Jump to content
Sign in to follow this  
Stepan_wot

"Боевой" кроссплатформенный вирус с "отличной" вирулентностью.

Recommended Posts

Здравствуйте,

 

месяц назад я подцепил вирус, пробивающий песочницы sandboxie и wmware, антивирусы (AVG, BitDefender, ZoneAlarm ), и фаерволы (Windows Firewall and ZA); передающийся при попытке отформатировать usb под Линукс или подключении зараженной клавиатуры к Windows. Замена компьютера и роутера не помогла. Повторное заражение произошло при попытке зараженную юсб флешку, с помощью Gparted под Линукс.

Предшествующие события. В Мире Танков 60М зарегистрированных пользователей, в их числе и наши "американские союзники по борьбе с терроризмом". Большинство играет с модами. Централизованно добавить в моды "недокументированные возможности" - идея напрашивающаяся. Моды танков "звонят" создателям. См, например, исходники wot-battle-assistant на github. Какие именно данные они передают - "всего лишь" банковские данные или гостайны - неизвестно. Качественная обфускация модов подтверждает подозрения, т.к. обфускация нужна лишь при создании вирусов и коммерческих продуктов. pjorion является стандартной программой для создания модов, основное внимание в которой уделяется опять же обфускации кода. Я хотел создать пустой скрипт и посмотреть, что pjorion добавит при компиляции. Поэтому я загрузил мир танков с модами Wotspeak через pjorion в windows7 на виртуальной машине vmware установленной на windows7 host. Доступ к рекламным сайтам заблокирован по методу unckecky на Windows Host в файле c:\Windows\system32\drivers\etc\hosts. При этом возникли файлы imhosts.hot и lmhosts.sam (именно i и именно .hot), not L в названии первого файла). Похоже, pjorion активно использует lmhosts и что-то сломалось об

# unchecky begins :-)
0.0.0.0     0.0.0.0
..... 
(список рекламнпых сайтов, которые нужно перенаправлять на localhost)

.....# unchecky ends

Потому что в файле hosts появился список козабликов, похожих на те, которые появляются если открыть .pyc в HeX. В файле imhosts.hot, открытом с помощью Notepad++ (позволяет открывать файл, используемый другим процессом) появился текст исходников мода (.py). Это при том, что сам мод был загружен в виде .pyc файла. imhosts.hot в папку etc по идее быть не должно.

Странности начались после восстановления изначального файла hosts и перезаргузки Host Windows . На столе сначала появились .reg файлы, которые после перезагрузки превратились в .dat, затем в ms-{some-long-string} и затем в папку names-of-allax c ~20 .js скриптами и файлом to_enployees.txt. Я сохранил эту папку на флешку и несколько HDD, но все они исчезли и такие инструменты как ntfsundelete ничего не находят на зараженных дисках. Вообще достать что либо с зараженных дисков не представляется возможным. Очень жалею о том, что не прочитал тот файл, ведь там речь наверняка шла о технике безопасности и методах обезвреживания. По крайней мере я узнал бы язык и национальную принадлежность авторов. Center (американский английский), centre (британский английский) или #poisk dokumentov (похоже на отечественную разработку).

Компьютер еще раз самостоятельно перезагрузился, а после этого умерли три компьютера подключенные к роутеру. На них всех стояла Windows 7 c разными антивирусами (AVG, BitDefender, ZoneAlarm ), и фаерволы (Windows Firewall and ZA), но это ничем не помогло. Я попытался решить проблему переустановкой винды из образа (diskimage), переустановкой винды с диска, применением утилит из hiren boot cd. Былинный отказ. В частности, MiniXP грузится в BSOD, сообщая, "Computer not ACPI compliant". MiniLinux не грузится.

Похоже, что при подключении инфицированного юсб все другие sata and usb заражаются. Когда я говорю "все" я подразумеваю клавиатуру, CD-ROM, usb-to-sata адаптер и прочие устройства.

