Удаление и решение проблем с backdoor.win32.javik.a (crexv.ocx и crexvx.ocx)

Тема в разделе "Борьба с типовыми зловредами", создана пользователем akok, 30 июл 2012.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Приветствую. В сети все больше и больше инцидентов, когда после удаления crexvx.ocx возникают ошибки в работе панели задач и не открываться меню ПУСК.

    [INFO]Усилиями членов Ассоциации разработано лекарство, которое позволяет решить проблему.[/INFO] Этот же топик давайте посвятим самому зловреду.

    Нам удалось получить дроппер данного зловреда. Ниже сводная информация:

    [ General information ]
    * File name: c:\ddos.exe
    * File length: 106496 bytes
    * File signature (PEiD): Nothing found *
    * File signature (Exeinfo): *** Unknown EXE -> Checksum is Set ! <- - standard Compiler section , maybe new MS C++ compiler
    * File type: EXE
    * TLS hooks: NO
    * File entropy: 7.10379 (88.7974%)
    * ssdeep signature: 1536:5LhzF/KlgvEPD3jbi+aUgABtk0/+VK9bbsS9uMjDmQ8R3Ju84dXTJQg4+/s3Z/Qd:XFKy43NHkYbbsS97vR81Ju84RTdHs3Y
    * Adobe Malware Classifier: Unknown
    * Digital signature: Unsigned
    * MD5 hash: 35d96d247c99528078610e4fb4ab5d95
    * VirusTotal detections from 2012-07-31 14:46:46 UTC :
    nProtect: Trojan/W32.Agent.106496.BSU
    CAT-QuickHeal: Trojan.Orsam0rts
    McAfee: PWS-Zbot.gen.hv
    K7AntiVirus: Riskware
    TheHacker: Trojan/Kryptik.aiks
    Symantec: Trojan.Gen
    Norman: W32/Troj_Generic.CXQMH
    TrendMicro-HouseCall: TROJ_GEN.RCBC9GJ
    Avast: Win32:Zbot-OWP [Trj]
    Kaspersky: HEUR:Trojan.Win32.Generic
    BitDefender: Gen:Variant.Kazy.81118
    ViRobot: Trojan.Win32.Yakes.106496
    Sophos: Troj/Katush-Gen
    Comodo: UnclassifiedMalware
    F-Secure: Gen:Variant.Kazy.81118
    DrWeb: BackDoor.Siggen.47065
    VIPRE: Trojan.Win32.Generic!BT
    AntiVir: TR/Yakes.AE
    TrendMicro: TROJ_GEN.RCBC9GJ
    McAfee-GW-Edition: PWS-Zbot.gen.hv
    Emsisoft: Trojan.Win32.Yakes!IK
    Antiy-AVL: Trojan/win32.agent.gen
    Microsoft: Trojan:Win32/Orsam!rts
    AhnLab-V3: Trojan/Win32.Yakes
    GData: Gen:Variant.Kazy.81118
    ESET-NOD32: a variant of Win32/Kryptik.AIKS
    Ikarus: Trojan.Win32.Yakes
    Fortinet: W32/Kryptik.AB!tr
    AVG: Win32/Cryptor
    Panda: Generic Trojan

