vidocq89 27 Опубликовано 21 января, 2008 Share Опубликовано 21 января, 2008 (изменено) Эту тему я решился создать прочитав вот это ... По-моему описание Зайцева недостаточно и мало о чем рассказывает... Я взял 2 трояна (обычные их версии) и потестил немного - вот, что получилось... НО сразу оговорюсь и отвечу тем, кто может заорать, что мол "каспер это все и так палит" - так вот не палил он один из этих троянов - авторы по мере того как каспер начинает палить трой - переписывает или чистит его, + и самому это можно делать - никто не запрещает... В этой статье пойдет речь о небольшом "ковырянии" двух WM-троянов (Webmoney-троян) сидящих в системе и заменяющих в буфере обмена копируемые номера кошельков на нужные нам).... Оба эти трояна вы, естественно можете найти на нашем форуме и скачать... Начнем ковырять WM-троян от Дамрая. (ниже мы видим скрин билдера) Делаем билд cb.exe и запускаем его... Смотрим, что он делает в системе с помощью тулз для просмотра что в системе делается с реестром и файлами, и находим в логах все, что относиться к нашему файлу: (после символов "//" идут мои комментарии к действиям трояна) cb.exe:912 CreateKey HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad SUCCESS Access: 0x2000000 cb.exe:912 QueryValue HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\VStorage //создаем запись в реестре с таким значением - так мы попали в автозагрузку (будем грузиться вместе с explorer.exe) На этом общение трояна с реестром не заканчивается - он еще повторно обращается к вышеуказанным ключам, пишет туда и считывает оттуда, также делает вот такое: cb.exe:912 CreateKey HKCR\CLSID\{3E59933D-89FE-4C4D-9335-D1E75042D5D3}\InProcServer32 NOT FOUND cb.exe:912 CreateKey HKCR\CLSID SUCCESS Access: 0x2000000 cb.exe:912 CreateKey HKCR\CLSID\{3E59933D-89FE-4C4D-9335-D1E75042D5D3} SUCCESS Access: 0x2000000 Но это нам это в принципе не интересно и не столь нужно (сможем обойтись и без этого). Теперь узнаем, что же он делает с файлами, т.е нужно узнать какие файлы и где он создает. Смотрим на результаты: cb.exe:912 CREATE C:\WINDOWS\system32\swmclip.dll SUCCESS Options: OverwriteIf Access: 0012019F //создаем файл cb.exe:912 OPEN C:\WINDOWS\system32\ SUCCESS Options: Open Directory Access: 00100000 //открываем cb.exe:912 WRITE C:\WINDOWS\system32\swmclip.dll SUCCESS Offset: 0 Length: 4096 //пишем cb.exe:912 CLOSE C:\WINDOWS\system32\swmclip.dll SUCCESS //закрываем, сохраняем... Вот это уже куда более познавательно и интересно)) Тут мы все видим и нам все понятно. Теперь посмотрим как на этот троян уже установленный в системе реагируют такие распространенные антивирусные утилиты (утилиты помогающие человеку в борьбе с зловредами), как AVZ и HiJackThis. Просканируем ими нашу систему и посмотрим, что они нам выдадут по этому поводу. Но прежде чем показать, что они нашли сразу хочеться отметить, что AVZ справилась с этой задачей хуже чем я предполагал - она выдала вот такой результат (ненужное в отчете я просто "обрезал"): 3. Сканирование дисковC:\WINDOWS\system32\swmclip.dll >>> подозрение на Trojan-Spy.Win32.Webmoner.ce ( 04D1F94E 01F881CB 00000000 00000000 4096) Просканировано файлов: 4983, извлечено из архивов: 593, найдено вредоносных программ 0, подозрений - 1 Теперь поясню почему я был немного удивлен таким результатом: т.к троян старый, неизмененный паблик, то я думал, что AVZ задетектит его более уверенно своим файловым сканером. Прежде чем показать вам результат от HiJackThis хочеться оговориться - весь результат HiJackThis выдает в виде текстового файла в котором просто перечислены запущенные процессы, работающие dll, адреса программ сидящих в автозагрузке и т.