Удаление и решение проблем с backdoor.win32.javik.a (crexv.ocx и crexvx.ocx)

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
24,585
Реакции
13,563
Приветствую. В сети все больше и больше инцидентов, когда после удаления crexvx.ocx возникают ошибки в работе панели задач и не открываться меню ПУСК.

Информация
Усилиями членов Ассоциации разработано лекарство, которое позволяет решить проблему.
Этот же топик давайте посвятим самому зловреду.

Нам удалось получить дроппер данного зловреда. Ниже сводная информация:

[ General information ]
* File name: c:\ddos.exe
* File length: 106496 bytes
* File signature (PEiD): Nothing found *
* File signature (Exeinfo): *** Unknown EXE -> Checksum is Set ! <- - standard Compiler section , maybe new MS C++ compiler
* File type: EXE
* TLS hooks: NO
* File entropy: 7.10379 (88.7974%)
* ssdeep signature: 1536:5LhzF/KlgvEPD3jbi+aUgABtk0/+VK9bbsS9uMjDmQ8R3Ju84dXTJQg4+/s3Z/Qd:XFKy43NHkYbbsS97vR81Ju84RTdHs3Y
* Adobe Malware Classifier: Unknown
* Digital signature: Unsigned
* MD5 hash: 35d96d247c99528078610e4fb4ab5d95
* VirusTotal detections from 2012-07-31 14:46:46 UTC :
nProtect: Trojan/W32.Agent.106496.BSU
CAT-QuickHeal: Trojan.Orsam0rts
McAfee: PWS-Zbot.gen.hv
K7AntiVirus: Riskware
TheHacker: Trojan/Kryptik.aiks
Symantec: Trojan.Gen
Norman: W32/Troj_Generic.CXQMH
TrendMicro-HouseCall: TROJ_GEN.RCBC9GJ
Avast: Win32:Zbot-OWP [Trj]
Kaspersky: HEUR:Trojan.Win32.Generic
BitDefender: Gen:Variant.Kazy.81118
ViRobot: Trojan.Win32.Yakes.106496
Sophos: Troj/Katush-Gen
Comodo: UnclassifiedMalware
F-Secure: Gen:Variant.Kazy.81118
DrWeb: BackDoor.Siggen.47065
VIPRE: Trojan.Win32.Generic!BT
AntiVir: TR/Yakes.AE
TrendMicro: TROJ_GEN.RCBC9GJ
McAfee-GW-Edition: PWS-Zbot.gen.hv
Emsisoft: Trojan.Win32.Yakes!IK
Antiy-AVL: Trojan/win32.agent.gen
Microsoft: Trojan:Win32/Orsam!rts
AhnLab-V3: Trojan/Win32.Yakes
GData: Gen:Variant.Kazy.81118
ESET-NOD32: a variant of Win32/Kryptik.AIKS
Ikarus: Trojan.Win32.Yakes
Fortinet: W32/Kryptik.AB!tr
AVG: Win32/Cryptor
Panda: Generic Trojan

[ Changes to filesystem ]
* Creates file C:\WINDOWS\system32\crexv.ocx
File length: 57856 bytes
File signature (PEiD): Microsoft Visual C++ 7.0 DLL Method 3
File signature (Exeinfo): Microsoft Visual C++ ver. 6/7 dLL
File type: DLL
TLS hooks: NO
File entropy: 6.61470 (82.6837%)
ssdeep signature: 1536:GjOIyGS18fsBXK7g5VutfWRMG08QOvT4U6eosuwilX6:GiI5SksBXKAotfaMuQOvTT6F
Adobe Malware Classifier: Unknown
Digital signature: Unsigned
MD5 hash: 5e9b3e1774cd8cab4fc78a0a845cc99e
VirusTotal detections from 2012-07-30 17:24:05 UTC :
McAfee: Generic.dx!bfct
K7AntiVirus: Riskware
Symantec: Trojan.Gen.2
Norman: W32/Troj_Generic.DBENI
TrendMicro-HouseCall: WORM_STRAT.GEN-3
Avast: Win32:Malware-gen
Kaspersky: Backdoor.Win32.Javik.a
BitDefender: Gen:Trojan.Heur.du4@Xo@reMbi
F-Secure: Gen:Trojan.Heur.du4@Xo@reMbi
DrWeb: BackDoor.Siggen.47065
VIPRE: Trojan.Win32.Generic!BT
AntiVir: TR/Spy.57856.101
TrendMicro: WORM_STRAT.GEN-3
McAfee-GW-Edition: Generic.dx!bfct
Emsisoft: Trojan.Win32.Spy!IK
Jiangmin: Backdoor/Javik.a
ViRobot: Backdoor.Win32.A.Javik.57856
GData: Gen:Trojan.Heur.du4@Xo@reMbi
ESET-NOD32: Win32/Cerevx.A
Ikarus: Trojan.Win32.Spy
Fortinet: W32/STRAT_GEN.3!worm
AVG: Generic5.GWJ
Panda: Adware/WindowsXpRecovery