    [ Changes to filesystem ]
    * Creates file C:\WINDOWS\system32\crexv.ocx
    File length: 57856 bytes
    File signature (PEiD): Microsoft Visual C++ 7.0 DLL Method 3
    File signature (Exeinfo): Microsoft Visual C++ ver. 6/7 dLL
    File type: DLL
    TLS hooks: NO
    File entropy: 6.61470 (82.6837%)
    ssdeep signature: 1536:GjOIyGS18fsBXK7g5VutfWRMG08QOvT4U6eosuwilX6:GiI5SksBXKAotfaMuQOvTT6F
    Adobe Malware Classifier: Unknown
    Digital signature: Unsigned
    MD5 hash: 5e9b3e1774cd8cab4fc78a0a845cc99e
    VirusTotal detections from 2012-07-30 17:24:05 UTC :
    McAfee: Generic.dx!bfct
    K7AntiVirus: Riskware
    Symantec: Trojan.Gen.2
    Norman: W32/Troj_Generic.DBENI
    TrendMicro-HouseCall: WORM_STRAT.GEN-3
    Avast: Win32:Malware-gen
    Kaspersky: Backdoor.Win32.Javik.a
    BitDefender: Gen:Trojan.Heur.du4@Xo@reMbi
    F-Secure: Gen:Trojan.Heur.du4@Xo@reMbi
    DrWeb: BackDoor.Siggen.47065
    VIPRE: Trojan.Win32.Generic!BT
    AntiVir: TR/Spy.57856.101
    TrendMicro: WORM_STRAT.GEN-3
    McAfee-GW-Edition: Generic.dx!bfct
    Emsisoft: Trojan.Win32.Spy!IK
    Jiangmin: Backdoor/Javik.a
    ViRobot: Backdoor.Win32.A.Javik.57856
    GData: Gen:Trojan.Heur.du4@Xo@reMbi
    ESET-NOD32: Win32/Cerevx.A
    Ikarus: Trojan.Win32.Spy
    Fortinet: W32/STRAT_GEN.3!worm
    AVG: Generic5.GWJ
    Panda: Adware/WindowsXpRecovery

    Что мы имеем в сухом остатке:
    1. Зловред создает в реестре следующие ключи и прописывает себя как отладчик:
    Код (Text):

    HKLM\Software\Classes\CLSID\{0B97F45B-25E7-4B96-AD81-C6F163B0EACF}\InprocServer32 : [COLOR="red"][B]crexv.ocx[/B][/COLOR]
    HKLM\Software\Classes\CLSID\{4302A370-37A0-4CF8-85EC-F81E38401FAD}\InprocServer32 : [COLOR="red"][B]crexv.ocx[/B][/COLOR]
    HKLM\Software\Classes\CLSID\{4362A370-37A0-43F8-85EC-18BE38601FAD}\InprocServer32 : [COLOR="red"][B]crexv.ocx[/B][/COLOR]
    HKLM\Software\Classes\CLSID\{CA440E3A-5D37-4EB0-A3B5-E7D2003F9349}\InprocServer32 : [COLOR="Red"][B]crexv.ocx[/B][/COLOR]
    HKCU\Software\Microsoft\EventSystem\{46c40977-a336-661d1-a616-00803fc79315}\ : [B][COLOR="Red"]crvsd.ocx[/COLOR][/B]
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\C:\Windows\System32\rundll32.exe [B][COLOR="red"]crexv %1[/COLOR][/B]
    HKCU\Software\Microsoft\Windows\CurrentVersion\Extensions\jre : [COLOR="red"][B]crexv[/B][/COLOR]
    HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\InstalledThemes\MCX\C:\Windows\Globalization\MCX\MCX-EN\Theme\[B][COLOR="red"]crvv.ocx[/COLOR][/B] : [B][COLOR="red"]C:\PROGRA~2\MICROS~1\Office7\WINWORD.EXE ^.jre[/COLOR][/B]
    HKLM\Software\Microsoft\Direct3D\MostRecentApplication\ : [B][COLOR="Red"]crexv.ocx[/COLOR][/B]
    HKEY_CURRENT_USER\software\Microsoft\Windows Script\Settings\[B]DefaultDebugger[/B] : [B][COLOR="Red"]crexv[/COLOR][/B]
    HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C
    HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D
     
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('%WINDIR%\SysWow64\crexvx.ocx','');
    QuarantineFile('%WINDIR%\system32\crexv.ocx','');
    DeleteFile('%WINDIR%\system32\crexv.ocx');
    DeleteFile('%WINDIR%\SysWow64\crexvx.ocx');
    DelCLSID('0B97F45B-25E7-4B96-AD81-C6F163B0EACF');
    DelCLSID('4302A370-37A0-4CF8-85EC-F81E38401FAD');
    DelCLSID('4362A370-37A0-43F8-85EC-18BE38601FAD');
    DelCLSID('CA440E3A-5D37-4EB0-A3B5-E7D2003F9349');
    RegKeyParamDel('HKCU','software\Microsoft\Windows Script\Settings','DefaultDebugger');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(19);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Удаляется ключ реестра который отвечает за Java Quick Starter
    Код (Text):
    HKEY_LOCAL_MACHINE\software\Classes\clsid\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}
    2. Производит замену легитимных значений в реестре
    Код (Text):

    HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 : [COLOR="Red"][B]"C:\WINDOWS\system32\wbem\wbemsvc.dll"/"C:\WINDOWS\system32\crexv.ocx"[/B][/COLOR]
    HKLM\Software\Classes\CLSID\{A2A9545D-A0C2-42B4-9708-A0B2BADD77C8}\InProcServer32 : [COLOR="red"][B]"%SystemRoot%\system32\SHELL32.dll"/"C:\WINDOWS\system32\crexv.ocx"[/B][/COLOR]
    Ниже отражены результаты поведения зловреда относительно разных операционных систем (спасибо santy за проведенный анализ).
    Код (Text):
    Ссылка HKLM\Software\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
    NULL C:\WINDOWS\system32\crexv.ocx

    Ссылка HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\
    NULL C:\WINDOWS\system32\crexv.ocx
    Код (Text):
    Ссылка HKLM\Software\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
    NULL C:\Windows\system32\crexv.ocx

    Ссылка HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\
    NULL C:\Windows\system32\crexv.ocx
    Код (Text):
    Ссылка HKEY_USERS\S-1-5-21-1482445421-1490996211-364404742-1000_Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
    NULL C:\ProgramData\Creative\crexv.ocx

    Ссылка HKLM\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\
    Код (Text):
    Ссылка HKLM\Software\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
    NULL C:\Windows\system32\crexv.ocx

    Ссылка HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\
    NULL C:\Windows\system32\crexv.ocx
    Код (Text):
    Ссылка HKEY_USERS\S-1-5-21-3043739056-108387949-397355047-1000_Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
    NULL C:\ProgramData\Creative\crexv.ocx

    Ссылка HKLM\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\

    Вернуть оригинальные значения можно следующей методикой

    Для удаления данного зловреда лучше обратиться к специалистам, создав тему с запросом о помощи.

    !!!!!!
    © При копировании твика и скрипта для публикации на других ресурсах, ссылка на данную тему обязательна !

    [INFO]Тема будет обновляться по мере поступления информации.[/INFO]
     
    Последнее редактирование: 27 апр 2016
    17 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Небольшое дополнение. Зловред блокирует доступ к измененным веткам реестра.

    Добавлено через 3 часа 40 минут 0 секунд
    Обнаружилось еще одно значение меняемое вредоносом

    Код (Text):

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
    @="Закрепление в меню ''Пуск''"
    У кого какое значение этого ключа?

    Добавлено через 2 минуты 45 секунд
    Обнаружились еще ключи в которых существует ссылка на вреднос

    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\InstalledThemes\MCX]
    "C:\\Windows\\Globalization\\MCX\\MCX-EN\\Theme\\crvv.ocx"=""

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\InstalledThemes\MCX]
    "C:\\Windows\\Globalization\\MCX\\MCX-EN\\Theme\\crvv.ocx"=""

    [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
    "C:\\Windows\\System32\\rundll32.exe crexv %1"="WIN"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
    "C:\\Windows\\System32\\rundll32.exe crexv %1"="WIN"
     
    11 пользователям это понравилось.
  3. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    У меня англ. версия XP с MUI, значение
    Код (Text):
    Start Menu Pin
     
    1 человеку нравится это.
  4. orderman
    Оффлайн

    orderman Активный пользователь

    Сообщения:
    1.159
    Симпатии:
    1.396
    Win XP SP3 русская ключ аналогичный.

    Для Win7 Sp1 Ultimate
    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
    @="Start Menu Pin"
     
    Последнее редактирование: 31 июл 2012
    1 человеку нравится это.
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Немного обновил первый пост.
     
