Перейти к содержанию

Trojan:Win32/Wacatac.D!ml


Вячеслав Александрович

Рекомендуемые сообщения

Вячеслав Александрович

Доброй ночи, сутки уже бьюсь с этим умным вирусом дистанционно по rdp )

вирус

 - блокирует установку любых антивирусов

 - скрывает любые файлы и ставит защиту с если в именах есть различные слова типа antivirus, avg, kaspersky, avast и т.д. набор большой перепробовал уже больше 10ка утилит и антивирусов, переименовав установщик что то получается запустить но программы начинают устанавливаться в свои типичные папки, например касперский вылетает, потому что не может, что то поставить в свою папку в с:\ProgramData   и т.д.

вирус автостартует, из скрытой и заблокированной папки C:\Windows\SysWOW64\Radiance, на которую указывал один из подозрительных процессов, доступ к папке удалось получить только через r.saver !!! методом посекторного сканирования с востановлением структуры папок, в итоге там запускной троян wizard.exe который запускает пакетный файл на сканирование узлов в интернете на доступ по rdp на порт 3389 (кстати обилие-тысячи таких запросов в минуту в фаерволе и забивание канала и стала причиной расследования) 

-так же было обнаружено 2 задачи в планировщике замаскированные под googleupdate, но ссылались на эту папку C:\Windows\SysWOW64\Radiance, их пока удалось почистить, но  продолжаю искать способ удаления вируса дистанционно и где откуда он стартует, 

в папке C:\Windows\SysWOW64\Radiance еще 2 папки Alpha и Omega 

в Alpha промежуточные служебные файлы которые запускает wizard.exe по цепочке -> csrss.exe -> service.exe ->conhost.exe 

так же в альфу складываются логи работы по опросу и берется список IP сетей из текстовых файлов

в папке Omega так же лежит пара копий service.exe и судя по всему утилита шифрования gpg.exe с ключами шифрования в папке keyring

 

ссылку на логи FarBar и подробные картинки выложил в архиве вот на обачном диске и прикрепил к сообщению

https://mega.nz/file/c650BQqQ#e3i5tVExz_TT72LPxbdEmL2qtjw21JETe5s4rJRtJFo

 

если нужно могу выслать все файлы самого вируса, через r.saver удалось сделать копии ))

 

Проще было бы уже винду переустановить, или снять хард и грохнуть всю эту заразу с другого пк, но любопытство победить дистанционно одолевает )), поможете в борьбе? :)

 

p.s. на текущий момент после убийства всех процессов  wizard.exe -> csrss.exe -> service.exe ->conhost.exe   и удаления задач в планировщике, вирус не рестартует, но он запустится после перезагрузки ОС, уверен на 100%

 


 

вирус1.zip

Изменено пользователем Вячеслав Александрович
Ссылка на сообщение
Поделиться на другие сайты
Вячеслав Александрович

Вирус очень хитрый, я много десятков разных повидал в боевых условиях, но этот прям вызывает восхищение :)))
ок по пунктам:

1) как уже писал выше при скачивании/копировании файлов на зараженный пк любого из антивирусов с типичным названием файла
Kaspersky Virus Removal Tool 2015;

avg,avast,avira,panda,comodo,norton  и т.д (проверено уже больше десятка).....

мы получаем  сообщение

image.png.7c523d76c4320d734e3d9941bb39e9d5.png

 

Отдельное уважение утилите cureit - это единственный продукт, который при загрузке генерирует рандомное имя!

Остальные утилиты пришлось ручками на другом компе переименовывать и закачивать по RDP

Но увы вирус всё равно умнее т.к. знает о этих всех продуктах! :)

 

В частности Утилита Касперского  KVRT при запуске вылетает с сообщением

image.png.e49e347e0eb8e1f29682749e807cdf9a.png

 

А cureit хоть и стартует, но имеем неактивную кнопку, потому что вирус видимо убивает распакованный файл с информацией о лицензии, которая там должна быть.

image.thumb.png.be2bf833e32ee89307ae15e4d57414a9.png

 

Всё запускалось с правами администратора!

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
Вячеслав Александрович

И да кстати, не упомянул ночью, что это связка вирусов и хак тулов, в первом посте я писал уже про папки альфа и омегу так вот виндовс дефендер(на другом пк )выдали вот такие спецификации вирусов
image.thumb.png.f77183af411b0f76cfb10fd8779ffd3f.pngimage.thumb.png.b121c850b8939850b9673c2f5aaa81df.pngimage.thumb.png.866525da00a82f27a2cdf2ef5b35c525.png

Ссылка на сообщение
Поделиться на другие сайты
Вячеслав Александрович
3 минуты назад, Sandor сказал:

@Вячеслав Александрович, если в следующем сообщении не будет логов по правилам, тему закроем.

Да подождите сейчас отправлю

Ссылка на сообщение
Поделиться на другие сайты
Вячеслав Александрович

В общем, что и следовало ожидать, вирус знает и про AutoLogger, пришлось так же переименовывать запускной файл из архива, но после запуска и нажатия ОК 

image.thumb.png.21715778cd8b500aafc075392b9e339d.png

 

выдал
image.thumb.png.a18e4db32ef2b33a082f2ab414f8c4b1.png

 

Изменено пользователем Вячеслав Александрович
Ссылка на сообщение
Поделиться на другие сайты
Вячеслав Александрович

Есть прогресс, с этой версией дошел до 3% )), но думаю вирус видит подпапку AVZ и блокирует

 image.thumb.png.a04630a9aea0a24bbb193fe892b939bf.png 

 

провел тест, создал текстовый файл на раб. столе и попытался переименовать, нажимаем ок и файл пропадает из поля видимости :)

image.thumb.png.5cae20aa3887d5ef8058afcfb4215d04.png

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, пойдем другим путем:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.


Подробнее читайте в руководстве Как подготовить лог UVS.
  Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Timophey
      От Timophey
      Здравствуйте, заметил в исключениях Защитника Windows много непонятных исключений. Потом я решил погуглить и наткнулся на пост человека с такой же проблемой. Вы решили его проблему через программу FRST64. Я решил попробовать тоже и скачал. После скачивания я запустил программу и нажал сканирование, а что дальше делать, как написано в инструкции, я не понимаю. Помогите пожалуйста разобраться.
      Сразу прикладываю архив с текстовыми документами
      FRST.rar
    • Vladik212
      От Vladik212
      Здравствуйте. 
      Какой раз пытаюсь решить проблему с данным трояном. 
      Сейчас через FRST сделал сканирование (Прикрепляю логи)
      Помогите пожалуйста решить проблему, буду очень признателен.
      FRST.rar
      Хочу добавить что он висит в разрешенных угрозах и не убирается оттуда.
    • dmitrydmitry
      От dmitrydmitry
      Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.
      В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник.
      Анивируса стороннего у меня не стояло. 
      Подскажите пожалуйста как или чем можно убрать данный троян.
      Сделал логи (приклепляю)
      CollectionLog-2021.11.22-20.22.zip
    • Демосс
      От Демосс
      открыл торрент файл для far cry 4, установщика не было, зато с вирусами)))
      поместить в карантин или удалить через microsoft не могу, autologger заблокирован, нет прав доступа
      на компьютере установлен frst, adwcleaner и hijackthis
    • Egor1ch
      От Egor1ch
      появился Trojan:Win32/Wacatac.D!ml в исключениях WD при попытке его удалить после перезагрузки пк всеравно в исключениях
      FRST.zip

×
×
  • Создать...