8марта близко близко, расти-расти.., или malware has you
Ищем TRW2000 (отладчик времен win9x)
находим вот это
hadasreshef.com/trw-2000-1-23-64-bit-by-iron-bus-torrent-download
не обращаем внимания, что
/статика/ элементарная логика, если голову включать
1. 64 бит в 2000 было только в мечтах инженеров
2. размер 400мб (на самом деле 200) - бред, оно макс мегов 20 может быть
3. блог художницы?? лол, отладчики в блоге художницы?
+ другие ссылки не работают. т.е. это 1 (единственная) ссылка из несуществующего подраздела "отладчики"
ну, кочаем, попутно смотрим фотки с претензией на арт, и с намеком на эро, в блоге..
/динамика/
пытаемся запустить ЭТО, полуаем ошибку NSIS, первый звоночек, и попытку вызвать CMD.exe; параллельно получаем дублирование ошибки NSIS, и еще раз и еще раз CMD, это уже второй звоночек
льем экзешник (12мб) на Virustotal (30+ из 56), на Reverse.it,
https://www.reverse.it/sample/8f27904951e7facd7a21b633fdec912279e8e540b41fbd52541496023e8f199c?environmentId=100
типа успокаиваемся, листаем сиськи-котиков дальше
и тут, меня спасает UAC
минут через 15, начинается "стрельба" попытками вызвать CMD, от Adobe Deployment Manager. Очень надоедливо, это такой способ обхода UAC, называется "в лоб", потому что практически ничего нельзя сделать, кроме как нажать на "ALLOW", иначе окно попытки запуска CMD появляется снова.
Путь указывает в %username%/appdata/roaming, где прямо в корне красуется 5OuaUuSb.exe, прибиваю через диспетчер задач несколько экземпляров его. Этого мало, теперь "стреляет" некий tmp9216.exe (200kb), ялвяющийся копией первого, но уже сидящий в где-то в temp.
Прибив их, лезу в Msconfig, и там на меня смотрит вызов 5OuaUuSb. Т.е. после перезагрузки ожидалось повторение действа.
Оно дествительно очень похоже на легитимную программу, икона + инфорамция об разработчике, имя продукта, одно НО - нет цифровой подписи от Adobe. Перемещаю-переименовываю exe'шки, заливаю на скан,
https://virustotal.com/ru/file/fe15a95542b1ca1ad05e025f03b76ce59eeee4e590b817436a159abc3f9f6799/analysis/
( https://sandbox.deepviz.com/report/hash/1b59e9ec9c118fd00ae870553e3774a9/ )
https://www.reverse.it/sample/fe15a95542b1ca1ad05e025f03b76ce59eeee4e590b817436a159abc3f9f6799?environmentId=100
Также в temp'е пользователя нахожу созданный в тот же момент EXE (почти 5мб),
https://virustotal.com/ru/file/fc811f1ea441bdda32eeecbd541c5691be30cf9dd8792ec2836bfbdbf3e8483c/analysis/
он же отлавливается через "автозагрузку" в AVZ, угадайте где:
%user%\AppData\Local\Microsoft\Perfomance\Monitor\PerfomanceMonitor.dll, и в той же папке папка темп, а в ней лежит tmp9216.exe
збс.
начинаю искать созданные/измененные файлы от сегодня, и начинаю ох..вать, ОНО ОТРАБОТАЛО
расширение .SAGE добавлено ко всем файлам HTML,ICO,MID,TTF,ESV(сейвы BloodTC, лол) и PLT/PRF/EXP/TPL/LNX/SVG/STR/CAT (файлы в папке с исходниками NT4)
и "послание от сомалицских пиратов" SOS_SAGE.HTA с требованием выкупа в каждой папке с поврежденными файлами.
мне дико повезло, что оно по всей видимости заточено под программистов. т.е. потенциальная жертва - программист. у домашнего пользователя основная ценность - фотки, у бухгалтера - базы.
целевая атака.
ценные файлы остались целы, но щелчок по носу хороший. на этом компе важного мало, но случись такое на другом..
p.s. по иронии судьбы, как раз в тот момент, когда я боролся со стрельбой подтверждений CMD, мне принесли ноут с XP SP2, на которую не устанавливался KIS, требуя SP3. да, ребята, крепитесь, КИС и партия вас спасет..
p.p.s вчера с одним единомышленником обсуждал идею универсального АВ, который дает пускать только whitelisted исполняемые файлы, загружая контрольные суммы из облака. и главное, делается такой гораздо проще, чем полноценный АВ. мечты, мечты.
поставил (обратно) AnVir Task Manager, хоть что-то, что мониторит прописывание в автозагрузку.
вообще идея распространять заразу в торрентах, это интересно. будет сложно найти-поприбивать все хосты, которые раздают ЭТО.
