Data\Microsoft Corporation\dgrfw32.ext Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, SysTray

какие есть идеи по этому поводу?

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.01.2012 12:20:33

вообщем,
по Corkow идея такая (гипотеза, нам полезно измышлять гипотезы.)
(По возможности, если будут темы с новыми заражениями, просьба проверить соответствующие ключи и параметры реестра.)
-----------
по описанию ESET есть два варианта, которые стартуют следующим образом:

Цитата
The trojan may set the following Registry entries: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "ServiceDll" = "%commonprogramfiles%\microsoft shared\%variable1%.%variable2%" [HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32] "Default" = "%appdata%\Microsoft Corporation\%variable1%.%variable2%" This way the trojan ensures that the file is executed on every system start.

Цитата

The trojan may set the following Registry entries:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"ServiceDll" = "%commonprogramfiles%\microsoft
shared\%variable1%.%variable2%"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]
"Default" = "%appdata%\Microsoft
Corporation\%variable1%.%variable2%"

This way the trojan ensures that the file is executed on every system start.

тот, что стартует из службы lanmanserver всегда есть в образе и легко пролечивается скриптом. + с исправлением параметра на
правильную сервисную dll.

во втором случае троянская dll не всегда, (чаще всего в последнее время) попадает в автозапуск.
В чем здесь дело.
Судя по всему старт трояна идет через ключ автозапуска

HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
в котором указан параметр
SysTray
значение же параметра выставлено через CLSID={35CEC8A3-2BE6-11D2-8773-92E220524153}
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
----------------
смотрим в реестре описание CLSID в HKLM
нормальное (в чистых системах) значение такое (и оно есть в образах с темой Corkow):

Цитата
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}] @="SysTray" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32] @="C:\\WINDOWS\\system32\\stobject.dll" "ThreadingModel"="Both"

возможно троян грузится, если в HKCU добавлено переопределение com-объекта?
а именно (как написано в энциклопедии ESET)

Цитата
[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32] "Default" = "%appdata%\Microsoft Corporation\%variable1%.%variable2%"

Возможно uVS не проверяет соответствующий ключ из HKCU. (уточню у разработчика)
поскольку несколько раз, когда просили юзеров проверить данный ключ в regedit,
они называли имя файла, т.е. ключ не сокрыт в реестре,
и проверяли файлик на VT с подозрением на Corkow, т.е. файлик тоже не скрыт.

Изменено: santy - 20.01.2012 12:20:54

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 20.01.2012 23:06:21

Цитата
santy пишет: adddir добавляет исполняемые файлы по расширению? в таком случае, врядли библиотека Corkow попадет в автозапуск.

Попадёт с гарантий в 100%.
Попадает исполняемый файл имеющий любое неизвестное расширение.
см.фото.
А - вот с ключами реестра хуже - они не проверяются!
На Anti-Malware я предлагал, после завершения команды adddir - чтобы проводилась проверка/сравнение/поиск по имени файла в данных
реестра.
Меня никто не поддержал в этом начинании...
Так, что если идея уже созрела и готова к реализации - то пишите на Anti-Malware и требуйте !

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 20.01.2012 23:07:00

...

Прикрепленные файлы

Проверка.jpg (121.25 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.01.2012 09:28:48

здесь может две стратегии:
либо закидывать сети с помощью adddir,
либо изучать поведение конкретного трояна (файлы, ключи в реестре, способы автозапуска), если какие-либо его варианты не попадают в образ автозапуска, и вносить предложение по дальнейшему развитию детекта в uVS.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.01.2012 13:47:54

продолжение.
ключ в HKCU проверяется в uVS в том случае, если троян стартует из

Цитата
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray

uVS проверяет этот ключ,
потому и видит вторую ссылку

Цитата
HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

в модифицированном случае:
либо тр. в явно не прописан systray,
либо прописан в параметре systray, но ключ этот скрыт;
либо стартует из другого параметра.
либо имеет место переопределение CLSID соответствующее объекту systray.
----------
потому, предлагаю использовать bat-файл для сбора инфо о реестре из приложения.

Прикрепленные файлы

Cork.rar (299 Б)

Изменено: santy - 21.01.2012 13:52:31

[ Как создать образ автозапуска? ]

Пред. 1 ... 18 19 20 21 22 ... 167 След.