Анализ особых видов заражений с помощью Check Browsers’ LNK

Тема в разделе "Борьба с типовыми зловредами", создана пользователем Dragokas, 15 апр 2016.

  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.471
    Симпатии:
    4.303
    ____________
    Это дополнение в виде 2-й части статьи: Классификация ярлыков Windows и виды их заражения
    Право на перепубликацию оставляю за собой.

    (прим. ред. – изначальную статью по причинам секретности мы сократили,
    поэтому название темы может слегка не совпадать с ее содержанием).

    ____________​

    В этой статье будет рассмотрено несколько спорных моментов и редких случаев заражений, которые можно увидеть в логах программы Check Browsers' LNK.


    1. Пометки [modified]

    Периодически в логах можно увидеть префикс [modified]. В целях конфиденциальности мы ранее вообще не раскрывали, что он значит и как определяется.
    И если с вот такой строкой ни у кого вопросов не возникало:
    то в последнее время очень часто с этим префиксом попадаются с точки зрения большинства хелперов легитимные ярлыки, но это не совсем так.


    1.1. Случаи НЕ ложного срабатывания на признак модификации

    Следует уделить особенное внимание случаям, если отчет по ярлыкам получен в момент, когда вирус все еще активен. Это могут быть ситуации, когда:

    1) запрашиваются отчеты сразу нескольких программ (как в AutoLogger-е);
    2) даются одновременно несколько инструкций, а пользователь их выполняет в неверном порядке;
    3) не удается найти тело вируса с первого раза.

    В качестве примера: недавно мы столкнулись с вредоносной службой HPDefender.

    HPDef_Service.png

    Отличительная особенность этой программы – это слежение за файловыми операциями. Служба повторно заражает ярлыки сразу же, как только пользователь или какая-то сторонняя программа (вроде, самого сканера ярлыков) получает к ним доступ.
    При первом сканировании ярлык выглядит в отчете якобы легитимным. И складывается впечатление, будто сканер ошибся, выводя в отчет чистые строки:
    Check Browsers’ LNK способен в некоторых случаях опознавать признак того, что ярлык ранее уже заражался и был вручную исправлен пользователем. В этом случае строке лога будет присвоен префикс [modified]. Соответственно, такой файл будет иметь повышенную вероятность повторного заражения вирусом, если он все еще не удален из системы.

    Несмотря на с виду легитимную строку, подобные ярлыки я в любом случае рекомендовал бы брать в карантин и сразу отправлять на лечение с обязательным запросом отчета контрольной проверки.

    В нашем случае в карантин попали уже зараженные семплы, хотя первый отчет и показывал, что путь к объекту (цели) легитимный.

    Проверка карантина:

    1.2. Случайные «закладки» в модифицированных ярлыках + вирусные хвосты

    У ярлыков с пометкой [modified] есть и другие опасные свойства. Если удалить объект, на который он ссылается, а затем запустить такой ярлык, то может сработать системный метод IShellLink::Resolve. Этот метод отвечает за восстановление пути к объекту на основе метаданных (дата, размер и путь к файлу из альтернативных секций файла ярлыка).

    В случае, если не были уничтожены все файлы вируса, есть шанс повторного заражения из-за вручную запущенного тела, на которое ранее не было ссылок или других улик, позволяющих увидеть его в логах стандартного инструментария.

    Тоже самое касается ярлыков из секции отчета «Цель не существует». Хотя мы обычно не занимаемся чисткой таких LNK, существует шанс заражения при запуске подобного ярлыка, который изначально (судя по отчету) ведет на несуществующую цель.


    2. Заражения файловых ассоциаций и протоколов

    Есть один хитрый вид заражения, который в последнее время все чаще стал появляться в логах в темах лечения и я ранее не находил инструментов, которые показывают его.

    В строку запуска для файлов с расширениями .htm, .html, а также протоколов http / https / ftp и пр. помещается командная строка для подгрузки вредоносного плагина (расширения) браузера. Пример:
    Обычно хелпер сперва удаляет папку с вредоносным расширением и в большинстве случаев этого будет достаточно. По крайней мере, Chrome не будет ругаться на отсутствующую папку, указанную в его командной строке, приведенной выше (поведение других браузеров я не проверял).

    Если Вы пожелаете исправить ассоциацию, то верным способом, как может показаться, будет:

    1) заново назначить браузер по-умолчанию в его настройках​
    либо
    2) переустановить браузер полностью, отметив при установке галочку «Назначить по умолчанию».​

    С 1-ым вариантом могут быть проблемы, т.к. при таком заражении кнопка в браузере «Восстановить по-умолчанию» может оказаться неактивной (браузер может не заметить подмену и посчитать, что он уже установлен по-умолчанию).

    А с вариантом № 2 нужно быть повнимательнее, т.к. могут возникнуть сложности на новых системах (Win 8 и выше).
    Article:
    Начиная с ОС Windows 8, Майкрософт ввела дополнительный уровень безопасности, запрещающий программам автоматически переназначать ассоциации для типов файлов, которым уже назначена программа для запуска, в том числе:
    1. Автоматически назначать браузер используемым по-умолчанию.
    2. Проверять, является ли он таковым.

