"Боевой кроссплатформенный вирус с отличной вирулентностью"
Орфография сохранена
"Здравствуйте,
месяц назад я подцепил вирус, пробивающий песочницы sandboxie и wmware, антивирусы (AVG, BitDefender, ZoneAlarm ), и фаерволы (Windows Firewall and ZA); передающийся при попытке отформатировать usb под Линукс или подключении зараженной клавиатуры к Windows. Замена компьютера и роутера не помогла. Повторное заражение произошло при попытке зараженную юсб флешку, с помощью Gparted под Линукс.
Предшествующие события. В Мире Танков 60М зарегистрированных пользователей, в их числе и наши "американские союзники по борьбе с терроризмом". Большинство играет с модами. Централизованно добавить в моды "недокументированные возможности" - идея напрашивающаяся. Моды танков "звонят" создателям. См, например, исходники wot-battle-assistant на github. Какие именно данные они передают - "всего лишь" банковские данные или гостайны - неизвестно. Качественная обфускация модов подтверждает подозрения, т.к. обфускация нужна лишь при создании вирусов и коммерческих продуктов. pjorion является стандартной программой для создания модов, основное внимание в которой уделяется опять же обфускации кода. Я хотел создать пустой скрипт и посмотреть, что pjorion добавит при компиляции. Поэтому я загрузил мир танков с модами Wotspeak через pjorion в windows7 на виртуальной машине vmware установленной на windows7 host. Доступ к рекламным сайтам заблокирован по методу unckecky на Windows Host в файле c:Windowssystem32driversetchosts. При этом возникли файлы imhosts.hot и lmhosts.sam (именно i и именно .hot), not L в названии первого файла). Похоже, pjorion активно использует lmhosts и что-то сломалось об
CODE
# unchecky begins :-)
0.0.0.0 0.0.0.0
.....
(список рекламнпых сайтов, которые нужно перенаправлять на localhost)
.....# unchecky ends
Потому что в файле hosts появился список козабликов, похожих на те, которые появляются если открыть .pyc в HeX. В файле imhosts.hot, открытом с помощью Notepad++ (позволяет открывать файл, используемый другим процессом) появился текст исходников мода (.py). Это при том, что сам мод был загружен в виде .pyc файла. imhosts.hot в папку etc по идее быть не должно.
Странности начались после восстановления изначального файла hosts и перезаргузки Host Windows . На столе сначала появились .reg файлы, которые после перезагрузки превратились в .dat, затем в ms-{some-long-string} и затем в папку names-of-allax c ~20 .js скриптами и файлом to_enployees.txt. Я сохранил эту папку на флешку и несколько HDD, но все они исчезли и такие инструменты как ntfsundelete ничего не находят на зараженных дисках. Вообще достать что либо с зараженных дисков не представляется возможным. Очень жалею о том, что не прочитал тот файл, ведь там речь наверняка шла о технике безопасности и методах обезвреживания. По крайней мере я узнал бы язык и национальную принадлежность авторов. Center (американский английский), centre (британский английский) или #poisk dokumentov (похоже на отечественную разработку).
Компьютер еще раз самостоятельно перезагрузился, а после этого умерли три компьютера подключенные к роутеру. На них всех стояла Windows 7 c разными антивирусами (AVG, BitDefender, ZoneAlarm ), и фаерволы (Windows Firewall and ZA), но это ничем не помогло. Я попытался решить проблему переустановкой винды из образа (diskimage), переустановкой винды с диска, применением утилит из hiren boot cd. Былинный отказ. В частности, MiniXP грузится в BSOD, сообщая, "Computer not ACPI compliant". MiniLinux не грузится.
Похоже, что при подключении инфицированного юсб все другие sata and usb заражаются. Когда я говорю "все" я подразумеваю клавиатуру, CD-ROM, usb-to-sata адаптер и прочие устройства.
Вирь активно качает драйвера из интернета и на начальной стадии создает broadcom suite (стадия "master я или slave?") в котором хранит драйвера для всех зараженных устройств. Они отображается как подключенные, но недоступные флешки (флешки-призраки). Этот broadcom suite слушает случайный порт в диапозоне 10000-50000 от какого-то левого айпишника (не запомнил, т.к. все флешки были заражены, записать на лист бумаги не догадался, а чтобы сохранить в облаке нужно выходить в сеть, чего я делать не хотел. Компьютер ждет какое-то время, перезагружается и если до этого момента не получает лицензии, то становится ботом. В состоянии бота он тормозит, не дает поставить антивирь и отключает доступ к disk manager. Фильтрует результаты гугла. Вероятно еще много чего делает. Загрузка происходит в два этапа. Компьютер загружает биос, перегружается, повторно загружает биос и затем операционную систему. Очень напоминает описание возможностей ZeuS, но вирус с которым я столкнулся намного более вирулентный.
