Как "раскриптовать" файл?

[Spaceoddity]

Вроде как подсунули "крысу" (backdoor)... Есть некоторые люди, которые потенциально это могли, да и у них скорее всего нашлись причины...

Вчера VirusTotal показывал показывал только 1/43, сегодня уже 4/43 - Каспер в том числе:

http://www.virustotal.com/file-scan/report...c560-1326267990

Радует уже хотя бы то, что криптер я спалил.

Вопрос - как раскриптовать файл и узнать координаты "хозяина" зверушки?

[SLASH_id]

Ну... Вопрос вы конечно задали. Что значит "раскриптовать"? Распаковать, декомпилировать, разобрать код? Так это вам врядли поможет узнать хозяина данного произведения. они же там свою фамилию и адрес как-то не пишут.

 

Судя по описанию данного семейства вирусов в частности 4x экземпляров конкретно Shiz:

http://www.securelist.com/ru/descriptions/...r.Win32.Shiz.ez

http://www.securelist.com/ru/descriptions/...r.Win32.Shiz.ee

http://www.securelist.com/ru/descriptions/...r.Win32.Shiz.aq

http://www.securelist.com/ru/descriptions/....Win32.Shiz.acs

данное семейство достаточно злое)

 

Скорее всего если атака была целенаправленной и имела цель конкретно вас, то кто-то тупо взял или купил где-то исходник и достаточно грамотно его обфусцировал.

Изменено 11 января, 2012 пользователем SLASH_id

[Spaceoddity]

Ну... Вопрос вы конечно задали. Что значит "раскриптовать"? Распаковать, декомпилировать, разобрать код? Так это вам врядли поможет узнать хозяина данного произведения. они же там свою фамилию и адрес как-то не пишут.

Ну если это "сервер удалённого управления" куда-то же он должен был слать логи, коннектиться по IP или через "No-Ip" и т.д.

Просто боюсь что одной этой "шуткой" дело не ограничится...

А у меня рабочий комп - куча баз, дампов, репозитории, поднятый локальный сервер, виртуальная машина и т.д. Куча открытых портов - отследить всё невозможно! Вчера поставил триальную Авиру - но в ней нет файервола...

Страшненько!..

P.S. "раскриптовать" - я так думаю "декомпилировать".

 

А какие варианты можно предложить в данной ситуации? Может опять закинуть этот файл (я его вручную удалил - показалось странным название системного или доверенного процесса - hemmoragic. копия в архиве.) и посмотреть через какой-нибудь TCP-viewer куда попытается коннектиться?

[SLASH_id]

Вчера поставил триальную Авиру - но в ней нет файервола...

Страшненько!..

 

Э-м-м-м-м... Собственно если страшненько то сходите и купите себе в магазине комплексную антивирусную защиту тем более если вам так дорога ваша машина и ваши данные.

"раскриптовать" - я так думаю "декомпилировать"

Чтобы что-то декомпилировать нужны знания. Специальные знания. Я честно говоря даже не нашел сведений по упаковщику данного вируса.

Хотите знать? Обратитесь к специалистам которые за соответствующую плату в какие-то сроки возможно смогут Вам помочь если вы сможете предоставить экземпляр данного зверя на анализ.

Ну или сразу в отдел К.

посмотреть через какой-нибудь TCP-viewer куда попытается коннектиться?

Нужны только IP адреса? Тогда какие проблемы? Виртуальная машина, WireShark и вперед)

Изменено 11 января, 2012 пользователем SLASH_id

[Spaceoddity]

Спасибо за ответ. Будем думать...

[Tiare]

Spaceoddity, сделайте логи по правилам данного раздела. Проверим, все ли чисто у вас в системе.

Насчет Backdoor.Win32.Shiz, советую сменить важные пароли, т.к. зловреды данного вида похищают конфиденциальную информацию.

