Backdoor Win32/Caphaw.I

safety · 02.11.2013, 22:48

погонял invoice**********.pdf.exe на виртуалке, который в последнее время атакует в Skype пользователей через сообщения от зараженных контактеров... установщика бэкдора Win32/Caphaw.I.

результаты такие:

в нормальном режиме uVS и AVZ не увидели в образе файлик в автозапуске.
но
uVS увидел при включенном антисплайсинге, что

Цитата:

(!) Обнаружен сплайсинг: NtQueryDirectoryFile

без сплайсинга в логи попало лишь сообщение о доп. потоках, внедренных в uVS

Цитата:

Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам

AVZ не увидел так же ничего в автозапуске
но
есть в логах сообщение о перехвате функций API

Цитата:

Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.PushAndRet

порадовал ESETSysinspector, который в нормальном режиме показал и файл трояна, и ключ в автозапуске

Цитата:

"MnX8Dv2tSsBvjshflKUim4AByqc=" = "C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe" ( 9: Risky ) ; AX_LOCKFEJaz ; ;
"SHA1" = "D9918C592E5B84A00D204D1E85DBFAE27340DC3A" ( 9: Risky ) ;
"Last Write Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"Creation Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"File Size" = "393216" ( 9: Risky ) ;
"File Description" = "AX_LOCKFEJaz" ( 9: Risky ) ;
"Company Name" = "" ( 9: Risky ) ;
"File Version" = "21, 7, 2, 1" ( 9: Risky ) ;
"Product Name" = "" ( 9: Risky ) ;
"Internal Name" = "1a9e-35z" ( 9: Risky ) ;
"Linked to" = "Important Registry Entries -> Standard Autostart -> HKU\S-1-5-21-1645522239-854245398-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe"

в безопасном режиме файл был обнаружен в uVS

Цитата:

Полное имя C:\DOCUMENTS AND SETTINGS\user\APPLICATION DATA\MICROSOFT\CRYPTNETURLCACHE\WINFXDOCOBJ.EXE
Имя файла WINFXDOCOBJ.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2013-11-01 [2013-10-29 08:13:49 UTC ( 4 days, 8 hours ago )]
Symantec Trojan.Shylock
Avast Win32:Trojan-gen
Kaspersky Trojan.Win32.Agent.acolm
BitDefender Trojan.GenericKDV.1367635
DrWeb BackDoor.Caphaw.2
AntiVir TR/CeeInject.A.38
Microsoft Backdoor:Win32/Caphaw.A
ESET-NOD32 Win32.Caphaw.I

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 6284BF8A61000
Linker 6.0
Размер 393216 байт
Создан 08.03.2009 в 04:34:48
Изменен 08.03.2009 в 04:34:48
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Оригинальное имя upackfize
Описание AX_LOCKFEJaz
Copyright Copyright 12.13

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 D9918C592E5B84A00D204D1E85DBFAE27340DC3A
MD5 E6D741E42B80443FD8150EF5B5A525BD

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run \MnX8Dv2tSsBvjshflKUim4AByqc=
MnX8Dv2tSsBvjshflKUim4AByqc=C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe

и в AVZ

Цитата:

C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, MnX8Dv2tSsBvjshflKUim4AByqc=

(с), chklst.ru

Николай_С · 03.11.2013, 00:18

Так ведь вирусы тоже умные пошли - умеют маскироваться от антивирусов. Есть еще и такие, которые в SafeMode не обнаруживаются. Приходится их вынимать с диска, подключив его к чистому компу.

safety · 03.11.2013, 04:59

это если уже добавлены сигнатуры в базы для этого файлика, а с учетом того, что установщики по нескольку раз в день перевыпускаются, то просто сканирование зараженной системы с чистого компьютера может не дать результат. в uVS реализован метод поиска скрытых объектов по файлу сверки. Т.е. из активной (зараженной) системы создается файл сверки, затем с чистой системы выполняется поиск отклонений по файлу сверки, с учетом того, что в пассивной зараженной системе нет уже маскировки.

02.11.2013, 22:48
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Возможно, данная тема уже решена ранее Win32/Patched.IB Не является приложением Win32 вирус Win32/Scano WIN32 servis Вирус win32.agent.pz

03.11.2013, 00:18	#2 (permalink)
Николай_С Радиоинженер Регистрация: 25.09.2012 Адрес: г.Дзержинск Нижегородской обл. Сообщений: 25,308 Записей в дневнике: 7 Сказал(а) спасибо: 292 Поблагодарили 219 раз(а) в 70 сообщениях Репутация: 110185	Так ведь вирусы тоже умные пошли - умеют маскироваться от антивирусов. Есть еще и такие, которые в SafeMode не обнаруживаются. Приходится их вынимать с диска, подключив его к чистому компу.

03.11.2013, 04:59	#3 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	это если уже добавлены сигнатуры в базы для этого файлика, а с учетом того, что установщики по нескольку раз в день перевыпускаются, то просто сканирование зараженной системы с чистого компьютера может не дать результат. в uVS реализован метод поиска скрытых объектов по файлу сверки. Т.е. из активной (зараженной) системы создается файл сверки, затем с чистой системы выполняется поиск отклонений по файлу сверки, с учетом того, что в пассивной зараженной системе нет уже маскировки.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070