поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

ну, Хром здесь разрешен
FirewallRules: [{F2A91207-D804-4065-B40A-84218D6E29D4}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
и FF разрешен из своего родного каталога
FirewallRules: [UDP Query User{337FEB3A-2191-4644-B86A-DC653388C5CE}C:\program files (x86)\mozilla firefox\firefox.exe] => (Allow) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{B2DA1FEE-F316-4D59-A6EC-B626BADDA317}C:\program files (x86)\mozilla firefox\firefox.exe] => (Allow) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
несколько тем ("lsass грузит ЦП") с форума virusinfo.info, которые подчеркивают уникальность функций Universal Virus Sniffer, в частности, обнаружение внедренных потоков в легальные, в том числе и системные процессы.
https://virusinfo.info/showthread.php?t=225067
https://virusinfo.info/showthread.php?t=224966

по второй ссылке решение, к сожалению, не было доведено до конца,
по первой ссылки у пользователя и хелперов хватило времени и терпения, чтобы проверить состояние системы из всех положений: нормального, безопасного, и пассивного из под Live USB

образ автозапуска из uVS подтвердил наличие скрытого процесса, который внедряет потоки и нагружает процесс lsass.

Цитата
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4256
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4280
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4284

tdsskiller ничего не обнаружил из норм. режима

19:02:56.0459 0x0d80  TDSS rootkit removing tool 3.1.0.28 Apr  9 2019 21:11:46
19:02:56.0974 0x0d80  ============================================================­
19:02:56.0974 0x0d80  Current date / time: 2020/05/22 19:02:56.0974

19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0c24  Scan finished
19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0dac  Detected object count: 0
19:03:18.0373 0x0dac  Actual detected object count: 0

FRST нашел заблокированные каталоги и файлы:

==================== FLock ==============================

2020-05-22 12:46 C:\Windows\speechstracing
2020-05-22 16:23 C:\Windows\system32\config\SYSTEM
2020-05-18 19:49 C:\Windows\system32\Drivers\Wdf10283.sys

обнаружить, удалить, или получить копию данного драйвера не получается из нормального, и безопасного режима,
зато из под winpe возможно уже легко обнаружить и зачистить систему.

Цитата
C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
a variant of Win64/Agent.KD
Действительна, однако сертификат УСТАРЕЛ
Xtreaming Technology Inc.
HKLM\uvs_system\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}\ImagePath
system32\drivers\Wdf10283.sys
тип запуска: На этапе загрузки (0)

Цитата
Загружен скрипт: F:\Support\COMP.TXT
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
zoo %Sys32%\DRIVERS\WDF10283.SYS
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
--------------------------------------------------------
addsgn 9AFB8488CB82BB1509D49FC070335BDF939E470451A9F4BCFB99DF57546A­527C372C97CE664166E35C0A6FDBCA385911799153EBBE9E75957E639F66­9E993648 32 Trojan:Win64/CryptInject!MTB[Microsoft] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan:Win64/CryptInject!MTB[Microsoft]
--------------------------------------------------------
chklst
--------------------------------------------------------
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL
Проверено файлов: 2942
Найдено вирусов: 1
--------------------------------------------------------
delvir
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
Удаление ссылок...
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

Rootkit.Win64.Agent.bfi
https://www.virustotal.com/gui/file/520f49dbf284b9712e0a274835f179fd14cd6899fa66e9b­a6795e5f8a98c3726/detection
santy
раз anti-malware.ru накрылся нужно создавать здесь тему ( или писать в одной из созданных ) и обсуждать
Иначе: "  уникальность функций Universal Virus Sniffer " останется в прошлом.
Выпускать новую версию раз в пол года - это не есть хоро.
Вот уже сколько накопилось вопросов:
------------------
FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT;
Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить )
------------------

http://www.tehnari.ru/f183/t267632/

Полное имя                  CMD\GIT.EXE
Имя файла                   GIT.EXE
Тек. статус                
                                                     
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES\GIT\GIT-BASH.EXE
CmdLine                     --HIDE --NO-NEEDS-CONSOLE --COMMAND=CMD\GIT.EXE UPDATE-GIT-FOR-WINDOWS --QUIET --GUI
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GIT FOR WINDOWS UPDATER
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\Actions
Actions                     "C:\Program Files\Git\git-bash.exe" --hide --no-needs-console --command=cmd\git.exe update-git-for-windows --quiet --gui
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\
                           
-----------------------------
Task: {48C470AA-9D1F-48F5-8A33-1CCB20E75F26} - C:\Windows\system32\pcalua.exe -a "C:\Users\SataLink\Downloads\MegaCasino_Setup (1).exe" -d C:\Users\SataLink\Downloads

-------------------------------
https://forum.kasperskyclub.ru/index.php?s=de86ae4c08a9c12b6ecee6ca4ec79a2a&showtopic=64818

Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.