Вирь активно качает драйвера из интернета и на начальной стадии создает broadcom suite (стадия "master я или slave?") в котором хранит драйвера для всех зараженных устройств. Они отображается как подключенные, но недоступные флешки (флешки-призраки). Этот broadcom suite слушает случайный порт в диапозоне 10000-50000 от какого-то левого айпишника (не запомнил, т.к. все флешки были заражены, записать на лист бумаги не догадался, а чтобы сохранить в облаке нужно выходить в сеть, чего я делать не хотел. Компьютер ждет какое-то время, перезагружается и если до этого момента не получает лицензии, то становится ботом. В состоянии бота он тормозит, не дает поставить антивирь и отключает доступ к disk manager. Фильтрует результаты гугла. Вероятно еще много чего делает. Загрузка происходит в два этапа. Компьютер загружает биос, перегружается, повторно загружает биос и затем операционную систему. Очень напоминает описание возможностей ZeuS, но вирус с которым я столкнулся намного более вирулентный.

Я скачал и установил линукс (Fedora на один винт и Ubuntu на другой винт sata-to-usb) на чистые SSD на чистом компьютере. Обновил биос (чистая флешка, чистая клавиатура). Загрузился в Федору (подключен по сата). Подключил зараженную флешку и запустил gparted. Разумеется ввел root password, иначе ведь не запустится. Выбрал /dev/sdb/ и wipe disk. Gparted ругнулся: "Линукс считает, что размер кластеров 512, а устройство считает, что 2048. Ignore? Cancel?". Cancel действия не взымело. После Ignore мой cpu fan взревел а после нескольких секунд выдал ошибку (do you want to send developers the error report) и начал тормозить. Я вытащил флешку и перезагрузился. Перезагрузка шла очень долго (несколько минут). После загрузки выяснилось, что gparted был удален, а sudo netstat выдал длинный список слушающих портов от unknown процессов. При попытке установить из репозитория выяснилось, что мой root password перестал работать. Я заменил диск с Fedora на диск с Ubuntu, загрузился и подключил диск с Fedora. На диске с Федора присутствовала Fat32 partition ~1Gb размером, которой там, по идее, быть не должно. Кроме того, там были ожидаемые разделы ext4 и swap.

Заражение всегда сопровождается активной работой вентилятора. Например, если вытащить батарейку из биоса на час, вернуть на место, а потом загрузиться, то вентилятор работает тихо. Появляется "клавиатура не обнаружена, нажмите F1". Подключаешь юсб клавиатуру - вентилятор переходит на максимальные обороты, стихает, компьютер перегружается. Аналогично, на полностью новом компьютере с linux live cd выбираешь "загрузка только с CDROM", пароли админа (16 символов) и пользователя (10 символов, не может вносить изменения в биос) выключаешь, присоединяешь зараженный HDD к сата и грузишься. В момент доступа к дискам происходит какая-то возня (взвывает вентилятор и HDD издает какой-то странный звук, похожий на работу перегруженного электромотора), через несколько секунд все стихает, а биос выдает "CDROM не обнаружен". Перезагружаешься и биос (о чудо) опять видит CDROM. Только вот работает он очень странно. При попытке запустить live DVD (Ubuntu, Hiren, Kaspersky rescue; отожженный и finalized на DVD-R) возникают проблемы. Вместо нормального чтения на больших оборотах DVD-ROM начинает "жевать" диск. Создается впечатление, что он пытается перезаписать диск, несмотря на финализацию и (по идее) невозможность перезаписи. Попытка загрузить Hiren MiniXP заканчивается BSOD, MiniLinux не грузится. Убунту ставится, только результат не вызывает доверия. В частности, из-за уймы открытых портов в netstat.