д и уже ВАМ из этого списка нужно самому найти то, что вы не устанавливали и не представляете, что это такое (хотя есть и онлайн анализатор логов этой программы). Теперь наконец взглянем на результат от HiJackThis (то, что не по теме "обрезано"): O21 - SSODL: VStorage - {3E59933D-89FE-4C4D-9335-D1E75042D5D3} - swmclip.dll (file missing) //нашел то, что не от системы в загрузке с эксплорером вот то, что "не мое" - вот наш троянчик) Теперь посмотрим на саму эту dll'ку: найдем наш файлик system32\swmclip.dll и откромем его или блокнотом/редактором и поищем что-нибудь интересное. Самое интересное, что нам бросаеться в глаза, это номера наших кошельков в незашифрованном виде, вот они: Z443543000000 R645756000000 E645645600000 U267846300000 (при создании трояна мною были заменены последние 5 цифр нулями просто) Увидев всякие OpenClipboard, SetClipboardData можно сразу предположить, что троян общаеться с буфером обмена (хотя мы это и так знаем)). Теперь можно думаю поговорить и о том как от этого трояна избавиться: В принципе можно просто удалить этот файлик и на этом и успокоиться - ничего ниоткуда троян подгружать на его место не будет, но для спокойствия можно и почистить реестр - удалить то, что он туда внес. Рассмотрим WM-троян от DIEL'a (видим на скрине его билдер) Создаем билд и запускаем его: запускаем Ntmon.exe. И первое, что нам бросается в глаза, это то, что мы в Диспетчере задач видим запущенный процесс ntmon.exe от имени пользователя - вот, как говориться, мы и спалились... Но, что еще хуже - так это то, что это висит NTmon.exe, который мы сами же и запустили, а не какой-то файл из глубины системной папки... Но это еще только пол-дела, теперь по примеру первого трояна также изучим и этот, т.к мы это уже делали, то сейчас я это сделаю побыстрее и без лишних комментариев. Начнем с того, что узнаем, какую гадость он пишет в реестр: regedit.exe:908 CreateKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SUCCESS Access: 0x2000000 regedit.exe:908 SetValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syscache SUCCESS "C:\Documents and Settings\Юзер\UserData\Ntmon.exe" regedit.exe:908 CloseKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SUCCESS //видно, что добавляется в автозагрузку не так как предыдущий... //причем добавляется в автозапуск он путем запуска рег-файла - создает его в корне диска "С" и запускает С файлами дела обстоят так: 149 17:00:24 Ntmon.exe:1008 OPEN C:\Documents and Settings\Юзер\Рабочий стол\Ntmon.exe SUCCESS Options: Open Access: Read 150 17:00:24 Ntmon.exe:1008 CREATE C:\Documents and Settings\Игорь\UserData\Ntmon.exe PATH NOT FOUND Options: OverwriteIf Access: 00120196 151 17:00:24 Ntmon.exe:1008 OPEN C:\Documents and Settings\Юзер\UserData\ NOT FOUND Options: Open Directory Access: 00100000 152 17:00:24 Ntmon.exe:1008 CLOSE C:\Documents and Settings\Юзер\Рабочий стол\Ntmon.exe SUCCESS //не смогли создать такую папку...странно... файл не был записан Иными словами этот троян работать у меня не захотел - сами видите, что в автозагрузку добавиться толком у него не получилось, а запускать каждый раз его руками или добавлять туда его самому я не буду... Видимо троян понял, что я все равно на такое не поведусь и решил не устанавливаться ко мне в систему... А жаль... Если же он сможет все-таки установиться к вам, то я уверен, вы теперь знаете как от него избавиться... Не стоит статью расценивать как нечто, претендующее на что-то - я просто хотел показать тем, кто это не знает, что в деле нападения/защиты далеко не последнюю роль играют "руки". Об этом не следует забывать ни одной из сторон. PS: статья писалась в ускоренном темпе на коленке и поэтому могут быть неточности и т.д Изменено 21 января, 2008 пользователем vidocq89 Цитата Ссылка на сообщение Поделиться на другие сайты
Ig0r 1 181 Опубликовано 21 января, 2008 Share Опубликовано 21 января, 2008 Интересно... Спасибо. Буду знать как удалять вирус к программе, которую не имею. Но все равно интересно. Цитата Ссылка на сообщение Поделиться на другие сайты
Максим 10 Опубликовано 23 января, 2008 Share Опубликовано 23 января, 2008 По-моему описание Зайцева недостаточно и мало о чем рассказывает...Олег писал для пользователей. Читается легко, без заумных терминов в отличии от Вашего "творения".Но прежде чем показать, что они нашли сразу хочеться отметить, что AVZ справилась с этой задачей хуже чем я предполагал - она выдала вот такой результат (ненужное в отчете я просто "обрезал")AVZ справилась отлично! К слову, "ненужное" в отчете как раз помогает обнаружить то, что прошло мимо сигнатурного сканера. Теперь поясню почему я был немного удивлен таким результатом: т.к троян старый, неизмененный паблик, то я думал, что AVZ задетектит его более уверенно своим файловым сканером.Троян старый, модификаций много. Какой смысл забивать им базу? Антивирусная утилита - это не антивирус. Подводя итог. Не советую читать Ваше описание начинающим пользователем, кроме очередного запугивания они ни чего не узнают. Цитата Ссылка на сообщение Поделиться на другие сайты
