Вирус пишет в параметр реестра "AppInit_DLLs" / Некий "маячок"

Мусор с браузере встретил на компе с CAV 5.5. Но также на какой-то из версий CIS в ноябре видел.
Сталкивались?

http://s012.radikal.ru/i321/1112/74/d22ba741e364.jpg

http://i023.radikal.ru/1112/4e/24f0cb30d87b.jpg

http://s017.radikal.ru/i407/1112/ec/0d44038bd8c6.png

http://s016.radikal.ru/i334/1112/e3/a277d2a642db.jpg

http://i047.radikal.ru/1112/af/f9f12a179ab5.png

http://s008.radikal.ru/i305/1112/20/7f7a24914594.png

Сталкивались. А в чём, собственно, вопрос?

Вопрос в том, сам ли пользователь запустил какой-то вредоносный файл несмотря на предупреждение антивируса (если оно вообще было) или запись в ветку реестра произошла мимо внимания CAV’а?

Смоделировал. Зависит от настроек Comodo и реакции пользователя. Попозже отпишусь поподробнее, но, в общем, результат для HIPS Comodo неутешительный…

Чем там модулирование закончилось?..

Завтра на работе, где комодо установлен, запущу дроппер и отпишусь, со скриншотами.

Докладываю по итогам лабораторной работы.
Имеем: Windows Vista Pro 32 bit, UAC по умолчанию. CIS 5.9.221665.2197, конфигурация Proactive Security с небольшими изменениями, “безопасный режим”, “Обрабатывать неопознанные файлы как ограниченные”, SandBox отключен.
Запускаем дроппер “Маячка”, ответив утвердительно на запрос UAC, получаем перезагрузку без вопросов и заражённую систему. Несмотря даже на то, что параметр реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows - в защищённых.
Теперь включаем песочницу. Для зловреда теперь не всё так радужно. Сперва его Comodo его виртуализирует. Затем эвристика проактивной защиты выдаёт предупреждение о потенциально вредоносном поведении Ждём “разрешить”. Получаем сообщение об ошибке системы: “Недостаточно квот для обработки команды”. Всё. Кроме нескольких файлов с расширением .tmp в папке Windows\system32 никаких следов от попытки заражения. Простите, что без скриншотов, загружать через сторонний хостинг было лень.
Несколько пояснений по работе дроппера. При запуске он копирует себя во временную папку с именем flash_player_update.exe, запускается оттуда, далее, по всей вероятности (не отслеживал с помощью FileMon или отладчика) пишет файл с расширением .tmp с содержимым будущей .dll, копирует этот временный файл в .dll, имя которой формируется индивилуально для каждой заражаемой системы (подробности тут w4kfu's bl0g), прописывает эту dll в AppInit_DLLs и ребутит систему. Иногда временный файл остаётся нулевой длины, иногда совпадает с вирусной dll. Копия дроппера с именем flash_player_update.exe то остаётся во временной папке, то, видимо, подтирается зловредом - эти два момента, похоже, зависят от версии дроппера.
И немного самопиара :wink: На основе этого маленького исследования был написан скрипт (во вложении) для AVZ для борьбы с этим зловредом, который работает на 32- и 64-битных системах (на последних не запускается в обычном режиме AVZ, поэтому применять скрипт в безопасном режиме). Скрипт карантинит и удаляет маячок и дроппер из временной папки (если он там был) и зачищает реестр от него.

[attachment deleted by admin]

Vvvyg, это известная неприятность. Разрабы в курсе и egemen обещал “принять меры” и вернуть-таки контроль за dll-ками. (Честно говоря, я опасался, что ближе к шестёрке придётся скандалить на эту тему, но жизнь, как говорится, заставила сама :slight_smile: ) Пока не совсем ясно, появится ли это в 5.10, но скорее всего, в шестёрке, будем надеяться. Естественно, параноидальный режим с немного изменёнными настройками спасает ситуацию, т.е. опять, не столько проблема ХИПСа, как такового, как проблема умолчальных настроек.

ntoskrnl, можете скинуть ссылку, где это обсуждалось в английской ветке?

Могу, вот она, правда я сейчас перечитал пост Vvvyg, тут немного другая ситуация (там дроппер приезжал вместе с доверенным флэш-апдейтером и подсовывал ему свою dll-ку, которая бросала заразный файл в System32) Здесь другой механизм и как именно дроппер умудрился прописать AppInit_DLLs не понятно. К тому же маячок лезет в бутсектор раздела, здесь это никак не отражено… Vvvyg, можете метнуть в меня эту бяку? (Только к посту не прикрепляйте).

Есть две разные ветки маячка - классический, тот, что в AppInit_DLLs, и бутовый, сейчас, кстати, появилась разновидность, блокирующая восстановление VBR из заражённой системы: http://www.anti-malware.ru/forum/index.php?showtopic=21365.
Ссылка на хранилище дропперов - в личке.

Я знаю, что их два, но, поскольку не слежу за ним очень уж пристально, посчитал, что появился какой-нибидь ещё (в дополнение к тому, что обсуждается на AM), поскольку обычными заразить из-под CIS нереально. К тому же невнимательно, каюсь, прочитал Ваш пост и почему-то мне показалось, что там такой же механизм, как у 0access по ссылке выше. Вашу ссылку получил, спасибо, но, как и ожидалось, заразиться не смог. :frowning: :smiley: Дроппер тупо пытался смастерить dll-ку в system32, естественно, получал от CIS по пальцам, а потом (ещё тупее :slight_smile: ) принялся периодически запускать сам себя (свою копию из временного каталога) и канючить, чтобы ему дали админ-права, пока не надоел и не был прибит. Само собой - никакого заражения нет. Может быть, конечно, это другой дроппер, он, судя по вирустоталу (см. аттач), свеженький.

[attachment deleted by admin]

И какие же это настройки, поделитесь пожалуйста.

Кстати, в 5.10 облачные технологии порою даже работают :wink: При попытке запуска очередной вариации дроппера Comodo заблокировал его с вердиктом, что объект вредоносный (хотя в базах его ещё нет) и дал ссылку на анализ поведения: http://cima.security.comodo.com/report/1e2e836e1a8c67151f9cbd6e3d4244f9ed033393.htm
Всё ясно, не надо лишний раз в виртуалке гонять.