Вирус является "четырехтактовым". Похоже, используются состояния (грубо говоря "\" %code% , \"" %code% , \"\" %code% и ""%code% ). Я не являюсь специалистом, хотя иногда пользуюсь Перлом и Питоном, так что возможно это давно известный трюк, либо наоборот я заблуждаюсь и вирус использует другие методы. Различие в размере кластеров (по сообщению Gparted) указывает на buffer overflow, но этот прием, по идее, является стандартным.

Итак, поражает вирулентность и кроссплатформенность этого ... продукта. Сетка на работе тоже, похоже, заражена. Вирь находится в ожидании сигнала, поэтому пока не вредит. Компьютерщики исповедуют отношение "пока работает и Symantec не видит вирусов мы и пальцем не пошевелим" Они не видят вирус на откровенно инфецированной флешке, но их это не смущает. Не знаю точно, как этот вирь вычисляет мои компы и почему он такой злостный. Возможно по тому что я захожу на почтовые ящики, а они находятся в черном списке. iPhone после "удалить все данные и сбросить все настройки" по началу работает нормально, но при приблежении к домашней сетке идет мелкой рябью в течение минуты. Есть ли это попытка заразить (и если да, то кто кого заражает?) или что то еще?

 

Запись "Thanks to KAV and to Avira for new quests, i like it!" (в ZeuS, как сообщает Википедия) вселяет веру в Касперского. Сейчас буду пробовать Kaspersky rescue disk. Подскажите, пожалуйста, что в этой ситуации можно сделать. Какие шаги предпринять, чтобы быть точно уверенным, что сам Kaspersky rescue disk чистый? Как узнать, заражен ли CDROM, клавиатура, биос?

 

Спасибо заранее,

Степан

 

 

 

 

Share this post


Link to post

Добрый день, Stepan_wot

 

Для начала укажите какая у Вас материнская плата?

На начальном этапе загрузки используется BIOS или UEFI ? ( Если вам тяжело это определить самостоятельно сделайте фотографию экрана настроек BIOS или UEFI, которое появиться если при запуске компа нажать DEL или ESC или F2 )

Очень бы помогло если бы Вы прислали файл зловреда, или указали бы ссылку откуда его можно скачать

 

Share this post


Link to post

Суть:

(1) Как UEFI так и legacy bios заражаются. В конце концов материнская плата перестает работать

(2) Зловреда у меня нет. Есть только зараженные диски. Когда все началось я пытался сохранить папку "to employees", но диски, на которые я ее сохранил стали берсерками (убивают материнскую плату если подключить их мастером и молчат как партизаны, если подключить их рабом)

 

Пояснения.

Зловред ловится при декомпиляции собственного .pyc файла сгенерированного программой pjorion. Эта программа, согласно описанию, предназначена для "создания модов для мира танков и 'защите авторских прав' авторов модов.

Скачивается отсюда. http://www.koreanrandom.com/forum/topic/15...BE%D0%B1%D1%84/ . Вполне легитимная программа, но я не ожидал, что они так защитят мои авторские права от меня же.

 

Погибли 6 моих + 3 рабочих компьютера. Материнские платы у всех разные. Сейчас я пытаюсь вернуть контроль над alienware 15 и десктопом с ga z-170 x. Я пользовался как UEFI так и legacy boot.

Сегодня установил Убунту 15.04. Аккуратно загрузился с чистого SSD, поставил его в качестве единственной опции, подключил зараженный диск в качестве slave. После загрузки запустил Gparted. Контроль над компьютером вроде бы у меня, но Gparted в упор не видит зараженный диск (та же история при подключении другого зараженного диска). Хотя один из них совершенно точно крутится, судя по гироскопическому эффекту. Другой диск - SSD, так что сказать трудно, но, похоже, они избрали тактику "не могу заразить - значит не читаюсь".

 

Free USB Protocol Analyzer (я подключаю зараженные диски через sata-to-usb) сообщает о минимальном трафике между компьютером и зараженным диском, причем я не могу усмотреть ничего полезного в этом байткоде.

Знал бы прикуп - был бы в Сочи...

