От
JohnDoe
CollectionLog-2023.04.11-20.00.zip
Всем привет!
Столкнулся с трояном, который подменяет адрес биткоин кошелька в буфере обмена.
То есть, если мы копируем адрес для перевода, то после вставки в программу, там будет другой адрес.
И если мы не внимательны, то коины уйдут не по назначению.
Трой активен, но cureit и kvrt ничего не видят.
Больной ПК оперативно отключен от инета и так и будет находиться, обмен через флешку.
История собственного расследования:
*) Отключил все автозагрузки через Autoruns.exe, троян активен
*) Отключил все сервисы, которые можно отключить, троян активен
*) Загрузился в безопасном режиме, троян неактивен
*) Использовал sysmon для события с Clipboard, увидел что в случае активности трояна события идут парой:
Clipboard changed:
RuleName: -
UtcTime: 2023-04-07 21:00:29.674
ProcessGuid: {0b0bc379-08f1-6613-8a00-000000000100}
ProcessId: 5124
Image: C:\Program Files\WindowsApps\Microsoft.WindowsNotepad_11.2302.26.0_x64__8wekyb3d8bbwe\Notepad\Notepad.exe
Session: 1
ClientInfo: user: DESKTOP-QON8HQQ\User
Hashes: SHA1=BB3156414437C2B91BCE47036034137C861A1BFF
Archived: true
Clipboard changed:
RuleName: -
UtcTime: 2023-04-07 21:00:29.940
ProcessGuid: {00000000-0000-0000-0000-000000000000}
ProcessId: 0
Image: <unknown process>
Session: 0
ClientInfo: user: ?
Hashes: SHA1=1DF582377149EAA23E3DD22306CC9938223FF29E
Archived: true
User: -
Видно, что подмена осуществляется неизвестным кодом.
*) Предположил, что зловред является драйвером.
Через консоль восстановления удалил(предварительно сохранив) все драйверы, которые Windows не запускает в safe mode.
Это деактивировало троян.
Далее удалял драйверы по частям и наконец нашел всего один драйвер, удаление которого деактивирует троян: condrv.sys.
И этого же драйвера + драйверы из safe mode достаточно для запуска троя.
Я проверил этот файл на вирус тотал, и он выглядел чистым, кроме того, файл имел валидную цифровую подпись.
Таким образом, condrv.sys не является трояном, но необходим для его работы. Без condrv.sys не работает cmd.exe.
Где прячется троян совсем не понятно. Есть большое желание его найти и узнать пути проникновения.
От ilyaperminov2010
От linktab_new
От JohnDoe
От Vladskiy
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти