Trojan.Win32.Inject.eanx просто "проба пера"?!!

Тема в разделе "Борьба с типовыми зловредами", создана пользователем Pleskan87, 11 май 2012.

  1. Pleskan87
    Оффлайн

    Pleskan87 Пользователь

    Сообщения:
    10
    Симпатии:
    5
    Желаю здравствовать всем участникам форума!
    Где-то неделю-полторы назад во время зачистки
    ноута своего знакомого от вирусов наткнулся
    на сабж. Что интересно, что в базы антивируса
    Avira эта модификация была добавлена только
    4 мая сего года, а Касперский и Веб опознавали
    ее, так сказать, сходу.
    Малварь по классификации Avira TR/Crypt.ULPM.Gen,
    Trojan.PWS.Panda.368 .
    Упакован UPX, размер оригинального файла 169 Кб из методов антиотладки (громко сказано)
    использовалось задание больших значений опционального
    заголовка BaseOfCode и BaseOfData. Написан ориентировочно
    на VB5, VB6. Что самое интересное под виртуальной машиной
    никаких деструктивный действий в системе не выполняет.
    Проверял через ProcessMonitor & ProcessExplorer :scaut:
    В базы KAV был добавлен 27.04.2012, но по состоянию на
    3 мая на virustotal.com на сэмпл отозвались только
    17 движков из 42. Анализ на портале threatexperts.com
    вредоносной активности также не выявил:mda:
    Основываясь на всем вышеизложенном вопрос: Что это
    за зверь такой, проба модифицированного паковщика, криптора?!!
    А например после снятия дампа и прикручивания таблицы импорта
    сабж после считывания ключей реестра и некоторых переменных окружения вываливается с ошибкой из чего напрашивается вывод, что
    код зашифрован :sorry:
     
    2 пользователям это понравилось.
  2. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Можно семпл увидеть?

    [info]Только без открытых доступов. Все сэмплы и ссылки на них - в личке[/info]
     
    Последнее редактирование модератором: 11 май 2012
  3. Pleskan87
    Оффлайн

    Pleskan87 Пользователь

    Сообщения:
    10
    Симпатии:
    5
    S.R, Без проблем отправлю паблик линк на дробокс в личку.
    Похоже, что вирус попал на ПК жертвы с дроппера, который прописал сэмпл
    в автозапуск, одна из копий виря лежала %AppData%\rnd1\rnd2.exe,
    другая в %Temp%\two.exe.
    В автозагрузку была прописана первая. А в общем похож на недоношенную
    идею какого-то пионера :mda:
     
  4. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    Pleskan87, Добрый день!
    Зараза была известна намного раньше.А детект скорей идет на алгоритмы упаковки. Деструктивные действия(через регмон и файлмон),могут и не проявляться,если в системе сидит руткит.
     
  5. Pleskan87
    Оффлайн

    Pleskan87 Пользователь

    Сообщения:
    10
    Симпатии:
    5
    Я об этом и говорю.

    Безусловно. Согласен с Вами. Но понимаете, что пихать руткит в малварь написанную на Visual Basic на мой взгляд это несколько нестандартный подход к делу:)
    Доктор Веб вообще смотрит на сигнатуры вирусов более обобщенно, чем другие вендоры. В моем предыдущем посте rnd1 и rnd2.exe - случайные последовательности из 6 символов латинского алфавита.
    P.S. Я бы за это дело так активно не взялся бы, но просто очень хочется узнать - действительно ли сэмпл зашифрован или это просто Вагнеровский гомункул. Что ж подожу ответа S.R.
     
  6. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    Pleskan87, Мне можете в лс сэмпл скинуть?
     
  7. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Pleskan87, файл пошифрован, распаковать до пригодного состояния так и не удалось. Судя по вызываемым функциям файл может работать с файлами, реестром и сетью. Похоже, должен иметь GUI. Ничего конкретного получить, к сожалению, не смог.
     
  8. Pleskan87
    Оффлайн

    Pleskan87 Пользователь

    Сообщения:
    10
    Симпатии:
    5
    S.R, да тоже самое было под ProcessMonitor да и по строкам которые сохраняются в файле он должен выдавать окошко с запросом пароля. Что еще интересно файл невозможно заархивировать, к примеру для пересылки.
    Ладушки сейчас попытаюсь выложить сэмпл для Hotab куда-нибудь в другое место, может он разберётся теперь я думаю Вы поняли от чего разгорелся мой интерес ;)
     
  9. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    Pleskan87, Вот ваша зараза

    Добавлено через 10 минут 41 секунду
    Смените на всякий случай пароли.. + насчет распаковки,можете обратиться к Юрию Паршину..Он сможет вам помочь я думаю.
     
    1 человеку нравится это.
  10. Pleskan87
    Оффлайн

    Pleskan87 Пользователь

    Сообщения:
    10
    Симпатии:
    5
    Да точно он, только запакованный хитро. Конечно, из интереса хотел бы поковырять алгоритм распаковки, но это маловероятно :(
    Ну да ничего, зато знаю уже что он делает в системе.

    Hotab, а Вы его сами не распаковывали?!
     
  11. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    Pleskan87, Если он запакован по алгоритмам вирусописателя..то распаковать может только он( вспоминается дело в локдире с методом шифрования GpCode) либо аналитики!
     
  12. Pleskan87
    Оффлайн

    Pleskan87 Пользователь

    Сообщения:
    10
    Симпатии:
    5
    Инет тормозит, поэтому отвечаю с запозданием, простите.

    Ну об этом следует заботится приятелю, т.к. у него система была захламлена,
    да и в плане аппаратного обеспечения пришлось его подшаманить, но это уже оффтоп :)
     
    1 человеку нравится это.
  13. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    [info]Лечение оказывается в этом разделе, еще раз увижу просьбы о высылке логов, выпишу горчичник[/info]
     
    Последнее редактирование модератором: 12 май 2012
  14. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Hotab, нет, я просто не так выразился. Файл зашифрован не так, как это делают шифровальщики. Просто после компиляции его упаковали предположительно UPX'ом с ещё чем-то. В результате статический анализ кода (дизассемблирование) практически невозможен. Во время запуска файла он в памяти распаковывается, и производит остальные действия.
     
  15. Pleskan87
    Оффлайн

    Pleskan87 Пользователь

    Сообщения:
    10
    Симпатии:
    5
    Hotab, постараюсь. Только быстро это сделать не обещаю, т.к. у знакомого на этих выходных этот ноутбук будет работать в качестве музыкального центра на свадьбе:) Но, если Вас данный вопрос заинтересовал, то постараюсь это сделать...
     
  16. Pleskan87
    Оффлайн

    Pleskan87 Пользователь

    Сообщения:
    10
    Симпатии:
    5
    Похоже, что упакован ASPack с фейковой сигнатурой UPX.
    Распакованный размер 264 Кб. Не знаю - насколько корректный дамп.
    Изложена версия специалиста из андеграуда :)
     
    2 пользователям это понравилось.

Поделиться этой страницей