Landuss Opublikowano 16 Czerwca 2010 Zgłoś Udostępnij Opublikowano 16 Czerwca 2010 Wirusy polimorficzne Co to są wirusy polimorficzne? Jedne z najtrudniejszych zagrożeń do usunięcia jakie istnieją w sieci. Nie mają swojej określonej sygnatury. Posiadają zdolność modyfikacji własnego kodu i każde kolejne ich kopie wyglądają inaczej. Utrudnia to wykrycie infekcji, ponieważ program antywirusowy szuka konkretnego fragmentu kodu, który wirus polimorficzny potrafił już zmienić. Takie infekcje są wykrywane za pomocą heurystyki. Ich zadaniem jest wszczepianie szkodliwego kodu do plików wykonywalnych takich jak EXE / DLL / SCR. Obecne warianty infekcji niestety potrafią też zainfekować inne rozszerzenia plikowe takie jak np. JPG / PDF / DOC. Temat opisuje poradę dotyczącą objawów, rodzajów infekcji oraz ewentualnej walki z tymi infekcjami bez formatowania dysku twardego. Są to bardzo ciężkie przypadki i tak naprawdę nie zawsze jest możliwe wyleczenie dysku bez jego całkowitego formatowania. Infekcje te przenoszą się często z plików pobranych za pomocą programów P2P, natomiast obecnie najczęsciej dostają się do systemu poprzez media przenośne (pendrive, karty pamięci, dyski USB etc.) Podstawowe objawy Popularne rodzaje wirusów polimorficznych Usuwanie wirusów polimorficznych bez formatowania dysku Copyright @Landuss fixitpc.pl Powielanie tej pracy zabronione. Odnośnik do komentarza
Landuss Opublikowano 16 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2010 Podstawowe objawy modyfikacja kodu biblioteki NTDLL.DLL. Tak zmodyfikowana biblioteka dba o ciągłość cyklu zarażania i będzie to widoczne w niektórych logach pod taką postacią: Cytat detected NTDLL code modification: ZwOpenFile komunikaty programów zabezpieczających o wykryciu infekcji w plikach .exe: ogólne spowolnienie komputera i wykonywanych na nim czynności wzmożony ruch na portach sieciowych pliki wykonywalne zwiększają swoją wagę nieuruchamiające się programy oraz blokada antywirusów i stron producentów Odnośnik do komentarza
Landuss Opublikowano 16 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2010 Popularne rodzaje wirusów polimorficznych Win32:Virut (Aliasy: Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.Cheburgen) W pierwszych wersjach ta infekcja była znana jako wirus VT100. Oprócz standardowych plików wykonywalnych bierze się też za pliki JPG / PDF / DOC. Można ją rozpoznać przede wszystkim z poziomu odczytów rootkit detekcji, która będzie pokazywać hooki NTDLL.DLL (NtCreateFile / NtCreateProcess / NtCreateProcessEx / NtOpenFile): Cytat .text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FF927E1 .text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FF92835 .text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FF92842 .text C:\WINDOWS\system32\winlogon.exe[832] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FF9282E .text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FFA27E1 .text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FFA2835 .text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FFA2842 .text C:\WINDOWS\system32\services.exe[876] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FFA282E .text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FF927E1 .text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FF92835 .text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FF92842 .text C:\WINDOWS\system32\lsass.exe[888] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FF9282E .text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateFile 7C90D682 5 Bytes CALL 7FFA27E1 .text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL 7FFA2835 .text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtCreateProcessEx 7C90D769 5 Bytes CALL 7FFA2842 .text C:\WINDOWS\system32\svchost.exe[1036] ntdll.dll!NtOpenFile 7C90DCFD 5 Bytes CALL 7FFA282E Przy tej infekcji mogą występować pośrednie znaki infekcji dodatkowych, które są dociągane z sieci. Ta sytuacja jest uzależniona od wariantu infekcji Virut. Przydatne narzędzia do usuwania infekcji: AVG Virut Fix Dr. Web CureIt! Kaspersky Virus Removal Tool Symantec FixVirut Win32:Sality (Aliasy: Win32.Sector.12) Jeden z objawów tego rodzaju infekcji to usługa przeważnie o tej samej nazwie abp470n5 / dac970nt / asc3360pr ale o losowym pliku. Przykładowy wygląd w logach: Cytat Service C:\WINDOWS\system32\drivers\plooko.sys [MANUAL] abp470n5 Service C:\WINDOWS\system32\drivers\mehfos.sys [MANUAL] abp470n5 S3 dac970nt;dac970nt;\??