Перейти к содержанию

Массовая рассылка блогерам, фишинговый сайт gk-brains ru, троян.


ARMADA

Рекомендуемые сообщения

Доброго времени суток!

Файл отправленный для анализа был скачан с сайта https:// gk-brains ru/
Ссылка на данный сайт рассылается блогерам, с предложением о сотрудничестве.
Письмо отправлено с адреса *****@*****.tld

Я думаю это массовая рассылка, пожалуйста проанализируйте архив с сайта и файлы в нём, троян (а это 100% троян) содержится в "gb Договор на оказание рекламных услуг.scr", замаскирован под скринсейвер.

 

Пожалуйста добавьте в базу обнаружения, а так же методику лечения данной угрозы. Знакомый ютубер додумался скачать и запустить. Думаем что делать дальше.

 

Файл отправил для анализа через https://opentip.kaspersky.com/

9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF

 

Очевидно что рассылка идёт прямо сейчас, и будет много жертв.

 

Так же - хотелось бы алгоритм полного удаления из системы, со всеми "хвостами".

Систему пока запускать боимся, думаю пролечить с загрузкой с флешки. 

По сему KVRT и логи предоставить не могу.

Ссылка на комментарий
Поделиться на другие сайты

Созрел план-капкан )

 

Есть ноут с чистой свежей виндой. Запустить трояна на нём, собрать логи, скинуть сюда. Подойдёт?

 

Забыл, пароль на архив на сайте - promo

 

Такс. Запустил трояна на пустом ноуте, подождал пока задача не завершится, и запустил сборщик логов (файл прикрепил).

Загрузил комп с Kaspersky RescueCD, прогнал проверку всех разделов - "угрозы не обнаружены".... Нипанятна...

 

Это такой хитрый троян (а по скану - 5 троянов внутри) что его не детектит Кассперский, или такой кривой троян, что он просто не работает нормально? ))

Или он просто крадёт пароли, и больше ничего? Никак на инсталлируется в систему?

 

Функционал бы узнать, чего бояться.

 

CollectionLog-2024.12.24-00.15.zip

логи ProcessMonitor и fileactivitywatch то же прилагаю. Это его действия во время заражения.

ProcessMonitor pml.rar fileactivitywatch-x64.zip

 

Отдельно действия этой бяки

ProcessMonitor only scr.zip

 

Не понимаю. Оно совершает массу каких-то действий с системными файлами, 

просканировал систему Kaspersky Rescue Disk, Dr.Web LiveDisk, KVRT, CureIt, установил Kaspersky Free, просканировал систему - ничего нет.

 

Да как так то? ...

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Вирусные аналитики редко сюда заглядывают. Если у вас есть лицензия на продукты Касперского, можете связаться с тех-поддержкой:

для домашнего пользователя https://support.kaspersky.ru/b2c/#contacts

для пользователя корпоративным продуктом https://support.kaspersky.ru/b2b/#contacts

 

Мы же попробуем только очистить систему от вредоносных изменений.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\Clean\CleanTemp.vbs', '');
 DeleteSchedulerTask('Microsoft\Windows\Clean\Cleans temporal directories');
 DeleteFile('C:\Windows\Clean\CleanTemp.vbs', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - Autorun.inf: E:\autorun.inf - (unknown target)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A7810E4-E157-40C3-A7D4-661E6EE08B4E} - (no key)
O26 - Debugger (Stack Rumbling): HKLM\..\svchost.exe: [MinimumStackCommitInBytes] = 0x8000

Ещё раз перезагрузите компьютер.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Ссылка на комментарий
Поделиться на другие сайты

Спасибо!

 

Основную систему пока не запускаем, там у человека все материалы лежать, лет за 10. 40Тб+

 

Списался с поддержкой, уже разбираются что там.

Пока есть подозрение (в пределах моих скромных способностей) что он всё-таки прописывает в систему сомнительный файл(лы?), и он (пока) не определяется антивирусом. Хотя, это упакованная dll, в папке где она быть не должна в принципе. 

Ссылка на комментарий
Поделиться на другие сайты

18 минут назад, ARMADA сказал:

Основную систему пока не запускаем

Эти действия были написаны не для другой системы, а для той, с которой сняты логи.

 

Хорошо. Дождёмся ответа ТП.

Ссылка на комментарий
Поделиться на другие сайты

Логи я снимал с отдельно взятого под опыты ноутбука. Как раз лежал с чистой, только поставленной виндой. На нём и экспериментирую.

Тыкаю что говорит поддержка, и присылаю им )

Спасибо вам за помощь!

 

Будет какое-то полное решение проблемы - уже запустим на основном компе. Ооочень данные терять не хочется. 😃

Ссылка на комментарий
Поделиться на другие сайты

Распишу о происходящем (и произошедшем). Картина не полная, ввиду ограниченности моих знаний, что смог понять.

 

* Архив лежал на сайте указанном в первом сообщении (хостинг и домен на Рег.ру (руцентр), заблочен компетентными органами, список тут).