vidocq89 27 Опубликовано 23 января, 2008 Автор Share Опубликовано 23 января, 2008 Maxim_VInfo, поспорить я тоже люблю)) поэтому немного поспорю с вами... Олег писал для пользователей. Читается легко, без заумных терминов в отличии от Вашего "творения". я глубоко уважаю Зайцева Олега, даже не могу сказать, что уважаю за что-то конкретно - я читал вроде все его статьи, что находил и созданные им темы на форумах по безопасности и т.д... но разговор не об этом, видимо вы поняли, что я плохо отнесся к его описанию....нет, почему-же, она очень хорошо соответствует вышеприведенной цитате, НО она в таком случае не совсем в том разделе на вирусинфо - т.е она смотриться не совсем обычно в том контексте (в окружении тем, в которых присутствую эти самые "заумные" термины... ...эту мини-статью я написал как раз для тех, кому интересен данный вид троянов и их души требует каких-либо технических подробностей... (в принципе в технику можно было и не вчитываться - я постарался наиболее простым языком написать комментарии..) AVZ справилась отлично! мне лично очень нравится данная утилита, на варе ее ярлык обязательно на рабочем столе... К слову, "ненужное" в отчете как раз помогает обнаружить то, что прошло мимо сигнатурного сканера. под ненужным я имел в виду тот стандарт который авз у меня все время выдает на девственно чистой машине с только-что поставленной системой.... (логи авз я все таки читать умею, но что бы подстраховаться - я запускал проверку авз перед установкой вируса и после и сравнил результаты, разность написал в топике) Троян старый, модификаций много. Тут вы совершенно правы, я брал практически первые вышедшие в широкий свет версии этих троянов. * ( * - звездочка в виду того, что это не совсем так, но это не имеет значения, но для достоверности информации об этом стоит упомянуть - от Диела была версия еще перед этой - но она была типа бета-версией с многими багами и т.д и через 4 дня он обновил ее до представленной вам...хотя и эта далека от совершенства - огромный код, много лишнего в трояне, многое можно было убрать еще до компиляции...написано на скорую руку без старания). Не советую читать Ваше описание начинающим пользователем, кроме очередного запугивания они ни чего не узнают. прискорбно я старался написать так, что бы было в принципе интересно всем (попихал и чуть-чуть технических подробностей и язык разный использовал - от классического до полуформального и даже картинок понапихал (сделал скрины билдеров) )) но к сожалению ваши последние слова - правда ... достаточно сравнить эту тему с антивностью в этой теме... - в ней тоже инфа про веб-мани трояны)) но там без технических подробностей, примерно как у Олега Зайцева... Цитата Ссылка на сообщение Поделиться на другие сайты
Максим 10 Опубликовано 24 января, 2008 Share Опубликовано 24 января, 2008 ...эту мини-статью я написал как раз для тех, кому интересен данный вид троянов и их души требует каких-либо технических подробностей...(в принципе в технику можно было и не вчитываться - я постарался наиболее простым языком написать комментарии..) Зачем тогда столько комментариев? Комментарии усложняют понимание.но к сожалению ваши последние слова - правда ...достаточно сравнить эту тему с активностью в этой теме... - в ней тоже инфа про веб-мани трояны)) но там без технических подробностей, примерно как у Олега Зайцева... Тоже самое. Слишком много "воды". Вы пытаетесь упростить методом усложнения, в результате получается каламбур. Точку зрения пользователей, прочитавших описание хорошо выразил pofigist, см. 2 пост. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
vidocq89 27 Опубликовано 24 января, 2008 Автор Share Опубликовано 24 января, 2008 Вы пытаетесь упростить методом усложнения, в результате получается каламбур ок. буду учитывать. спасибо за понимание... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.