  6. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    У меня
    Код (Text):
    Закрепление в меню ''Пуск''
    ХР SP3 (+украшательства ) :p
     
    Последнее редактирование: 31 июл 2012
    1 человеку нравится это.
  7. orderman
    Оффлайн

    orderman Активный пользователь

    Сообщения:
    1.159
    Симпатии:
    1.396
    iskander-k, ай-ай-ай спалился на пиратке:D
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Win 7 Домашняя Базовая x64 такой же параметр
     
  9. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    докажи :p
     
  10. Tiare
    Оффлайн

    Tiare Ассоциация VN

    Сообщения:
    648
    Симпатии:
    748
    аналогично

    Код (Text):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
    @="Start Menu Pin"
    Win7 Sp1 домашняя базовая
     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Довел до ума скрипт лечения.
     
    8 пользователям это понравилось.
  12. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    Появилось предложение насчет скрипта
    кто что думает по поводу реализации?

    по материалам из справки avz
    заюзал на пользователе с целью узнать crexv сидит или не оно.
    Код (Text):
    function CheckByName(Fname: string): boolean;
    begin
      if FileExists(FName) then
       begin
      QuarantineFile(FName,'');
      DeleteFile(FName);
      AddToLog('Файл '+FName+' существует и удален')
       end  else
      AddToLog('Файл '+FName+' не существует');
      SaveLog(GetAVZDirectory + 'CheckByName.txt');
    end;

    var
     R: string;
    begin
     ClearLog;
     R:= RegKeyStrParamRead('HKLM','SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}', '');
     AddToLog('ЗНАЧЕНИЕ CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} = ' + R);
     CheckByName('C:\windows\system32\crexvx.ocx');
     CheckByName('C:\windows\system32\crexv.ocx');
     SaveLog(GetAVZDirectory + 'CheckByName.txt');
     RebootWindows(true);
    end.
     
    Последнее редактирование: 13 авг 2012
    1 человеку нравится это.
  13. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    Сашка, ИМХО скрипт доделать надо!!

    Во первых если это чудо сидит, итак понятно что оно сидит (логи, симптомы)
    Во вторых есть одна штука, при которой дроппер не закинет бэкдор в те директории, которые указаны в скрипте, и получится что зараза сидит, а по скрипту вашему её нет!
     
  14. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    Hotab, доделай

    мой - сбито на скорую руку, ночью, когда думать не хотелось, для конкретного случая. для примера не годится, выложил по просьбе Кости.
    это чудо может и не сидеть, а быть благополучно грохнуто, в логах отсутствовать, а траблы от его присутствия будут, т к измененные ключи остаются. (не давняя тема на кибере - после удаления и других танцев с бубном вычесал из software вручную еще 7 записей)

    А схожие траблы могут быть и по другой причине (злоупотребление твикалками, хотя б)
    эти вроде только в этих местах оседают и создают одни и те же записи в реестре. Хотя могут быть варианты, имхо, статистики у меня нет
     
    1 человеку нравится это.
  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.061
    Симпатии:
    4.488
    жаль пользователь пока молчит, написал в личку, может будет продолжение...хочется все-таки увидеть положительный результат :)
     
  16. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    Сашка, При включенном UAC бэкдор не туда прописывается. Ключи, которые оседают в HKLM, прописываются в текущую учетку.. И собственно удаление из HKLM ничего не дает. Плюс ко всему в HKCR тоже ключи от скумч есть, только почему не удаляются.
     
  17. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    ну читать мы все умеем, я же говорю, это для конкретного пользователя, там xp

    в чем проблема удалить откуда нужно и как нужно, если знать где оно прописалось? у меня такой цели не стояло
     
  18. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    Сашка, Для одного пользователя, тогда не интересно..:mda:
     
  19. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    Hotab, вот я и придумал тебе развлекуху))) на практику тока сильно не забивай
     
    1 человеку нравится это.
  20. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    Сашка, Хорошо)
     

Поделиться этой страницей