Backdoor Win32/Caphaw.I
погонял invoice**********.pdf.exe на виртуалке, который в последнее время атакует в Skype пользователей через сообщения от зараженных контактеров... установщика бэкдора Win32/Caphaw.I.
результаты такие:
в нормальном режиме uVS и AVZ не увидели в образе файлик в автозапуске.
но
uVS увидел при включенном антисплайсинге, что
Цитата:
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
|
без сплайсинга в логи попало лишь сообщение о доп. потоках, внедренных в uVS
Цитата:
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
|
AVZ не увидел так же ничего в автозапуске
но
есть в логах сообщение о перехвате функций API
Цитата:
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.PushAndRet
|
порадовал ESETSysinspector, который в нормальном режиме показал и файл трояна, и ключ в автозапуске
Цитата:
"MnX8Dv2tSsBvjshflKUim4AByqc=" = "C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe" ( 9: Risky ) ; AX_LOCKFEJaz ; ;
"SHA1" = "D9918C592E5B84A00D204D1E85DBFAE27340DC3A" ( 9: Risky ) ;
"Last Write Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"Creation Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"File Size" = "393216" ( 9: Risky ) ;
"File Description" = "AX_LOCKFEJaz" ( 9: Risky ) ;
"Company Name" = "" ( 9: Risky ) ;
"File Version" = "21, 7, 2, 1" ( 9: Risky ) ;
"Product Name" = "" ( 9: Risky ) ;
"Internal Name" = "1a9e-35z" ( 9: Risky ) ;
"Linked to" = "Important Registry Entries -> Standard Autostart -> HKU\S-1-5-21-1645522239-854245398-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe"
|
в безопасном режиме файл был обнаружен в uVS
Цитата:
Полное имя C:\DOCUMENTS AND SETTINGS\user\APPLICATION DATA\MICROSOFT\CRYPTNETURLCACHE\WINFXDOCOBJ.EXE
Имя файла WINFXDOCOBJ.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
www.virustotal.com 2013-11-01 [2013-10-29 08:13:49 UTC ( 4 days, 8 hours ago )]
Symantec Trojan.Shylock
Avast Win32:Trojan-gen
Kaspersky Trojan.Win32.Agent.acolm
BitDefender Trojan.GenericKDV.1367635
DrWeb BackDoor.Caphaw.2
AntiVir TR/CeeInject.A.38
Microsoft Backdoor:Win32/Caphaw.A
ESET-NOD32 Win32.Caphaw.I
Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 6284BF8A61000
Linker 6.0
Размер 393216 байт
Создан 08.03.2009 в 04:34:48
Изменен 08.03.2009 в 04:34:48
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась
Оригинальное имя upackfize
Описание AX_LOCKFEJaz
Copyright Copyright 12.13
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Доп. информация на момент обновления списка
SHA1 D9918C592E5B84A00D204D1E85DBFAE27340DC3A
MD5 E6D741E42B80443FD8150EF5B5A525BD
Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run \MnX8Dv2tSsBvjshflKUim4AByqc=
MnX8Dv2tSsBvjshflKUim4AByqc=C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe
|
и в AVZ
Цитата:
C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, MnX8Dv2tSsBvjshflKUim4AByqc=
|
(с), chklst.ru |