Я скачал и установил линукс (Fedora на один винт и Ubuntu на другой винт sata-to-usb) на чистые SSD на чистом компьютере. Обновил биос (чистая флешка, чистая клавиатура). Загрузился в Федору (подключен по сата). Подключил зараженную флешку и запустил gparted. Разумеется ввел root password, иначе ведь не запустится. Выбрал /dev/sdb/ и wipe disk. Gparted ругнулся: "Линукс считает, что размер кластеров 512, а устройство считает, что 2048. Ignore? Cancel?". Cancel действия не взымело. После Ignore мой cpu fan взревел а после нескольких секунд выдал ошибку (do you want to send developers the error report) и начал тормозить. Я вытащил флешку и перезагрузился. Перезагрузка шла очень долго (несколько минут). После загрузки выяснилось, что gparted был удален, а sudo netstat выдал длинный список слушающих портов от unknown процессов. При попытке установить из репозитория выяснилось, что мой root password перестал работать. Я заменил диск с Fedora на диск с Ubuntu, загрузился и подключил диск с Fedora. На диске с Федора присутствовала Fat32 partition ~1Gb размером, которой там, по идее, быть не должно. Кроме того, там были ожидаемые разделы ext4 и swap.
Заражение всегда сопровождается активной работой вентилятора. Например, если вытащить батарейку из биоса на час, вернуть на место, а потом загрузиться, то вентилятор работает тихо. Появляется "клавиатура не обнаружена, нажмите F1". Подключаешь юсб клавиатуру - вентилятор переходит на максимальные обороты, стихает, компьютер перегружается. Аналогично, на полностью новом компьютере с linux live cd выбираешь "загрузка только с CDROM", пароли админа (16 символов) и пользователя (10 символов, не может вносить изменения в биос) выключаешь, присоединяешь зараженный HDD к сата и грузишься. В момент доступа к дискам происходит какая-то возня (взвывает вентилятор и HDD издает какой-то странный звук, похожий на работу перегруженного электромотора), через несколько секунд все стихает, а биос выдает "CDROM не обнаружен". Перезагружаешься и биос (о чудо) опять видит CDROM. Только вот работает он очень странно. При попытке запустить live DVD (Ubuntu, Hiren, Kaspersky rescue; отожженный и finalized на DVD-R) возникают проблемы. Вместо нормального чтения на больших оборотах DVD-ROM начинает "жевать" диск. Создается впечатление, что он пытается перезаписать диск, несмотря на финализацию и (по идее) невозможность перезаписи. Попытка загрузить Hiren MiniXP заканчивается BSOD, MiniLinux не грузится. Убунту ставится, только результат не вызывает доверия. В частности, из-за уймы открытых портов в netstat.
Вирус является "четырехтактовым". Похоже, используются состояния (грубо говоря "" %code% , "" %code% , "" %code% и ""%code% ). Я не являюсь специалистом, хотя иногда пользуюсь Перлом и Питоном, так что возможно это давно известный трюк, либо наоборот я заблуждаюсь и вирус использует другие методы. Различие в размере кластеров (по сообщению Gparted) указывает на buffer overflow, но этот прием, по идее, является стандартным.
Итак, поражает вирулентность и кроссплатформенность этого ... продукта. Сетка на работе тоже, похоже, заражена. Вирь находится в ожидании сигнала, поэтому пока не вредит. Компьютерщики исповедуют отношение "пока работает и Symantec не видит вирусов мы и пальцем не пошевелим" Они не видят вирус на откровенно инфецированной флешке, но их это не смущает. Не знаю точно, как этот вирь вычисляет мои компы и почему он такой злостный. Возможно по тому что я захожу на почтовые ящики, а они находятся в черном списке. iPhone после "удалить все данные и сбросить все настройки" по началу работает нормально, но при приблежении к домашней сетке идет мелкой рябью в течение минуты. Есть ли это попытка заразить (и если да, то кто кого заражает?) или что то еще?
Запись "Thanks to KAV and to Avira for new quests, i like it!" (в ZeuS, как сообщает Википедия) вселяет веру в Касперского. Сейчас буду пробовать Kaspersky rescue disk. Подскажите, пожалуйста, что в этой ситуации можно сделать. Какие шаги предпринять, чтобы быть точно уверенным, что сам Kaspersky rescue disk чистый? Как узнать, заражен ли CDROM, клавиатура, биос?