находим вот это
hadasreshef.com/trw-2000-1-23-64-bit-by-iron-bus-torrent-download
не обращаем внимания, что
/статика/ элементарная логика, если голову включать
1. 64 бит в 2000 было только в мечтах инженеров
2. размер 400мб (на самом деле 200) - бред, оно макс мегов 20 может быть
3. блог художницы?? лол, отладчики в блоге художницы?
+ другие ссылки не работают. т.е. это 1 (единственная) ссылка из несуществующего подраздела "отладчики"
ну, кочаем, попутно смотрим фотки с претензией на арт, и с намеком на эро, в блоге..
/динамика/
пытаемся запустить ЭТО, полуаем ошибку NSIS, первый звоночек, и попытку вызвать CMD.exe; параллельно получаем дублирование ошибки NSIS, и еще раз и еще раз CMD, это уже второй звоночек
льем экзешник (12мб) на Virustotal (30+ из 56), на Reverse.it,
https://www.reverse.it/sample/8f27904951e7facd7a21b633fdec912279e8e540b41fbd52541496023e8f199c?environmentId=100
типа успокаиваемся, листаем сиськи-котиков дальше
и тут, меня спасает UAC
минут через 15, начинается "стрельба" попытками вызвать CMD, от Adobe Deployment Manager. Очень надоедливо, это такой способ обхода UAC, называется "в лоб", потому что практически ничего нельзя сделать, кроме как нажать на "ALLOW", иначе окно попытки запуска CMD появляется снова.
Путь указывает в %username%/appdata/roaming, где прямо в корне красуется 5OuaUuSb.exe, прибиваю через диспетчер задач несколько экземпляров его. Этого мало, теперь "стреляет" некий tmp9216.exe (200kb), ялвяющийся копией первого, но уже сидящий в где-то в temp.
Прибив их, лезу в Msconfig, и там на меня смотрит вызов 5OuaUuSb. Т.е. после перезагрузки ожидалось повторение действа.
Оно дествительно очень похоже на легитимную программу, икона + инфорамция об разработчике, имя продукта, одно НО - нет цифровой подписи от Adobe. Перемещаю-переименовываю exe'шки, заливаю на скан,
https://virustotal.com/ru/file/fe15a95542b1ca1ad05e025f03b76ce59eeee4e590b817436a159abc3f9f6799/analysis/
( https://sandbox.deepviz.com/report/hash/1b59e9ec9c118fd00ae870553e3774a9/ )
https://www.reverse.it/sample/fe15a95542b1ca1ad05e025f03b76ce59eeee4e590b817436a159abc3f9f6799?environmentId=100
Также в temp'е пользователя нахожу созданный в тот же момент EXE (почти 5мб),
https://virustotal.com/ru/file/fc811f1ea441bdda32eeecbd541c5691be30cf9dd8792ec2836bfbdbf3e8483c/analysis/
он же отлавливается через "автозагрузку" в AVZ, угадайте где:
%user%\AppData\Local\Microsoft\Perfomance\Monitor\PerfomanceMonitor.dll, и в той же папке папка темп, а в ней лежит tmp9216.exe
збс.
начинаю искать созданные/измененные файлы от сегодня, и начинаю ох..вать, ОНО ОТРАБОТАЛО
расширение .SAGE добавлено ко всем файлам HTML,ICO,MID,TTF,ESV(сейвы BloodTC, лол) и PLT/PRF/EXP/TPL/LNX/SVG/STR/CAT (файлы в папке с исходниками NT4)
и "послание от сомалицских пиратов" SOS_SAGE.HTA с требованием выкупа в каждой папке с поврежденными файлами.
мне дико повезло, что оно по всей видимости заточено под программистов. т.е. потенциальная жертва - программист. у домашнего пользователя основная ценность - фотки, у бухгалтера - базы.
целевая атака.
ценные файлы остались целы, но щелчок по носу хороший. на этом компе важного мало, но случись такое на другом..
p.s. по иронии судьбы, как раз в тот момент, когда я боролся со стрельбой подтверждений CMD, мне принесли ноут с XP SP2, на которую не устанавливался KIS, требуя SP3. да, ребята, крепитесь, КИС и партия вас спасет..
p.p.s вчера с одним единомышленником обсуждал идею универсального АВ, который дает пускать только whitelisted исполняемые файлы, загружая контрольные суммы из облака. и главное, делается такой гораздо проще, чем полноценный АВ. мечты, мечты.
поставил (обратно) AnVir Task Manager, хоть что-то, что мониторит прописывание в автозагрузку.
вообще идея распространять заразу в торрентах, это интересно. будет сложно найти-поприбивать все хосты, которые раздают ЭТО.