Что мы имеем в сухом остатке:
1. Зловред создает в реестре следующие ключи и прописывает себя как отладчик:
Код:
HKLM\Software\Classes\CLSID\{0B97F45B-25E7-4B96-AD81-C6F163B0EACF}\InprocServer32 : [COLOR="red"][B]crexv.ocx[/B][/COLOR]
HKLM\Software\Classes\CLSID\{4302A370-37A0-4CF8-85EC-F81E38401FAD}\InprocServer32 : [COLOR="red"][B]crexv.ocx[/B][/COLOR]
HKLM\Software\Classes\CLSID\{4362A370-37A0-43F8-85EC-18BE38601FAD}\InprocServer32 : [COLOR="red"][B]crexv.ocx[/B][/COLOR]
HKLM\Software\Classes\CLSID\{CA440E3A-5D37-4EB0-A3B5-E7D2003F9349}\InprocServer32 : [COLOR="Red"][B]crexv.ocx[/B][/COLOR]
HKCU\Software\Microsoft\EventSystem\{46c40977-a336-661d1-a616-00803fc79315}\ : [B][COLOR="Red"]crvsd.ocx[/COLOR][/B]
HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\C:\Windows\System32\rundll32.exe [B][COLOR="red"]crexv %1[/COLOR][/B]
HKCU\Software\Microsoft\Windows\CurrentVersion\Extensions\jre : [COLOR="red"][B]crexv[/B][/COLOR]
HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\InstalledThemes\MCX\C:\Windows\Globalization\MCX\MCX-EN\Theme\[B][COLOR="red"]crvv.ocx[/COLOR][/B] : [B][COLOR="red"]C:\PROGRA~2\MICROS~1\Office7\WINWORD.EXE ^.jre[/COLOR][/B]
HKLM\Software\Microsoft\Direct3D\MostRecentApplication\ : [B][COLOR="Red"]crexv.ocx[/COLOR][/B]
HKEY_CURRENT_USER\software\Microsoft\Windows Script\Settings\[B]DefaultDebugger[/B] : [B][COLOR="Red"]crexv[/COLOR][/B]
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('%WINDIR%\SysWow64\crexvx.ocx','');
QuarantineFile('%WINDIR%\system32\crexv.ocx','');
DeleteFile('%WINDIR%\system32\crexv.ocx');
DeleteFile('%WINDIR%\SysWow64\crexvx.ocx');
DelCLSID('0B97F45B-25E7-4B96-AD81-C6F163B0EACF');
DelCLSID('4302A370-37A0-4CF8-85EC-F81E38401FAD');
DelCLSID('4362A370-37A0-43F8-85EC-18BE38601FAD');
DelCLSID('CA440E3A-5D37-4EB0-A3B5-E7D2003F9349');
RegKeyParamDel('HKCU','software\Microsoft\Windows Script\Settings','DefaultDebugger');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Удаляется ключ реестра который отвечает за Java Quick Starter
Код:
HKEY_LOCAL_MACHINE\software\Classes\clsid\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}

2. Производит замену легитимных значений в реестре
Код:
HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 : [COLOR="Red"][B]"C:\WINDOWS\system32\wbem\wbemsvc.dll"/"C:\WINDOWS\system32\crexv.ocx"[/B][/COLOR]
HKLM\Software\Classes\CLSID\{A2A9545D-A0C2-42B4-9708-A0B2BADD77C8}\InProcServer32 : [COLOR="red"][B]"%SystemRoot%\system32\SHELL32.dll"/"C:\WINDOWS\system32\crexv.ocx"[/B][/COLOR]

Ниже отражены результаты поведения зловреда относительно разных операционных систем (спасибо santy за проведенный анализ).
Код:
Ссылка HKLM\Software\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\WINDOWS\system32\crexv.ocx

Ссылка HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\
NULL C:\WINDOWS\system32\crexv.ocx
Код:
Ссылка HKLM\Software\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\Windows\system32\crexv.ocx

Ссылка HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\
NULL C:\Windows\system32\crexv.ocx
Код:
Ссылка HKEY_USERS\S-1-5-21-1482445421-1490996211-364404742-1000_Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\ProgramData\Creative\crexv.ocx

Ссылка HKLM\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\
Код:
Ссылка HKLM\Software\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\Windows\system32\crexv.ocx

Ссылка HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\
NULL C:\Windows\system32\crexv.ocx
Код:
Ссылка HKEY_USERS\S-1-5-21-3043739056-108387949-397355047-1000_Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\ProgramData\Creative\crexv.ocx

Ссылка HKLM\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\

Вернуть оригинальные значения можно следующей методикой

Для удаления данного зловреда лучше обратиться к специалистам, создав тему с запросом о помощи.

