Удаляем трояна, требующего отправку SMS с компьютера

Вниз

Administrator


Сегодня с утра на работе сотрудница словила троян, требующий отправки SMS на короткий номер.

Удаляем трояна, требующего отправку SMS с компьютера - Форум Сириус - Торез


Сам троян для опытов можно скачать отсюда.

По поводу механизма заражения очень хорошо расписал Olegas,
[cut=развернуть]Интересная техника сокрытия кодов JS «вируса»
Сегодня скинули код, дропающий на машину штатный вирус «отправьте SMS для разблокировки». Предысторию и методику чистки изложил force

Попробовал расковырять. Взял код, отформатировал, стал дебагать... Хм, интересно... В коде идет вызов (после приведения к читабельному виду)

window['eval'](var2);

А вот в var2 -- бинарные данные. Ух ты... Но ведь eval не может выполнять бинарные данные!!!


Поглядел код... а он оказывается для дешифровки использует свое тело и, соответственно, после форматирования кода тело изменилось и результат дешифровки тоже.

Значит надо как-то запустить неформатированный код и при этом ничего вредного не словить. Как? Вызов debugger; не вставить, брейкпоинт не сделать -- все в одну строку...

Зная что скрипт делает eval можно применить вот такую конструкцию:

window.eval = function(arg) {
debugger;
}

После чего успешно словить вызов eval и получить весь код, который вирус пытался выполнить...

UPD1: Собственно, к чему я это все? Раньше мне не встречались такие изощренные конструкции. В основном применялся простой eval(base64_deocde('...')); Ну и ИМХО интересный метод отладки через переопределение eval...

UPD2: Попытка деобфускейта и расковырки первичного «вируса» -- тыц. Исходный код (до операции) видно на 22 строке. То, что было там ранее -- на следующей в комментарии. Запускать не пробовал =). Файл детектируется эвристическими анализаторами антивирусов.

UPD3: Уже сейчас, разобрав код, понятно, что декодировщик не использует весь свой код для работы. Ему нужны только числа и не важно их положение, важен порядок. Изначальный «глюк» с бинарными данными получился потому, что я поменял название функции на более человечное. А как видно там были числа. Именно по этому все и сломалось. Добавление новых не-чисел не влияет на работу скрипта.

UPD4: Что в итоге делал полученный код? Он определял браузер, установленные плагины и прочую интересную для дальнейших действий информацию (включена ли Java, язык системы (?)). Далее, в соответствии с полученными данными, формировался URL для получения дальнейшего скрипта, который, в свою очередь, рендерил на страницу наиболее подходящий для данной конфигурации эксплойт. В моем окружении это был Java-апплет. Как сообщили коллеги -- загружаемый по ссылке апплет использует вот эту уязвимость. Коды «вторичного» вируса и сам апплет-эксполит имеются.[/cut]
я, соответственно распишу про первую часть, про лечение. Кстати, первоначально было подозрение в том, что это дыра в IE8, на практике оказалось что скорее всего вирус проник через дыру в Java или Flash. Так что, в принципе, не защищён ни один из браузеров. Анализ логов показал, что сайты посещались достаточно безобидные, на каком из них завёлся iframe с дроппером, выяснить не удалось (не все же перебирать, в самом деле).


Теперь, собственно про лечение. Способов по идее много, но я расскажу, как это сделать по сети, не подходя к жертве и не мучаясь с тем, как разобраться с этим окошком (это, кстати помогает и против других вирусов).

Все дальнейшие действия делаются с другого компьютера:
Ищем вредный процесс tasklist /s computer_name. В нашем случае им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с первого раза глаз не цепляется за название).
Убиваем его через taskkill /s computer_name /pid process_id
Запускаем regedit и подключаем сетевой реестр с данного компьютера. Ищем, где напакостил вирус. Оказалось, что он подменил себя в в качестве шелла:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe
Также выяснилось что вирус установил политику «запрет запуска TaskManager», так что его просто так было не убить. Быстрый поиск в гугле (это было быстрее чем применять политику) показал что надо убить ветку:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr (через удалённый реестр, ключ можно найти как HKEY_USERS\SID_текущего пользователя, если залогинен один, то это просто «длинный» SID в отличе от системных коротких)
Перегружаемся, запускаем Cure-It и добиваем останки вируса из временных папок.

В общем всё просто, а главное со своего рабочего места. Естественно на компьютере не должны быть зафаирволлен удалённый доступ, не отключен удалённый реестр.

И напоследок, немного из другой области: в случае заражения вирусами компьютера, рекомендую по-возможности сканировать его с другой машины, тоже по сети. Неоднократно были прецеденты, когда вирус пудрил мозги антивирусам изображая своё отсуствие, а другому компьютеру это естественно у него не получалось.


UPD: Если нет специального LiveCD, для этих целей хорошо подходит установочный диск от Vista и выше. В начале установки нажимаем Shift+F10, открывается консоль, а из неё можно запускать уже множество программ (например с флешки), в частности хорошо работает Far и редактор реестра.

Гадание на рождество 6 января 2016Эпиляция на лице метод эпиляцииТорт губка боб фото
Вверх