-------------------------------
Фиксирует ли uVS
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>

CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - <no Path\update_url>

-------------------------------
Видит ли это:

HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.

--------------------------------
https://forum.esetnod32.ru/forum4/topic15783/
Фиксирует  uVS, чистит ли ?
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus

--------------------------------
SHA-2 Системы Windows
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

---------------------------------

А это: http://www.tehnari.ru/f35/t267839/
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION

----------------------------------
А это:
HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
----------------------------------
А это:
Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa
-----------------------------------
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573]
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB]
Очевидно, что это лишнее действие.
-----------------------------------
Поддержка перехода _программ на стандарт цифровой подписи SHA2
-----------------------------------
HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION

-----------------------------------
Изменено: RP55 RP55 - 25.05.2020 15:37:40
RP55,
зачистка мусора в системах - не самое важное сейчас для реализации в uVS. Понятно, что uVS уже не будет так часто обновляться, как это было раньше, не те времена. Потому надо в первую очередь реализовать то, что важно для быстрого анализа системы.

Цитата
Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.

а в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.
santy

Полное имя                  CMD\GIT.EXE

Здесь может быть ошибка разбора.
----------------
отображении иконки чужого файла, как своего.
Очевидно, что эта информация будет полезна в Инфо.
------------------
Поддержка SHA-2  
Вопрос насколько корректно uVS будет работать с такими файлами.
------------------
и т.д.
дело не только в мусоре.
------------------
Цитата
santy написал:
в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.
в AVZ есть команда удаления по маске ?




.
Изменено: RP55 RP55 - 25.05.2020 16:21:27
Цитата
RP55 RP55 написал:
в AVZ есть команда удаления по маске ?
сигнатура в данном случае - самая лучшая маска.

здесь можно вносить и обсуждать новые предложения по функционалу uVS
https://forum.esetnod32.ru/forum8/topic15904/

как и когда это будет реализовано - это другой вопрос, в первую очередь зависит от четкой формулировки предложений и свободного времени разработчика.
Цитата
santy написал:
сигнатура в данном случае - самая лучшая маска.
Мы это уже обсуждали - не все файлы исполняемые и не для всех можно ( и нужно ) добавлять сигнатуры.

Цитата
santy написал:
свободного времени разработчика.
= Разработчик должен знать об этой теме ( и по хорошему написать общение на anti-malware.ru о переносе темы и смене форума ) у модератора должно было остаться право на публикацию ... ?
Цитата
RP55 RP55 написал:
= Разработчик должен знать об этой теме ( и по хорошему написать общение на anti-malware.ru о переносе темы и смене форума ) у модератора должно было остаться право на публикацию ... ?
пока что это тема не официальная, и разработчик не давал согласие на перенос форума, так что все предложения, так сказать до лучших времен. Если хочется что-то пообсуждать, и была возможность сохранить новые предложения.
FRST похоже добавил антируткит, если из нормального режима видит скрытый сервис.

"{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION
HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied) [File not signed] <==== ATTENTION (Rootkit!/Locked Service)
Цитата
santy написал:
FRST похоже добавил антируткит

https://safezone.cc/threads/frst-tutorial/

Цитата
Примечание: Если FRST никак не сможет получить доступ к службе, в логе будет напечатано следующее:
1b36535375971e1b" => service could not be unlocked. <===== ATTENTION
Нечто подобное может свидетельствовать о рутките или повреждение реестра

Цитата
При заражении руткитом/буткитом не стоит вообще лечить с помощью FRST. Он для этого не предназначен и во многих случаях в его логах просто и не заметите этого заражения. А вместо FRST использовать TDSSKiller или другие утилиты, предназначенные для борьбы с руткитами/буткитами.

Правда они уже давно не пишут про обновление программы и изменения... ?
Читают тему (гостей: 2)