!!!!!!
© При копировании твика и скрипта для публикации на других ресурсах, ссылка на данную тему обязательна !

Информация
Тема будет обновляться по мере поступления информации.
 
Последнее редактирование:
Небольшое дополнение. Зловред блокирует доступ к измененным веткам реестра.

Добавлено через 3 часа 40 минут 0 секунд
Обнаружилось еще одно значение меняемое вредоносом

Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Закрепление в меню ''Пуск''"

У кого какое значение этого ключа?

Добавлено через 2 минуты 45 секунд
Обнаружились еще ключи в которых существует ссылка на вреднос

Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\InstalledThemes\MCX] 
"C:\\Windows\\Globalization\\MCX\\MCX-EN\\Theme\\crvv.ocx"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\InstalledThemes\MCX] 
"C:\\Windows\\Globalization\\MCX\\MCX-EN\\Theme\\crvv.ocx"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
"C:\\Windows\\System32\\rundll32.exe crexv %1"="WIN" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
"C:\\Windows\\System32\\rundll32.exe crexv %1"="WIN"
 
У кого какое значение этого ключа?
Win XP SP3 русская ключ аналогичный.

Для Win7 Sp1 Ultimate
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Start Menu Pin"
 
Последнее редактирование:
аналогично

Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Start Menu Pin"
Win7 Sp1 домашняя базовая
 
Появилось предложение насчет скрипта
akok написал(а):
...чтоб вносил изменения и мониторил все ключевые ветки поражаемые заразой.
кто что думает по поводу реализации?

по материалам из справки avz
заюзал на пользователе с целью узнать crexv сидит или не оно.
Код:
function CheckByName(Fname: string): boolean;
begin
  if FileExists(FName) then
   begin
  QuarantineFile(FName,'');
  DeleteFile(FName);
  AddToLog('Файл '+FName+' существует и удален')
   end  else
  AddToLog('Файл '+FName+' не существует');
  SaveLog(GetAVZDirectory + 'CheckByName.txt');
end;

var
 R: string;
begin
 ClearLog;
 R:= RegKeyStrParamRead('HKLM','SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}', '');
 AddToLog('ЗНАЧЕНИЕ CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} = ' + R);
 CheckByName('C:\windows\system32\crexvx.ocx');
 CheckByName('C:\windows\system32\crexv.ocx');
 SaveLog(GetAVZDirectory + 'CheckByName.txt');
 RebootWindows(true);
end.
 
Последнее редактирование:
Сашка, ИМХО скрипт доделать надо!!

Во первых если это чудо сидит, итак понятно что оно сидит (логи, симптомы)
Во вторых есть одна штука, при которой дроппер не закинет бэкдор в те директории, которые указаны в скрипте, и получится что зараза сидит, а по скрипту вашему её нет!
 
Hotab, доделай

мой - сбито на скорую руку, ночью, когда думать не хотелось, для конкретного случая. для примера не годится, выложил по просьбе Кости.
Во первых если это чудо сидит, итак понятно что оно сидит (логи, симптомы)

это чудо может и не сидеть, а быть благополучно грохнуто, в логах отсутствовать, а траблы от его присутствия будут, т к измененные ключи остаются. (не давняя тема на кибере - после удаления и других танцев с бубном вычесал из software вручную еще 7 записей)

А схожие траблы могут быть и по другой причине (злоупотребление твикалками, хотя б)
есть одна штука, при которой дроппер не закинет бэкдор в те директории, которые указаны в скрипте
эти вроде только в этих местах оседают и создают одни и те же записи в реестре. Хотя могут быть варианты, имхо, статистики у меня нет
 
не давняя тема на кибере - после удаления и других танцев с бубном вычесал из software вручную еще 7 записей
жаль пользователь пока молчит, написал в личку, может будет продолжение...хочется все-таки увидеть положительный результат :)
 
Сашка, При включенном UAC бэкдор не туда прописывается. Ключи, которые оседают в HKLM, прописываются в текущую учетку.. И собственно удаление из HKLM ничего не дает. Плюс ко всему в HKCR тоже ключи от скумч есть, только почему не удаляются.
 
При включенном UAC бэкдор не туда прописывается
ну читать мы все умеем, я же говорю, это для конкретного пользователя, там xp

И собственно удаление из HKLM ничего не дает.
в чем проблема удалить откуда нужно и как нужно, если знать где оно прописалось? у меня такой цели не стояло
 
Назад
Сверху Снизу