Троян подменяющий буфер обмена если в нем адрес криптокошелька

[JohnDoe]

CollectionLog-2023.04.11-20.00.zip

 

Всем привет!

Столкнулся с трояном, который подменяет адрес биткоин кошелька в буфере обмена.
То есть, если мы копируем адрес для перевода, то после вставки в программу, там будет другой адрес.
И если мы не внимательны, то коины уйдут не по назначению.

Трой активен, но cureit и kvrt ничего не видят.

Больной ПК оперативно отключен от инета и так и будет находиться, обмен через флешку. 

История собственного расследования:

*) Отключил все автозагрузки через Autoruns.exe, троян активен

*) Отключил все сервисы, которые можно отключить, троян активен

*) Загрузился в безопасном режиме, троян неактивен

*) Использовал sysmon для события с Clipboard, увидел что в случае активности трояна события идут парой:
Clipboard changed:
RuleName: -
UtcTime: 2023-04-07 21:00:29.674
ProcessGuid: {0b0bc379-08f1-6613-8a00-000000000100}
ProcessId: 5124
Image: C:\Program Files\WindowsApps\Microsoft.WindowsNotepad_11.2302.26.0_x64__8wekyb3d8bbwe\Notepad\Notepad.exe
Session: 1
ClientInfo: user: DESKTOP-QON8HQQ\User
Hashes: SHA1=BB3156414437C2B91BCE47036034137C861A1BFF
Archived: true

Clipboard changed:
RuleName: -
UtcTime: 2023-04-07 21:00:29.940
ProcessGuid: {00000000-0000-0000-0000-000000000000}
ProcessId: 0
Image: <unknown process>
Session: 0
ClientInfo: user: ?
Hashes: SHA1=1DF582377149EAA23E3DD22306CC9938223FF29E
Archived: true
User: -

Видно, что подмена осуществляется неизвестным кодом.

*) Предположил, что зловред является драйвером. 
Через консоль восстановления удалил(предварительно сохранив) все драйверы, которые Windows не запускает в safe mode.
Это деактивировало троян.
Далее удалял драйверы по частям и наконец нашел всего один драйвер, удаление которого деактивирует троян: condrv.sys.

И этого же драйвера + драйверы из safe mode достаточно для запуска троя.
Я проверил этот файл на вирус тотал, и он выглядел чистым,  кроме того, файл имел валидную цифровую подпись.
Таким образом, condrv.sys не является трояном, но необходим для его работы. Без condrv.sys не работает cmd.exe.
 
Где прячется троян совсем не понятно. Есть большое желание его найти и узнать пути проникновения.

 

[Sandor]

Здравствуйте!

 

Уточните: сейчас после ваших манипуляций проблема ещё сохраняется?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

+

Перед сбором логов деинсталлируйте нежелательное ПО - Bonjour

[JohnDoe]

Проблема остается актуальной.

Просканировал FarBar. На странное время создания файлов в логах не обращайте внимание.

Это я пытался определить, зависит ли активность трояна от даты. 

Дело в том, что он не каждый раз делает замену и иногда прекращает совсем их делать.

Но после перезапуска все по новому.

 

Addition.txt FRST.txt

[Sandor]

11.04.2023 в 18:36, JohnDoe сказал:

*) Отключил все автозагрузки через Autoruns.exe, троян активен

*) Отключил все сервисы, которые можно отключить, троян активен

Всё это включите, пожалуйста.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [SystemUsesLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "SystemUsesLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [AppsUseLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "AppsUseLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [SystemUsesLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "SystemUsesLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [AppsUseLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "AppsUseLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-468127825-3233561221-1878649580-1002\...\Run: [MicrosoftEdgeAutoLaunch_C46CFC0629905CC775E70B50EA8A519C] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4140496 2023-04-06] (Microsoft Corporation -> Microsoft Corporation)
  HKU\S-1-5-18\...\RunOnce: [SystemUsesLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "SystemUsesLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-18\...\RunOnce: [AppsUseLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "AppsUseLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  FirewallRules: [{FCE622C0-9BBB-4FAD-A82A-C0F6DDF151C1}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{38D5ABD7-5017-4704-B64D-320762BABEA7}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{37EABB50-5155-4796-9E6A-38FBD76BC992}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{EFCBEE77-2D77-4EB3-BA6E-E545B35F8A23}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Выполнение скрипта может занять некоторое время (до получаса), дождитесь завершения.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[JohnDoe]

Sandor

Что бы я понимал, цель скрипта лечение или поиск? Так как меня интересует именно поиск  зараженного компонента, вместо лечения будет format с.

[Sandor]

Цель была лечение. Явного вредоноса по логам не видно. Но раз вы собрались переустанавливать, не вижу смысла продолжать.

[JohnDoe]

У меня цель найти вредоносный компонент и узнать как он ко мне попал, за этим и обратился. В любом случае благодарю за помощь.

[Sandor]

Исследование (или форензика) это несколько другое, гораздо более затратное. Здесь мы этим не занимаемся.