Те диски на которые папочка "for employees" не попала на здоровой системе появляются как "unknown file sustem" (not "encrypted luk" как при стандартном шифровании в Линуксе). А те три диска на которые я папочку сохранил вообще никак не отзываются, если их подключить в качестве slave. Подключать их мастером я как-то не решаюсь.

 

На мой взгляд, проще всего решить проблему через переговоры с авторами pjorion, так как это их зверюшка убежала. Но если есть другие варианты я готов испытать указанные вами средства.

 

Kaspersky rescue disk не увидел зловредов (равно как и вообще файлов) на менее зараженных дисках. Ни один из дисков с папкой "для сотрудников" я пока что не сканировал. Завтра попробую. Касперский не распознает мой ethernet, но это не проблема, так как я отжигаю свежий образ, а плюс минус день здесь ничего не меняют.

 

Спасибо за быстрый ответ. Больше всего меня в данной ситуации интересует следующий вопрос: как с максимально возможной надежностью передать контроль Касперскому. Чтобы не исключить вопросы вроде "а что если загрузка прошла с клавиатуры (см видео, где один специалист перепрошил клавиатуру, чтобы играть на ней в змейку) и загрузился вовсе не Касперский"?

 

Готов провести необходимую диагностику и выложить логи

Edited by Stepan_wot

Share this post


Link to post

Я попытаюсь воспроизвести добычу завтра, но ничего не обещаю.

Share this post


Link to post
Я попытаюсь воспроизвести добычу завтра, но ничего не обещаю.

 

Я нашел одну копию архива с подозрительными файлами. Получена следующим образом:

 

Под Windows

(1) На зараженном компьютере с помощью ProcessExplorer выбраны подозрительные процессы

(2) Выполняемые файлы открыты в Notepad++ и скопированны с помощью "сохранить копию" в папку на флешке

(3) Папка сжата в v2.zip под паролем virvir. Результат я переслал по почте себе же в качестве приложения

 

Содержимое папки изменилось после пересылки и превратилось в файл osmin.zip

 

Под Ubuntu Linux

Я скачал osmin.zip, проверил работу пароля (virvir), написал сопроводительное письмо и сохранил в двух копиях buffer and zbuffer. Screenshot.png файла был добавлен на всякий случай. Эти четыре файла (buffer, osmin.zip, screenshot.png, zbuffer) были упакованы в защищенный паролем архив и прикреплены к данному сообщению.

 

"Внутренний архив" создавался в несколько попыток, при этом использовались и другие пароли, а именно:

 

"vir", "virvir", "virvirvir", "virvirvirvir", "virvirvirvirvir", "virus", "virusvirus","virusvirusvirus" . Можете попробовать их при распаковке.

 

Не исключено, что osmin.zip - это часть легитимного антивируса (Microsoft essentials или Microsoft defender - не помню что там стояло). Но характерные для Микрософт "проверенные временем" методы вроде ROT13 в реестре не вяжутся с поведением этого полиморфа.

 

В osmin.zip могут находиться собранные зловредом данные или он сам. Поэтому я защитил архив паролем.

 

Кому мне следует сообщить "внешний пароль" от архива?

pwd_of_inner_osminzip__is_virvir.zip

Edited by Stepan_wot

Share this post


Link to post

Я думаю что самым правильным в вашей ситуации обратиться в специальный раздел этого форума предназначеный для борьбы с вирусами.

 

Я так понимаю проблем при установке на зараженную машину нашего антивируса не возникает?

Share this post


Link to post

Да, я отжег спасательный диск и просканировал систему без каких-либо ошибок. Беспокоит то, что антивирус не смог присоединиться к интернету (хотя живой диск Хубунту и Федора интернет видят) и не нашел ни одного вируса. На EICAR, правда, реагирует.

Создал тему в соответствующем разделе. Оставил ссылку на данную тему, чтобы не повторяться.

 

 

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.