Спасибо заранее,
Степан"
"Здравствуйте,
месяц назад я подцепил вирус, пробивающий песочницы sandboxie и wmware, антивирусы (AVG, BitDefender, ZoneAlarm ), и фаерволы (Windows Firewall and ZA); передающийся при попытке отформатировать usb под Линукс или подключении зараженной клавиатуры к Windows. Замена компьютера и роутера не помогла. Повторное заражение произошло при попытке зараженную юсб флешку, с помощью Gparted под Линукс.
Предшествующие события. В Мире Танков 60М зарегистрированных пользователей, в их числе и наши "американские союзники по борьбе с терроризмом". Большинство играет с модами. Централизованно добавить в моды "недокументированные возможности" - идея напрашивающаяся. Моды танков "звонят" создателям. См, например, исходники wot-battle-assistant на github. Какие именно данные они передают - "всего лишь" банковские данные или гостайны - неизвестно. Качественная обфускация модов подтверждает подозрения, т.к. обфускация нужна лишь при создании вирусов и коммерческих продуктов. pjorion является стандартной программой для создания модов, основное внимание в которой уделяется опять же обфускации кода. Я хотел создать пустой скрипт и посмотреть, что pjorion добавит при компиляции. Поэтому я загрузил мир танков с модами Wotspeak через pjorion в windows7 на виртуальной машине vmware установленной на windows7 host. Доступ к рекламным сайтам заблокирован по методу unckecky на Windows Host в файле c:Windowssystem32driversetchosts. При этом возникли файлы imhosts.hot и lmhosts.sam (именно i и именно .hot), not L в названии первого файла). Похоже, pjorion активно использует lmhosts и что-то сломалось об
CODE
# unchecky begins :-)
0.0.0.0 0.0.0.0
.....
(список рекламнпых сайтов, которые нужно перенаправлять на localhost)
.....# unchecky ends
Потому что в файле hosts появился список козабликов, похожих на те, которые появляются если открыть .pyc в HeX. В файле imhosts.hot, открытом с помощью Notepad++ (позволяет открывать файл, используемый другим процессом) появился текст исходников мода (.py). Это при том, что сам мод был загружен в виде .pyc файла. imhosts.hot в папку etc по идее быть не должно.
Странности начались после восстановления изначального файла hosts и перезаргузки Host Windows . На столе сначала появились .reg файлы, которые после перезагрузки превратились в .dat, затем в ms-{some-long-string} и затем в папку names-of-allax c ~20 .js скриптами и файлом to_enployees.txt. Я сохранил эту папку на флешку и несколько HDD, но все они исчезли и такие инструменты как ntfsundelete ничего не находят на зараженных дисках. Вообще достать что либо с зараженных дисков не представляется возможным. Очень жалею о том, что не прочитал тот файл, ведь там речь наверняка шла о технике безопасности и методах обезвреживания. По крайней мере я узнал бы язык и национальную принадлежность авторов. Center (американский английский), centre (британский английский) или #poisk dokumentov (похоже на отечественную разработку).
Компьютер еще раз самостоятельно перезагрузился, а после этого умерли три компьютера подключенные к роутеру. На них всех стояла Windows 7 c разными антивирусами (AVG, BitDefender, ZoneAlarm ), и фаерволы (Windows Firewall and ZA), но это ничем не помогло. Я попытался решить проблему переустановкой винды из образа (diskimage), переустановкой винды с диска, применением утилит из hiren boot cd. Былинный отказ. В частности, MiniXP грузится в BSOD, сообщая, "Computer not ACPI compliant". MiniLinux не грузится.
Похоже, что при подключении инфицированного юсб все другие sata and usb заражаются. Когда я говорю "все" я подразумеваю клавиатуру, CD-ROM, usb-to-sata адаптер и прочие устройства.
Вирь активно качает драйвера из интернета и на начальной стадии создает broadcom suite (стадия "master я или slave?") в котором хранит драйвера для всех зараженных устройств. Они отображается как подключенные, но недоступные флешки (флешки-призраки). Этот broadcom suite слушает случайный порт в диапозоне 10000-50000 от какого-то левого айпишника (не запомнил, т.к. все флешки были заражены, записать на лист бумаги не догадался, а чтобы сохранить в облаке нужно выходить в сеть, чего я делать не хотел. Компьютер ждет какое-то время, перезагружается и если до этого момента не получает лицензии, то становится ботом. В состоянии бота он тормозит, не дает поставить антивирь и отключает доступ к disk manager. Фильтрует результаты гугла. Вероятно еще много чего делает. Загрузка происходит в два этапа. Компьютер загружает биос, перегружается, повторно загружает биос и затем операционную систему. Очень напоминает описание возможностей ZeuS, но вирус с которым я столкнулся намного более вирулентный.
