Trojan.Win32.Autoit.fd

Discussion in 'Безопасность и Анонимность' started by -=lebed=-, 17 Nov 2008.

  1. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,980
    Likes Received:
    1,960
    Reputations:
    594
    Интересует механизм распространения по локальной сети + что он делает?
     
  2. GlOFF

    GlOFF Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    695
    Likes Received:
    484
    Reputations:
    4
    Также интересно... Нашел у себя в локалке, появляется в Share-папках но не пойму какой комп их туда бросает )
     
  3. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,980
    Likes Received:
    1,960
    Reputations:
    594
    Аналогичная трабла, чем бы запалить запись в шару (Ip компа) , рассылку как я понял делает не постоянно, а раз в сутки. Вчера во всех шарах поубивали, сегодня снова разослал, после удаления из шары уже не шлёт...
    P.S. Используется простой общий доступ к файлам и принтерам, без контроллера домена, AD и т.д.
    пациент на VirusTotal
    UP:
    Начал тестить тварь в виртуалке, первая инфа:

    1. Создаёт ключи реестра для своего автозапуска, в системе виден после запуска как процесс csrcs.exe запускаемый из System32.
    Code:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
    "csrcs"="C:\WINNT\system32\csrcs.exe"
    
    Code:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="Explorer.exe csrcs.exe"
    
    Меняет настройки безопасности и устанавливает настройки плагинов IE
    Code:
    18.11.2008 12:03:27	Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение Hidden, данные 0x00000002 (2)).
    18.11.2008 12:04:04	Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение Hidden, данные 0x00000002 (2)) разрешена.
    18.11.2008 12:04:05	Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): подозрительное действие. Попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)).
    18.11.2008 12:04:08	Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка записи настройки безопасности компьютера (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, значение ShowSuperHidden, данные 0x00000000 (0)) разрешена.
    18.11.2008 12:05:43	Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация).
    18.11.2008 12:05:57	Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена.
    18.11.2008 12:05:57	Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe, обнаружено: потенциально опасное ПО 'Trojan.generic' (модификация).
    18.11.2008 12:05:59	Процесс C:\Documents and Settings\Администратор\Рабочий стол\pvjdqh.exe (PID: 1772): попытка выполнения подозрительных действий разрешена.
    18.11.2008 12:09:47	Процесс C:\WINNT\Explorer.EXE (PID: 1212): подозрительное действие. Попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00).
    18.11.2008 12:10:13	Процесс C:\WINNT\Explorer.EXE (PID: 1212): попытка создания настройки плагинов для браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-2025429265-1606980848-1708537768-500\Software\Microsoft\Internet Explorer\Toolbar\Explorer, значение ITBarLayout, данные 11 00 00 00 4c 00 00 00 00 00 00 00 24 00 00 00 1b 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 a0 0f 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 a0 0f 00 00 04 00 00 00 21 01 00 00 a0 0f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00) разрешена.
    
    Пытается бороться с Антивирусом Касперского:
    2. Далее использует стандартные комманды cmd:
    - сначала пингует что-то (даже при откл. сетевом подключении, скорее всего пытается отстучаться).
    - затем скорее всего пытается определить конфигурацию сети (c помощью ipconfig) - на данном этапе у меня был отключен сетевой адаптер - так что это только предположение из его дальнейших действий:
    - поскольку класс подсети он не смог определить, стал тупо сканить по диапазону 127.0.0.2-127.0.0.255 (используя комманду net view)

    продолжение следует...
     
    #3 -=lebed=-, 18 Nov 2008
    Last edited: 18 Nov 2008
  4. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,980
    Likes Received:
    1,960
    Reputations:
    594
    Такс... вроде нашёл чем определить откуда идёт рассылка, качаем NetBIOS Monitor (http://www.freeware.ru/program_prog_id_12524.html) смотрим подозрительную (частую) активность IP. Идём на тачки и проверям факт заражения (по процессам, ключам реестра).
    У меня три машины обнаружились с интенсивной активностью по NetBIOS...
    P.S. Пошёл их проверять, продолжение следует...
     
    #4 -=lebed=-, 18 Nov 2008
    Last edited: 18 Nov 2008
  5. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,980
    Likes Received:
    1,960
    Reputations:
    594
    Одного прихлопнул, ломился в интернет на следующие сайты:
    Code:
    LEMOX.MYHOME.CX
    ZKARMY.DIP.JP
    TONKOR.OR.TP
    DIESAM.MOE.HM
    
    - правда на шлюзе авторизация, так что безуспешно...
    P.S. Заходить не рекомендую, потому как сайты походу заряжены свежими сплоитами (по крайней мере у Оперы 9.51 сносит крышу).
     
    #5 -=lebed=-, 18 Nov 2008
    Last edited: 18 Nov 2008
  6. GlOFF

    GlOFF Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    695
    Likes Received:
    484
    Reputations:
    4
    Спасибо... Попробую по твоей методики выслить заразу.. :)
     
Loading...