\c:\windows\system32\drivers\klllim.sys --> c:\windows\system32\drivers\klllim.sys [?] DRV - File not found [Kernel | On_Demand | Running] -- -- (asc3360pr) Występują blokady menedżera zadań + edytora rejestru: Cytat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"= 1 (0x1) "DisableRegistryTools"= 1 (0x1) O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools=1 Namnażanie losowych plików w katalogu Temp w folderze profilu: Cytat "C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winavrajg.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winavrajg.exe:*:Enabled:ipsec -- File not found "C:\DOCUME~1\Mateusz\USTAWI~1\Temp\cjfau.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\cjfau.exe:*:Enabled:ipsec -- File not found "C:\DOCUME~1\Mateusz\USTAWI~1\Temp\wincdul.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\wincdul.exe:*:Enabled:ipsec -- File not found "C:\DOCUME~1\Mateusz\USTAWI~1\Temp\tipnr.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\tipnr.exe:*:Enabled:ipsec -- File not found "C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winetpw.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winetpw.exe:*:Enabled:ipsec -- File not found "C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winjwvmdk.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winjwvmdk.exe:*:Enabled:ipsec -- File not found "C:\DOCUME~1\Mateusz\USTAWI~1\Temp\winoisanc.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\winoisanc.exe:*:Enabled:ipsec -- File not found "C:\DOCUME~1\Mateusz\USTAWI~1\Temp\ppryu.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\ppryu.exe:*:Enabled:ipsec -- File not found "C:\DOCUME~1\Mateusz\USTAWI~1\Temp\aual.exe" = C:\DOCUME~1\Profil\USTAWI~1\Temp\aual.exe:*:Enabled:ipsec -- File not found Przydatne narzędzia do usuwania infekcji: AVG Sality Fix Dr. Web CureIt! Kaspersky SalityKiller (2010, usunięty ale link z WayBack Machine działa) Kaspersky Virus Removal Tool Win32:Jeefo (Aliasy: Win32.Hidrag) Jeefo montuje usługę PowerManager na pliku C:\WINDOWS\svchost.exe (nie mylić z systemowym C:\WINDOWS\system32\svchost.exe) Wygląd w logu: Cytat O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe S4 PowerManager;Power Manager;C:\windows\svchost.exe [2001-8-24 36352] Przydatne narzędzia do usuwania infekcji: Dr. Web CureIt! Sophos JeefoGUI (usunięty ale link z WayBack Machine działa) Win32:Mabezat Znakiem szczególnym tej infekcji jest obecność na dysku poniższych obiektów: Cytat %SystemDrive%\Documents and Settings\tazebama.dl_ %SystemDrive%\Documents and Settings\hook.dl_ %UserProfile%\Start Menu\Programs\Startup\zPharoh.exe %SystemDrive%\Documents and Settings\tazebama.dll %SystemDrive%\Documents and Settings\[uSER NAME]\Application Data\tazebama %SystemDrive%\Documents and Settings\[uSER NAME]\Application Data\tazebama\tazebama.log %SystemDrive%\Documents and Settings\[uSER NAME]\Application Data\tazebama\zPharaoh.dat C:\zPharaoh.exe C:\autorun.inf Przydatne narzędzie do usuwania infekcji: AVG Mabezat Remover Win32:Tenga (Aliasy: W32.Licum / W32.Gael / W32.Stanit) Robak sieciowy infekujący wszystkie pliki wykonywalne .EXE. Wchodzi przez niezamknięty port DCOM 139. W celu zamknięcia portu należy posłużyć się przydatnym narzędziem Windows Worms Doors Cleaner. Głównym objawem obecności wirusa jest wyskakujący komunikat systemowy o treści: 16-bitowy podsystem MS-DOS dl.exe NTVDM CPU: napotkano niedozwoloną instrukcję. CS:06bd IP:0206 OP:63 61 74 69 6f Wybierz przycisk "Zamknij". aby zakończyć działanie aplikacji. + obecność charakterystycznych plików na dysku: dl.exe cback.exe gaelicum.exe Przydatne