* В архиве - "gb Договор на оказание рекламных услуг.scr". Лоадер, определяемый как "HEUR:Trojan.Win32.Loader.gen"
* При запуске - Виснет в списке задач или как название изначального файла, или как пустая иконка, говоря что он - "c:\windows\SysWOW64\svchost.exe"
* Соединяется с 185.147.125.76:5000 (поддержка ещё упомянула C&C  45.150.32.106, что мне ничего не сказало, но в голове заиграл Hell March), 
* Скачивает оттуда с именем вида fb053a43-34af-4dea-a508-8a905d56a533.dll сначала в c:\Users\[user]\AppData\Local\temp, потом сохраняет в c:\ProgramData\[имя dll]\[имя dll].dll
* Содержимое - полиморфно(?) шифруется, каждый раз - разное. Размер порядка 1,76 МБ, отличается.

* Добавляет в реестр в 

[HKEY_CLASSES_ROOT\CLSID\{235D1375-D093-4CA5-AF41-780D5D29D9A9}]
[HKEY_CURRENT_USER\Software\Classes\CLSID\{235D1375-D093-4CA5-AF41-780D5D29D9A9}]
[HKEY_USERS\S-1-xxxxxxx\Software\Classes\CLSID\{235D1375-D093-4CA5-AF41-780D5D29D9A9}]
[HKEY_USERS\S-1-xxxxxxx_Classes\CLSID\{235D1375-D093-4CA5-AF41-780D5D29D9A9}]
"AppID"=hex:01,24, ......
@="f565616e-d169-4cf1-8363-e0550f008ced"
[-//- \InprocServer32]
@="C:\\ProgramData\\[имя dll]\\[имя dll].dll"
"ThreadingModel"="Both"

 

* Добавляет в планировщик задачу на выполнение при входе пользователя

<Exec>
 <Command>rundll32.exe</Command>
 <Arguments>-sta {235D1375-D093-4CA5-AF41-780D5D29D9A9}</Arguments>
</Exec>

 

* При старте системы - висит в памяти, детектится как "MEM:Trojan.Win32.SEPEH.gen"


На данный момент - 


Сайт заблокирован, 
Вышеуказанные IP блокируются Касперским, 
Угроза в памяти - обезврежевается, но не все длл детектируются, как и записи в реестре, и задача на запуск. 

 

Поддержка обещала доработать. Но в целом - побеждён.

Ссылка на комментарий
Поделиться на другие сайты

PS.

Спасибо Sandor за скрипты - то же прогнал после удаления.

Спасибо AlexeyK с forum.kaspersky.com за ощутимое участие и помощь в понимании работы.

Спасибо техподдержке, на удивление быстра и адекватна. И пнули в нужную сторону (планировщика).

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
      Письмо, имитирующее рассылку корпоративных гайдлайнов
      В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
      Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
      Письмо, имитирующее рассылку корпоративных гайдлайнов.
       
      View the full article
    • umdraak
      От umdraak
      Доброго времени суток!
       
      Ситуация следующая. На смартфон пришла смс-ка такого содержания: 
       
      "Здравствуйте! Вы подключили сервис <<Гороскоп дня>>. Стоимость 15 руб./день. Отключить подписку: [далее следует ccылка, готов предоставить].."

      Подозревая фишинг, хотел пробить ссылку в интернете на спецсайтах, но сослепу не заметил, что скопировал её в адресное окно браузера и случайно перешёл на сайт по указанной ссылке. Визуально произошла имитация процедуры отписки от некой мифической подписки и всё. Сам сайт - явно на коленке созданная имитация сервиса гороскопов.

      В ужасе пробил-таки ссылку на VirusTotal - сам сайт сильно засветиться не успел (создан 15 дней назад), но он входит в созвездие других сайтов, многие из которых уже обозначены в некоторых базах данных в качестве угроз безопасности.

      Все манипуляции со ссылкой происходили на смартфоне (Samsung, Android). На телефоне установлена бесплатная версия антивируса Kaspersky - прогнал проверку устройства, ничего не найдено.

      Просьба помочь в установлении природы той уязвимости, в которую я вляпался, и подсказать шаги по исправлению ситуации.
       
      (Если сюда можно сбрасывать ссылки на вредоносные сайты, то сброшу. Если нет, подскажите куда направить.)
       
      Заранее огромное спасибо! 
       
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • KL FC Bot
      От KL FC Bot
      Фишеры постоянно придумывают новые уловки и постоянно находят какие-нибудь новые сервисы, от имени которых они могут присылать фишинговые ссылки. В этот раз мы поговорим о фишинговых письмах, которые приходят от имени Docusign — самого популярного в мире сервиса для электронного подписания документов.
      Как устроены фишинговые атаки с письмами якобы от Docusign
      Атака начинается с электронного письма, обычно оформленного в стилистике Docusign. В случае данной схемы фишеры особенно не утруждают себя подделкой или маскировкой адреса, с которого отправлено письмо, поскольку в настоящих письмах от Docusign адрес отправителя может быть любым — сервис предусматривает такую кастомизацию.
      В большинстве случаев жертве сообщают о том, что требуется поставить электронную подпись на некий документ, чаще всего финансовый, точное назначение которого не вполне понятно из текста письма.
      Один из примеров фишингового письма от имени Docusign: в данном случае ссылка на фишинговую страницу находится прямо в теле письма
       
      View the full article
×
×
  • Создать...