    На деле происходит вот что: к примеру, хелпер дает рекомендацию переустановить браузер. А браузер после установки предлагает пользователю вручную назначить ассоциации, используя панель управления (некоторые браузеры вообще не открывают окно «Выбор программ по умолчанию»). Но неподготовленному пользователю будет сложно разобраться, что делать дальше.

    Изменить ассоциацию под Win8 не могут пока и такие программы, как например, FileTypesMan v.1.82. К счастью, на текущем уровне развития, вредоносное ПО также не умеет изменять интернет-ассоциации, защищенные хешем:

    html-UserChoice.jpg

    Вместо этого, подменяется строка запуска для ProgID конкретного браузера, уже связанного с расширением и/или протоколом:

    ChromeHTML-LoadExtension.jpg


    Для решения этой проблемы в системах ОС Windows 8/8.1/10 я могу порекомендовать вариант № 1 (сброс ассоциаций стандартными инструментами):

    1) Восстановление ассоциации через меню «Задать программу по-умолчанию»:

    1.1. Войдите в апплет «Программы по-умолчанию» Панели управления.

    А) Чтобы войти в это меню в любой версии ОС (от Vista и выше) достаточно нажать Win + R и ввести в окно Выполнить:
    Код (Text):
    %windir%\system32\control.exe /name Microsoft.DefaultPrograms

    Б) Через графическое меню это делается так:​

    в Windows Vista/7:
    Нажмите Пуск > Программы по умолчанию > Задание программ по умолчанию

    в Windows 8:
    Переместите указатель мыши в правый нижний угол > Параметры > Панель управления > Программы > Программы по умолчанию > Задание программ по умолчанию

    в Windows 8.1:
    Нажмите Пуск > Стрелку вниз > Программы по умолчанию > Задание программ по умолчанию

    в Windows 10:
    Нажмите Пуск > Параметры > Система > Приложения по умолчанию > Задать значения по умолчанию по приложению​

    1.2. Далее выберите программу Internet Explorer и нажмите кнопку «Использовать эту программу по умолчанию».


    UseBrowserByDefault.jpg

    Internet Explorer будет назначен в качестве программы, открывающей по умолчанию следующие типы файлов и протоколы:

    IE_Default_Ext_And_Protocols.jpg

    1.3. Далее выберите браузер, который Вы желаете установить по умолчанию на постоянной основе, и нажмите кнопку «Использовать эту программу по умолчанию».

    (именно в таком порядке. См. примечание ниже, почему.)

    Для Windows XP все будет немного отличаться:
    - зайдите в Пуск > Выбор программ по умолчанию > Выберите пункт «Другая» и нажмите стрелочку справа. В развернувшемся перечне выберите Internet Explorer и нажмите ОК, затем выполните те же действие для желаемого браузера.

    XP_Def_Set.jpg

    Важное замечание:

    Некоторые браузеры регистрируются только для ограниченного числа расширений и протоколов. Например, с помощью описанных выше действий нельзя установить Google Chrome, Mozilla Firefox, Opera … браузером по-умолчанию для открытия расширения .url. Именно поэтому мы выполнили 2 этапа: сначала назначение IE, а затем другого браузера. Иначе, ассоциация для .url не будет сброшена.


    Вариант № 2 Переустановка браузера.

    (подойдет для систем Windows 7 и ниже)

    Переустанавливать нужно именно тот из браузеров, что был назначен для интернет расширений и протоколов, которые отображаются в логе как зараженные. Например:
    Другой браузер не сможет перезаписать значения чужого ProgID. И конечно же переустановить браузер не получится, если по-умолчанию установлен Internet Explorer или Microsoft Edge, но кто знает, может, Вы и сумеете такое проделать ;)


    Выводы.
    1. Любые ярлыки с пометками [modified] рекомендуется брать в карантин и отправлять на лечение, кроме случаев, где я лично подтверждал ложное срабатывание.
    2. Зараженные записи реестра, которые задают ассоциации для интернет протоколов и типов файлов .url, .htm, .html и прочих, рекомендуется лечить с помощью функции восстановления ассоциаций «Панели управления» в 2 этапа либо переустановкой браузера (в зависимости от версии ОС и рассмотренных выше обстоятельств).

    Спасибо Вам за чтение и успехов в лечении!



    Благодарности.

    Выражаю благодарность regist за ценные советы, поддержку и за то, что держишь в курсе последних событий, по которым и написана данная статья, а также за ревизию 1-й версии этой статьи.
    Спасибо Koza Nozdri за предоставленную универсальную командную строку.

    Использованные материалы и вспомогательное программное обеспечение:
    MSDN. Best Practices for File Associations
    MSDN. IShellLink::Resolve method
    MSDN. File type and URI associations model
    MSDN. Default Programs
    VirusTotal – Free Online Virus, Malware and URL Scanner
    AVZ by Oleg Zaitsev
    Check Browsers’ LNK by Dragokas & regist
    FileTypesMan by Nir Sofer
    ______________________________
    15.04.2016. Stanislav Polshyn.
     
    Последнее редактирование: 26 сен 2016
    Kиpилл, Severnyj и iskander-k нравится это.

Поделиться этой страницей