Массовая рассылка блогерам, фишинговый сайт gk-brains ru, троян.

[ARMADA]

Доброго времени суток!

Файл отправленный для анализа был скачан с сайта https:// gk-brains ru/
Ссылка на данный сайт рассылается блогерам, с предложением о сотрудничестве.
Письмо отправлено с адреса *****@*****.tld

Я думаю это массовая рассылка, пожалуйста проанализируйте архив с сайта и файлы в нём, троян (а это 100% троян) содержится в "gb Договор на оказание рекламных услуг.scr", замаскирован под скринсейвер.

 

Пожалуйста добавьте в базу обнаружения, а так же методику лечения данной угрозы. Знакомый ютубер додумался скачать и запустить. Думаем что делать дальше.

 

Файл отправил для анализа через https://opentip.kaspersky.com/

9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF

 

Очевидно что рассылка идёт прямо сейчас, и будет много жертв.

 

Так же - хотелось бы алгоритм полного удаления из системы, со всеми "хвостами".

Систему пока запускать боимся, думаю пролечить с загрузкой с флешки. 

По сему KVRT и логи предоставить не могу.

[ARMADA]

Нормальная ссылка на анализ. 6 троянов внутри

 

https://opentip.kaspersky.com/9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF/results?tab=upload

[ARMADA]

Созрел план-капкан )

 

Есть ноут с чистой свежей виндой. Запустить трояна на нём, собрать логи, скинуть сюда. Подойдёт?

 

Забыл, пароль на архив на сайте - promo

 

Такс. Запустил трояна на пустом ноуте, подождал пока задача не завершится, и запустил сборщик логов (файл прикрепил).

Загрузил комп с Kaspersky RescueCD, прогнал проверку всех разделов - "угрозы не обнаружены".... Нипанятна...

 

Это такой хитрый троян (а по скану - 5 троянов внутри) что его не детектит Кассперский, или такой кривой троян, что он просто не работает нормально? ))

Или он просто крадёт пароли, и больше ничего? Никак на инсталлируется в систему?

 

Функционал бы узнать, чего бояться.

 

CollectionLog-2024.12.24-00.15.zip

логи ProcessMonitor и fileactivitywatch то же прилагаю. Это его действия во время заражения.

ProcessMonitor pml.rar fileactivitywatch-x64.zip

 

Отдельно действия этой бяки

ProcessMonitor only scr.zip

 

Не понимаю. Оно совершает массу каких-то действий с системными файлами, 

просканировал систему Kaspersky Rescue Disk, Dr.Web LiveDisk, KVRT, CureIt, установил Kaspersky Free, просканировал систему - ничего нет.

 

Да как так то? ...

[Sandor]

Здравствуйте!

 

Вирусные аналитики редко сюда заглядывают. Если у вас есть лицензия на продукты Касперского, можете связаться с тех-поддержкой:

для домашнего пользователя https://support.kaspersky.ru/b2c/#contacts

для пользователя корпоративным продуктом https://support.kaspersky.ru/b2b/#contacts

 

Мы же попробуем только очистить систему от вредоносных изменений.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\Clean\CleanTemp.vbs', '');
 DeleteSchedulerTask('Microsoft\Windows\Clean\Cleans temporal directories');
 DeleteFile('C:\Windows\Clean\CleanTemp.vbs', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - Autorun.inf: E:\autorun.inf - (unknown target)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A7810E4-E157-40C3-A7D4-661E6EE08B4E} - (no key)
O26 - Debugger (Stack Rumbling): HKLM\..\svchost.exe: [MinimumStackCommitInBytes] = 0x8000

Ещё раз перезагрузите компьютер.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[ARMADA]

Спасибо!

 

Основную систему пока не запускаем, там у человека все материалы лежать, лет за 10. 40Тб+

 

Списался с поддержкой, уже разбираются что там.

Пока есть подозрение (в пределах моих скромных способностей) что он всё-таки прописывает в систему сомнительный файл(лы?), и он (пока) не определяется антивирусом. Хотя, это упакованная dll, в папке где она быть не должна в принципе. 

[Sandor]

18 минут назад, ARMADA сказал:

Основную систему пока не запускаем

Эти действия были написаны не для другой системы, а для той, с которой сняты логи.

 

Хорошо. Дождёмся ответа ТП.

[ARMADA]

Логи я снимал с отдельно взятого под опыты ноутбука. Как раз лежал с чистой, только поставленной виндой. На нём и экспериментирую.

Тыкаю что говорит поддержка, и присылаю им )

Спасибо вам за помощь!

 

Будет какое-то полное решение проблемы - уже запустим на основном компе. Ооочень данные терять не хочется. 😃

[ARMADA]

Распишу о происходящем (и произошедшем). Картина не полная, ввиду ограниченности моих знаний, что смог понять.

 

* Архив лежал на сайте указанном в первом сообщении (хостинг и домен на Рег.ру (руцентр), заблочен компетентными органами, список тут).

* В архиве - "gb Договор на оказание рекламных услуг.scr". Лоадер, определяемый как "HEUR:Trojan.Win32.Loader.gen"
* При запуске - Виснет в списке задач или как название изначального файла, или как пустая иконка, говоря что он - "c:\windows\SysWOW64\svchost.exe"
* Соединяется с 185.147.125.76:5000 (поддержка ещё упомянула C&C  45.150.32.106, что мне ничего не сказало, но в голове заиграл Hell March), 
* Скачивает оттуда с именем вида fb053a43-34af-4dea-a508-8a905d56a533.dll сначала в c:\Users\[user]\AppData\Local\temp, потом сохраняет в c:\ProgramData\[имя dll]\[имя dll].dll
* Содержимое - полиморфно(?) шифруется, каждый раз - разное. Размер порядка 1,76 МБ, отличается.

* Добавляет в реестр в 

[HKEY_CLASSES_ROOT\CLSID\{235D1375-D093-4CA5-AF41-780D5D29D9A9}]
[HKEY_CURRENT_USER\Software\Classes\CLSID\{235D1375-D093-4CA5-AF41-780D5D29D9A9}]
[HKEY_USERS\S-1-xxxxxxx\Software\Classes\CLSID\{235D1375-D093-4CA5-AF41-780D5D29D9A9}]
[HKEY_USERS\S-1-xxxxxxx_Classes\CLSID\{235D1375-D093-4CA5-AF41-780D5D29D9A9}]
"AppID"=hex:01,24, ......
@="f565616e-d169-4cf1-8363-e0550f008ced"
[-//- \InprocServer32]
@="C:\\ProgramData\\[имя dll]\\[имя dll].dll"
"ThreadingModel"="Both"

 

* Добавляет в планировщик задачу на выполнение при входе пользователя

<Exec>
 <Command>rundll32.exe</Command>
 <Arguments>-sta {235D1375-D093-4CA5-AF41-780D5D29D9A9}</Arguments>
</Exec>

 

* При старте системы - висит в памяти, детектится как "MEM:Trojan.Win32.SEPEH.gen"

На данный момент - 

Сайт заблокирован, 
Вышеуказанные IP блокируются Касперским, 
Угроза в памяти - обезврежевается, но не все длл детектируются, как и записи в реестре, и задача на запуск. 

 

Поддержка обещала доработать. Но в целом - побеждён.

[ARMADA]

PS.

Спасибо Sandor за скрипты - то же прогнал после удаления.

Спасибо AlexeyK с forum.kaspersky.com за ощутимое участие и помощь в понимании работы.

Спасибо техподдержке, на удивление быстра и адекватна. И пнули в нужную сторону (планировщика).