Перейти к содержанию
p2u

Троян проверяет сначала на VM

Recommended Posts

p2u

Нашёл такую тему на английском: Trojan checks for SandBoxIE presence?

Суть:

inositol and anxiety disorder[Compressed].exe проверяет, запущен ли VM или некоторые песочницы. Если да, то тогда молчит; если нет, то тогда запускается. Он ничего разрушительного не делает; просто отсылает файл с названием %имякомпа%_%имяпользователя%.plog по адресу ftp://bernd30519@people-ftp.freenet.de. В принципе только те, у которых встроенный брандмауэр Винды стоит должны страдать от этого; даже старый Kerio 2.1.5 реагирует на эту попытку. В данном файле предположительно передаются пароли жертвы, который запустил данный зверь. После этого запускается файл zip. Внутри фотки девушек, и даже не очень красивых.

Зверушка работает в режиме ограниченного пользователя. Топикстартер отсылал в ЛК, но те ничего вредоносного не нашли ("скорее всего запустили как раз в VM"). Только когда топик-стартер открыл файл .exe с hex-редактором (2 картинки предлагаются для специалистов) было видно, что он делает (проверка на VM) и можно делать вывод, что это должно быть что-то нехорошее.

На вирустотал пока следующий результат:

http://www.virustotal.com/analisis/a1c97e7...badb-1247143539

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Да, интерестно.. Авира опять рулит своей ущербностью)

Кстати случай редкий. В другом случае люди засчитали бы фолс авире, если б не знали что это реально вирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Кстати случай редкий. В другом случае люди засчитали бы фолс авире, если б не знали что это реально вирус

Случай действительно редкий, поэтому я и решил выложить сюда - это урок сразу в нескольких направлениях.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Кстати, наводит на мысль о том что ЛК тестирует присылаемую вирусню на WM/SB.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ну так детект виртуалки, давно уже использовался в некоторых малварях, не думаю что из за этого в лк не добавили детект..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Считать, что в ЛК сидят такие дауны, что проверяют файл на зловредность путем запуска его в ВМваре при включенных тулзах от Руссиновича... - это, конечно, мдаа... :)

Наверняка робот просто не допустил файл до дятлов, решив в силу каких-то причин, что он чистый или дятел был не шибко опытный...

А детект вмвари, исдебагпрезент - это уже по умолчанию практически)))

Иногда встречаются проверка на тулзы от Руссиновича и на онлайн-ковырялки (которые выдают что и куда пишет файл).

А как из скрина из хекс-редактора будет видна проверка на ВМ?..

Можно об этом догадаться только лишь... ну и потом перепечатать в отладчик все побайтно, что на скринах для уверенности)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А как из скрина из хекс-редактора будет видна проверка на ВМ?..

Можно об этом догадаться только лишь... ну и потом перепечатать в отладчик все побайтно, что на скринах для уверенности)

Автор этого чуда, кажется, не особо старался скрывать свои намерения - там в PlainText всё прописано... :rolleyes:

[Офф-топ]: Этот XVI32, видимо, забавный hex editor; даже в Майкрософте рекомендуют его для восстановления документов Office: http://support.microsoft.com/kb/835840/ru [конец офф-топа]

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
inositol and anxiety disorder[Compressed].exe проверяет, запущен ли VM или некоторые песочницы.

Утилите год, а детектит.

ScoopyNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Считать, что в ЛК сидят такие дауны, что проверяют файл на зловредность путем запуска его в ВМваре при включенных тулзах от Руссиновича... - это, конечно, мдаа... :)

Согласен.

Наверняка робот просто не допустил файл до дятлов, решив в силу каких-то причин, что он чистый

А вот на чем работает и как анализирует автодятел это хороший вопрос. Если бы знать после скольких и каких тестов автодятел считает что файл чистый.

Я думал что автодятел анализирует только файлы с вредоносами, а вердикт "файл чист, вируса нет" автодятел выдавать не может и это не входит в его задачи. Я думал что если после анализа файла робот считает его чистым, этот файл передается на анализ дятлу-человеку.

или дятел был не шибко опытный...

При декларируемом конкурсе 100 человек на 1 место дятла это очень плохо, но к сожалению примеры есть.

К сожалению культивируется миф что дятлы это элита и гении. Я думаю что дятлы это очень квалифицированные, но обыкновенные люди, которые тоже могут ошибаться. Такая проблема часто возникает при проверке "фолс или не фолс" и в этом случае вердикт дятла не зазорно и перепорверить, изложив дятлам свои аргументы и попросив их еще раз проанализировать файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

C "автодятлом" бывают некоторые странности, ответа из вирлаба при отсылке всяких "не очень стандартных" вредоносных программ нет по двое-трое суток. Не может же компьютер "думать" над анализом столько долго?

Пример всё тот же, 11 июня файл был отправлен в вирлаб обычной почтой, спустя 12 часов отправлен ещё раз с другого ящика, спустя ещё 12 часов - через форму запроса. 14 июня одновременно пришел ответ на все три запроса:

Здравствуйте,

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

Email-Worm.Win32.Joleee.ccd

С уважением, ХХХХХХ ХХХХХХХХ

Вирусный аналитик

:P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker

Автодятел отвечает на письма пользователей с присланными на анализ зловредами, как он подписывается, или людям отвечают только дятлы люди?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Это надо спросить у тех, кто вхож в стенки вирлаба. Как правило, в письмах стоит подпись вирусного аналитика. Но не сообщается, кто расковырял файл - сам аналитик или компьютер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В категории установленные программы необходимо добавить распределение по типу программ. ( актуальных для темы лечения ) Браузеры Антивирусы VPN - Сервисы Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...  
    • demkd
      ничего нового ---------------------------------------------------------
       4.99.5
      ---------------------------------------------------------
       o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
         Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
         запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.

         Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
         Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
         после появления меню выберите:
         Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS

         В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
         поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
         не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
         В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
         При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
         для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".

       o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
         если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
         автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
         следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
         (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
         (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
         (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
         (!) с отрисовкой окон и без удаленного доступа.
         (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
         (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.

       o Добавлены новые модули:
         o файл rein/rein.x64 отвечает за запуск uVS из меню.
         o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
         o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.

       o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
         запуску uVS и файлового менеджера.

       o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
         (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
         (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)

       o Улучшена функция создания загрузочных дисков.
         ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
         т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
         Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
         Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
         (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
         (!) флешки теперь мультизагрузочные.

       o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.

       o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.

       o Теперь окно лога передачи файла можно свернуть вместе с основным окном.

       o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.

       o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
         всегда имеет фиксированное имя "uvsrdp".
         Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.

       o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
         системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
         при этом исходный файл хотя бы частично попал в файловый кэш.

       o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
         Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.

       o uVS теперь совместим со штатной средой восстановления Windows 8.

       o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
         задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).

       o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.

       o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
         если был выбран режим захвата экрана GDI или DDA1.

       o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
         в удаленную систему.

       o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
         к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.

       o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.

       o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.

       o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").

       o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.

       
    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
×