Я скачал и установил линукс (Fedora на один винт и Ubuntu на другой винт sata-to-usb) на чистые SSD на чистом компьютере. Обновил биос (чистая флешка, чистая клавиатура). Загрузился в Федору (подключен по сата). Подключил зараженную флешку и запустил gparted. Разумеется ввел root password, иначе ведь не запустится. Выбрал /dev/sdb/ и wipe disk. Gparted ругнулся: "Линукс считает, что размер кластеров 512, а устройство считает, что 2048. Ignore? Cancel?". Cancel действия не взымело. После Ignore мой cpu fan взревел а после нескольких секунд выдал ошибку (do you want to send developers the error report) и начал тормозить. Я вытащил флешку и перезагрузился. Перезагрузка шла очень долго (несколько минут). После загрузки выяснилось, что gparted был удален, а sudo netstat выдал длинный список слушающих портов от unknown процессов. При попытке установить из репозитория выяснилось, что мой root password перестал работать. Я заменил диск с Fedora на диск с Ubuntu, загрузился и подключил диск с Fedora. На диске с Федора присутствовала Fat32 partition ~1Gb размером, которой там, по идее, быть не должно. Кроме того, там были ожидаемые разделы ext4 и swap.
Заражение всегда сопровождается активной работой вентилятора. Например, если вытащить батарейку из биоса на час, вернуть на место, а потом загрузиться, то вентилятор работает тихо. Появляется "клавиатура не обнаружена, нажмите F1". Подключаешь юсб клавиатуру - вентилятор переходит на максимальные обороты, стихает, компьютер перегружается. Аналогично, на полностью новом компьютере с linux live cd выбираешь "загрузка только с CDROM", пароли админа (16 символов) и пользователя (10 символов, не может вносить изменения в биос) выключаешь, присоединяешь зараженный HDD к сата и грузишься. В момент доступа к дискам происходит какая-то возня (взвывает вентилятор и HDD издает какой-то странный звук, похожий на работу перегруженного электромотора), через несколько секунд все стихает, а биос выдает "CDROM не обнаружен". Перезагружаешься и биос (о чудо) опять видит CDROM. Только вот работает он очень странно. При попытке запустить live DVD (Ubuntu, Hiren, Kaspersky rescue; отожженный и finalized на DVD-R) возникают проблемы. Вместо нормального чтения на больших оборотах DVD-ROM начинает "жевать" диск. Создается впечатление, что он пытается перезаписать диск, несмотря на финализацию и (по идее) невозможность перезаписи. Попытка загрузить Hiren MiniXP заканчивается BSOD, MiniLinux не грузится. Убунту ставится, только результат не вызывает доверия. В частности, из-за уймы открытых портов в netstat.
Вирус является "четырехтактовым". Похоже, используются состояния (грубо говоря "" %code% , "" %code% , "" %code% и ""%code% ). Я не являюсь специалистом, хотя иногда пользуюсь Перлом и Питоном, так что возможно это давно известный трюк, либо наоборот я заблуждаюсь и вирус использует другие методы. Различие в размере кластеров (по сообщению Gparted) указывает на buffer overflow, но этот прием, по идее, является стандартным.
Итак, поражает вирулентность и кроссплатформенность этого ... продукта. Сетка на работе тоже, похоже, заражена. Вирь находится в ожидании сигнала, поэтому пока не вредит. Компьютерщики исповедуют отношение "пока работает и Symantec не видит вирусов мы и пальцем не пошевелим" Они не видят вирус на откровенно инфецированной флешке, но их это не смущает. Не знаю точно, как этот вирь вычисляет мои компы и почему он такой злостный. Возможно по тому что я захожу на почтовые ящики, а они находятся в черном списке. iPhone после "удалить все данные и сбросить все настройки" по началу работает нормально, но при приблежении к домашней сетке идет мелкой рябью в течение минуты. Есть ли это попытка заразить (и если да, то кто кого заражает?) или что то еще?
Запись "Thanks to KAV and to Avira for new quests, i like it!" (в ZeuS, как сообщает Википедия) вселяет веру в Касперского. Сейчас буду пробовать Kaspersky rescue disk. Подскажите, пожалуйста, что в этой ситуации можно сделать. Какие шаги предпринять, чтобы быть точно уверенным, что сам Kaspersky rescue disk чистый? Как узнать, заражен ли CDROM, клавиатура, биос?
Спасибо заранее,
Степан"