[Spaceoddity]

Вот логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[Tiare]

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Users\Nanto\AppData\Local\Temp\7446.tmp','');
QuarantineFile('C:\Users\Nanto\AppData\Local\Temp\3qYA23iw.sys','');
QuarantineFile('C:\Users\Nanto\AppData\Roaming\igfxtray.dat','');
DeleteFile('C:\Users\Nanto\AppData\Roaming\igfxtray.dat');
DeleteFile('C:\Users\Nanto\AppData\Local\Temp\7446.tmp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

F3 - REG:win.ini: load=C:\Users\Nanto\AppData\Local\Temp\7446.tmp
F3 - REG:win.ini: run=C:\Users\Nanto\AppData\Local\Temp\7446.tmp
O4 - HKCU\..\Run: [userinit] C:\Users\Nanto\AppData\Local\Temp\7446.tmp

 

 

>> Нарушение ассоциации REG файлов

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

>> Некорректный элемент автозапуска

Исправьте то, что считаете нужным, с помощью Мастер поиска и устранения проблем

 

Обратите внимание

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помощнику

 

Файл Hosts сами правили?

Вам известно, что это за папки и что в них?

C:\Users\Nanto\AppData\Roaming\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1

C:\Users\Nanto\AppData\Roaming\MicroST

C:\Users\Nanto\AppData\Roaming\Proxima Software

C:\Users\Nanto\AppData\Roaming\TortoiseSVN

 

 

 

Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Изменено 11 января, 2012 пользователем Tiare

[Spaceoddity]

Уф... Ну и задали задачу!

 

7446.tmp и был тем "зверем" - я его удалил, копию в архив. Но ради чистоты эксперимента, закинул обратно. Архив отправил.

При выполнении первого скрипта появлялись ошибки и AVZ аварийно закрывался. Скрин прилагаю. Поэтому пришлось убрать из скрипта строчку на проверку руткитов. После этого скрипт выполнился и карантин создал.

 

HijackThis ничего из этих строк не нашёл.

 

С автозапуском разберусь.

 

С доступом тоже. Только >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) - это как? К локальным дискам надо запретить административный доступ?

 

hosts мой.

 

Папки - да, от программных продуктов. MicroST - незнакома, но она пустая - удалил.

info.txt

log.txt

mbam_log_2012_01_11__18_20_37_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Spaceoddity,

проверьте на virustotal.com

E:\Soft\Inet\Браузеры\opera.exe

ссылку приложите

Изменено 11 января, 2012 пользователем Roman_Five

[Tiare]

Только >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) - это как? К локальным дискам надо запретить административный доступ?

Знающий пароль администратора имеет полный доступ из локалки к вашим дискам, т.е. если вам не нужно, чтобы кто-то имел доступ извне к вашим дискам, то можно отключать.

 

Пишу скрипт с учетом того, что вы решили отключать доступ к локальным дискам (C$, D$ ...), поэтому, если это не требуется, исключите из скрипта данную строку

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.

 

 

Деинсталлируйте Malwarebytes' Anti-Malware

 

Это знакомо C:\ARO2011_bt.exe?

 

 

Повторите лог RSIT

[Spaceoddity]

Это портабельная версия Оперы, ни разу не пользовался. Но...

http://www.virustotal.com/file-scan/report...d66d-1326356877

 

C:\ARO2011_bt.exe - это то, что качается по первой ссылке вместо Malwarebytes - удалено.

 

Логи приаттачены.

info.txt

log.txt

[Roman_Five]

Это портабельная версия Оперы, ни разу не пользовался. Но...

если нужна - заархивируйте с паролем virus и отправьте в вирлаб. возможно, фолс детекта...

если не нужна - удаляйте.

[Tiare]

Spaceoddity

 

+ вышесказанному

 

Скопируйте этот текст в блокнот и сохраните под любым именем с расширением .reg

Запустите созданный файл и подтвердите внесение изменений в реестр.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-

 

Проверьте, если после выполнения данного твика такая запись в реестре отсутствует,

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"system"=C:\Users\Nanto\AppData\Local\Temp\7446.tmp

то на этом лечение закончено. Если запись на месте - отпишитесь.

 

 

Ответ по карантину пришел?