Удаление и решение проблем с backdoor.win32.javik.a (crexv.ocx и crexvx.ocx)

[akok]

Приветствую. В сети все больше и больше инцидентов, когда после удаления crexvx.ocx возникают ошибки в работе панели задач и не открываться меню ПУСК.

Информация

Усилиями членов Ассоциации разработано лекарство, которое позволяет решить проблему.

Этот же топик давайте посвятим самому зловреду.

Нам удалось получить дроппер данного зловреда. Ниже сводная информация:

Спойлер

[ General information ]
* File name: c:\ddos.exe
* File length: 106496 bytes
* File signature (PEiD): Nothing found *
* File signature (Exeinfo): *** Unknown EXE -> Checksum is Set ! <- - standard Compiler section , maybe new MS C++ compiler
* File type: EXE
* TLS hooks: NO
* File entropy: 7.10379 (88.7974%)
* ssdeep signature: 1536:5LhzF/KlgvEPD3jbi+aUgABtk0/+VK9bbsS9uMjDmQ8R3Ju84dXTJQg4+/s3Z/Qd:XFKy43NHkYbbsS97vR81Ju84RTdHs3Y
* Adobe Malware Classifier: Unknown
* Digital signature: Unsigned
* MD5 hash: 35d96d247c99528078610e4fb4ab5d95
* VirusTotal detections from 2012-07-31 14:46:46 UTC :
nProtect: Trojan/W32.Agent.106496.BSU
CAT-QuickHeal: Trojan.Orsam0rts
McAfee: PWS-Zbot.gen.hv
K7AntiVirus: Riskware
TheHacker: Trojan/Kryptik.aiks
Symantec: Trojan.Gen
Norman: W32/Troj_Generic.CXQMH
TrendMicro-HouseCall: TROJ_GEN.RCBC9GJ
Avast: Win32:Zbot-OWP [Trj]
Kaspersky: HEUR:Trojan.Win32.Generic
BitDefender: Gen:Variant.Kazy.81118
ViRobot: Trojan.Win32.Yakes.106496
Sophos: Troj/Katush-Gen
Comodo: UnclassifiedMalware
F-Secure: Gen:Variant.Kazy.81118
DrWeb: BackDoor.Siggen.47065
VIPRE: Trojan.Win32.Generic!BT
AntiVir: TR/Yakes.AE
TrendMicro: TROJ_GEN.RCBC9GJ
McAfee-GW-Edition: PWS-Zbot.gen.hv
Emsisoft: Trojan.Win32.Yakes!IK
Antiy-AVL: Trojan/win32.agent.gen
Microsoft: Trojan:Win32/Orsam!rts
AhnLab-V3: Trojan/Win32.Yakes
GData: Gen:Variant.Kazy.81118
ESET-NOD32: a variant of Win32/Kryptik.AIKS
Ikarus: Trojan.Win32.Yakes
Fortinet: W32/Kryptik.AB!tr
AVG: Win32/Cryptor
Panda: Generic Trojan

[ Changes to filesystem ]
* Creates file C:\WINDOWS\system32\crexv.ocx
File length: 57856 bytes
File signature (PEiD): Microsoft Visual C++ 7.0 DLL Method 3
File signature (Exeinfo): Microsoft Visual C++ ver. 6/7 dLL
File type: DLL
TLS hooks: NO
File entropy: 6.61470 (82.6837%)
ssdeep signature: 1536:GjOIyGS18fsBXK7g5VutfWRMG08QOvT4U6eosuwilX6:GiI5SksBXKAotfaMuQOvTT6F
Adobe Malware Classifier: Unknown
Digital signature: Unsigned
MD5 hash: 5e9b3e1774cd8cab4fc78a0a845cc99e
VirusTotal detections from 2012-07-30 17:24:05 UTC :
McAfee: Generic.dx!bfct
K7AntiVirus: Riskware
Symantec: Trojan.Gen.2
Norman: W32/Troj_Generic.DBENI
TrendMicro-HouseCall: WORM_STRAT.GEN-3
Avast: Win32:Malware-gen
Kaspersky: Backdoor.Win32.Javik.a
BitDefender: Gen:Trojan.Heur.du4@Xo@reMbi
F-Secure: Gen:Trojan.Heur.du4@Xo@reMbi
DrWeb: BackDoor.Siggen.47065
VIPRE: Trojan.Win32.Generic!BT
AntiVir: TR/Spy.57856.101
TrendMicro: WORM_STRAT.GEN-3
McAfee-GW-Edition: Generic.dx!bfct
Emsisoft: Trojan.Win32.Spy!IK
Jiangmin: Backdoor/Javik.a
ViRobot: Backdoor.Win32.A.Javik.57856
GData: Gen:Trojan.Heur.du4@Xo@reMbi
ESET-NOD32: Win32/Cerevx.A
Ikarus: Trojan.Win32.Spy
Fortinet: W32/STRAT_GEN.3!worm
AVG: Generic5.GWJ
Panda: Adware/WindowsXpRecovery

Что мы имеем в сухом остатке:
1. Зловред создает в реестре следующие ключи и прописывает себя как отладчик:

HKLM\Software\Classes\CLSID\{0B97F45B-25E7-4B96-AD81-C6F163B0EACF}\InprocServer32 : [COLOR="red"][B]crexv.ocx[/B][/COLOR]
HKLM\Software\Classes\CLSID\{4302A370-37A0-4CF8-85EC-F81E38401FAD}\InprocServer32 : [COLOR="red"][B]crexv.ocx[/B][/COLOR]
HKLM\Software\Classes\CLSID\{4362A370-37A0-43F8-85EC-18BE38601FAD}\InprocServer32 : [COLOR="red"][B]crexv.ocx[/B][/COLOR]
HKLM\Software\Classes\CLSID\{CA440E3A-5D37-4EB0-A3B5-E7D2003F9349}\InprocServer32 : [COLOR="Red"][B]crexv.ocx[/B][/COLOR]
HKCU\Software\Microsoft\EventSystem\{46c40977-a336-661d1-a616-00803fc79315}\ : [B][COLOR="Red"]crvsd.ocx[/COLOR][/B]
HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\C:\Windows\System32\rundll32.exe [B][COLOR="red"]crexv %1[/COLOR][/B]
HKCU\Software\Microsoft\Windows\CurrentVersion\Extensions\jre : [COLOR="red"][B]crexv[/B][/COLOR]
HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\InstalledThemes\MCX\C:\Windows\Globalization\MCX\MCX-EN\Theme\[B][COLOR="red"]crvv.ocx[/COLOR][/B] : [B][COLOR="red"]C:\PROGRA~2\MICROS~1\Office7\WINWORD.EXE ^.jre[/COLOR][/B]
HKLM\Software\Microsoft\Direct3D\MostRecentApplication\ : [B][COLOR="Red"]crexv.ocx[/COLOR][/B]
HKEY_CURRENT_USER\software\Microsoft\Windows Script\Settings\[B]DefaultDebugger[/B] : [B][COLOR="Red"]crexv[/COLOR][/B]
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('%WINDIR%\SysWow64\crexvx.ocx','');
QuarantineFile('%WINDIR%\system32\crexv.ocx','');
DeleteFile('%WINDIR%\system32\crexv.ocx');
DeleteFile('%WINDIR%\SysWow64\crexvx.ocx');
DelCLSID('0B97F45B-25E7-4B96-AD81-C6F163B0EACF');
DelCLSID('4302A370-37A0-4CF8-85EC-F81E38401FAD');
DelCLSID('4362A370-37A0-43F8-85EC-18BE38601FAD');
DelCLSID('CA440E3A-5D37-4EB0-A3B5-E7D2003F9349');
RegKeyParamDel('HKCU','software\Microsoft\Windows Script\Settings','DefaultDebugger');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Удаляется ключ реестра который отвечает за Java Quick Starter

HKEY_LOCAL_MACHINE\software\Classes\clsid\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}

2. Производит замену легитимных значений в реестре

HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 : [COLOR="Red"][B]"C:\WINDOWS\system32\wbem\wbemsvc.dll"/"C:\WINDOWS\system32\crexv.ocx"[/B][/COLOR]
HKLM\Software\Classes\CLSID\{A2A9545D-A0C2-42B4-9708-A0B2BADD77C8}\InProcServer32 : [COLOR="red"][B]"%SystemRoot%\system32\SHELL32.dll"/"C:\WINDOWS\system32\crexv.ocx"[/B][/COLOR]

Ниже отражены результаты поведения зловреда относительно разных операционных систем (спасибо santy за проведенный анализ).

Спойлер: Windows XP

Ссылка HKLM\Software\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\WINDOWS\system32\crexv.ocx

Ссылка HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\
NULL C:\WINDOWS\system32\crexv.ocx

Спойлер: Windows 7 x32

Ссылка HKLM\Software\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\Windows\system32\crexv.ocx

Ссылка HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\
NULL C:\Windows\system32\crexv.ocx

Спойлер: Vista (win 7) x32 с активным UAC

Ссылка HKEY_USERS\S-1-5-21-1482445421-1490996211-364404742-1000_Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\ProgramData\Creative\crexv.ocx

Ссылка HKLM\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\

Спойлер: Vista (win 7) x32 с отключенным UAC

Ссылка HKLM\Software\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\Windows\system32\crexv.ocx

Ссылка HKLM\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32\
NULL C:\Windows\system32\crexv.ocx

Спойлер: Win 8 при включенном UAC

Ссылка HKEY_USERS\S-1-5-21-3043739056-108387949-397355047-1000_Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32\
NULL C:\ProgramData\Creative\crexv.ocx

Ссылка HKLM\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}\

Вернуть оригинальные значения можно следующей методикой

Для удаления данного зловреда лучше обратиться к специалистам, создав тему с запросом о помощи.

!!!!!!
© При копировании твика и скрипта для публикации на других ресурсах, ссылка на данную тему обязательна !

Информация

Тема будет обновляться по мере поступления информации.

 

[akok]

Небольшое дополнение. Зловред блокирует доступ к измененным веткам реестра.

Добавлено через 3 часа 40 минут 0 секунд
Обнаружилось еще одно значение меняемое вредоносом

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Закрепление в меню ''Пуск''"

У кого какое значение этого ключа?

Добавлено через 2 минуты 45 секунд
Обнаружились еще ключи в которых существует ссылка на вреднос

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\InstalledThemes\MCX] 
"C:\\Windows\\Globalization\\MCX\\MCX-EN\\Theme\\crvv.ocx"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\InstalledThemes\MCX] 
"C:\\Windows\\Globalization\\MCX\\MCX-EN\\Theme\\crvv.ocx"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
"C:\\Windows\\System32\\rundll32.exe crexv %1"="WIN" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
"C:\\Windows\\System32\\rundll32.exe crexv %1"="WIN"

 

[Sandor]

У меня англ. версия XP с MUI, значение

Start Menu Pin

 

[orderman]

У кого какое значение этого ключа?

Win XP SP3 русская ключ аналогичный.

Для Win7 Sp1 Ultimate

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Start Menu Pin"

 

[akok]

Немного обновил первый пост.

 

[iskander-k]

У меня

Закрепление в меню ''Пуск''

ХР SP3 (+украшательства )

 

[orderman]

iskander-k, ай-ай-ай спалился на пиратке

 

[Severnyj]

Для Win7 Sp1 Ultimate

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Start Menu Pin"

Win 7 Домашняя Базовая x64 такой же параметр

 

[iskander-k]

ай-ай-ай спалился на пиратке

докажи

 

[Tiare]

аналогично

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Start Menu Pin"

Win7 Sp1 домашняя базовая

 

[akok]

Довел до ума скрипт лечения.

 

[Сашка]

Появилось предложение насчет скрипта

...чтоб вносил изменения и мониторил все ключевые ветки поражаемые заразой.

кто что думает по поводу реализации?

по материалам из справки avz
заюзал на пользователе с целью узнать crexv сидит или не оно.

function CheckByName(Fname: string): boolean;
begin
  if FileExists(FName) then
   begin
  QuarantineFile(FName,'');
  DeleteFile(FName);
  AddToLog('Файл '+FName+' существует и удален')
   end  else
  AddToLog('Файл '+FName+' не существует');
  SaveLog(GetAVZDirectory + 'CheckByName.txt');
end;

var
 R: string;
begin
 ClearLog;
 R:= RegKeyStrParamRead('HKLM','SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}', '');
 AddToLog('ЗНАЧЕНИЕ CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} = ' + R);
 CheckByName('C:\windows\system32\crexvx.ocx');
 CheckByName('C:\windows\system32\crexv.ocx');
 SaveLog(GetAVZDirectory + 'CheckByName.txt');
 RebootWindows(true);
end.

 

[Hotab]

Сашка, ИМХО скрипт доделать надо!!

Во первых если это чудо сидит, итак понятно что оно сидит (логи, симптомы)
Во вторых есть одна штука, при которой дроппер не закинет бэкдор в те директории, которые указаны в скрипте, и получится что зараза сидит, а по скрипту вашему её нет!

 

[Сашка]

Hotab, доделай

мой - сбито на скорую руку, ночью, когда думать не хотелось, для конкретного случая. для примера не годится, выложил по просьбе Кости.

Во первых если это чудо сидит, итак понятно что оно сидит (логи, симптомы)

это чудо может и не сидеть, а быть благополучно грохнуто, в логах отсутствовать, а траблы от его присутствия будут, т к измененные ключи остаются. (не давняя тема на кибере - после удаления и других танцев с бубном вычесал из software вручную еще 7 записей)

А схожие траблы могут быть и по другой причине (злоупотребление твикалками, хотя б)

есть одна штука, при которой дроппер не закинет бэкдор в те директории, которые указаны в скрипте

эти вроде только в этих местах оседают и создают одни и те же записи в реестре. Хотя могут быть варианты, имхо, статистики у меня нет

 

[shestale]

не давняя тема на кибере - после удаления и других танцев с бубном вычесал из software вручную еще 7 записей

жаль пользователь пока молчит, написал в личку, может будет продолжение...хочется все-таки увидеть положительный результат

 

[Hotab]

Сашка, При включенном UAC бэкдор не туда прописывается. Ключи, которые оседают в HKLM, прописываются в текущую учетку.. И собственно удаление из HKLM ничего не дает. Плюс ко всему в HKCR тоже ключи от скумч есть, только почему не удаляются.

 

[Сашка]

При включенном UAC бэкдор не туда прописывается

ну читать мы все умеем, я же говорю, это для конкретного пользователя, там xp

И собственно удаление из HKLM ничего не дает.

в чем проблема удалить откуда нужно и как нужно, если знать где оно прописалось? у меня такой цели не стояло

 

[Hotab]

Сашка, Для одного пользователя, тогда не интересно..:mda:

 

[Сашка]

Hotab, вот я и придумал тебе развлекуху))) на практику тока сильно не забивай

 

[Hotab]

Сашка, Хорошо)