narzędzia do usuwania infekcji: AVG Vcleaner (usunięty, pobieranie z MajorGeeks) Kaspersky Virus Removal Tool Win32:Parite (Aliasy: W32.Pinfi / W32.Pate) Po uruchomieniu przez użytkownika zainfekowanej aplikacji wirus aktywizuje się zarażając pamięć explorer.exe, a po tym shell roznosi wirusa na każdy plik wykonywalny na dysku gównie EXE / SCR. Widocznymi efektami działania wirusa jest zwiększenie wielkości plików wykonywalnych, pojawianie się nowych plików w katalogu C:\Windows\Temp oraz występowanie błędów przy uruchamianiu systemu Windows. Skanery antywirusowe mogą go wykryć w plikach wykonywalnych programów. Przykład: Cytat The W32/Parite.B Virus was found in file C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\AcroRd32.exe The W32/Parite.B Virus was found in file C:\Program Files\Ahead\CoverDesigner\CoverDes.exe The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero\nero.exe The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero\NeroCmd.exe The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero\Uninstall\UNNero.exe The W32/Parite.B Virus was found in file C:\Program Files\Ahead\Nero Wave Editor\WaveEdit.exe The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashAvast.exe The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashBug.exe The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashChest.exe The W32/Parite.B Virus was found in file C:\Program Files\Alwil Software\Avast4\ashLogV.exe Przydatne narzedzia do usuwania infekcji: AVG Parite Remover Kaspersky Virus Removal Tool Win32:Polipos (Aliasy: P2P-Worm.Win32.Polip.a / W32/Polip.A) Oprócz złożonego polimorficznego mechanizmu, wirus posiada również opcję neutralizacji wielu programów antywirusowych, oraz innych zabezpieczeń. Z lekkością rozprzestrzenia się za pośrednictwem sieci P2P, przenika na podłączone maszyny i po aktywacji, niezauważalnie wciela je do ogólnie dostępnej sieci P2P. Po uruchomieniu, wirus wprowadza swój kod do prawie wszystkich aktywnych procesów. Przydatne narzędzia do usuwania infekcji: Dr. Web CureIt! Odnośnik do komentarza
Landuss Opublikowano 16 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2010 Usuwanie wirusów polimorficznych bez formatowania dysku Usuwanie tego typu infekcji bardzo często jest trudne i nie zawsze się udaje. Jeśli mimo wszystko chcemy uniknąć formatowania dysku należy podjąć próby leczenia. W przypadku wykrycia infekcji należy reagować szybko bo jeśli infekcja rozprzestrzeni się znacznie, może być już za późno. Gdy decydujemy się jednak na format to tej operacji musi ulec cały dysk (wszystkie partycje) gdyż infekcji ulegają też pliki wykonywalne partycji niesystemowych. 1. Usuwanie spod działającego Windows (mało skuteczne) poprzez robienie wielokrotnego skanowania wszystkich partycji np. programem Dr. Web CureIt! oraz specjalnymi narzędziami do danego typu infekcji. 2. Usuwanie z zewnątrz (skuteczniejsze) poprzez wykonanie na innym, niezainfekowanym komputerze bootowalnej płytki CD AV. Lista tych płytek jest dostępna na forum: Cytat atiptaxx.exe;C:\program files\ati technologies\ati control panel;Win32.Virut.51;Wyleczony.; iexplore.exe;C:\program files\internet explorer;Win32.Virut.51;Wyleczony.; qttask.exe;C:\program files\quicktime;Win32.Virut.51;Wyleczony.; winampa.exeC:\program files\winamp;Win32.Virut.51;Wyleczony.; regsvr32.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.; ups.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.; userinit.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.; wmiapsrv.exe;C:\windows\system32wbem;Win32.Virut.51;Wyleczony.; wdfmgr.exe;C:\windows\system32;Win32.Virut.51;Wyleczony.; dxf2mxwl.exe C:\Ansoft Win32.Sector.12 Wyleczony. maxwell.exe C:\Ansoft Win32.Sector.12 Wyleczony. obs2sld.exe C:\Ansoft Win32.Sector.12 Wyleczony. obs2sm2.exe C:\Ansoft Win32.Sector.12 Wyleczony. plotdata.exe C:\Ansoft Win32.Sector.12 Wyleczony. usrmatdb.exe C:\Ansoft Win32.Sector.12 Wyleczony. ac2d.exe C:\Ansoftm2dsv9 Win32.Sector.12 Wyleczony. axial2d.exe C:\Ansoftm2dsv9 Win32.Sector.12 Wyleczony. cn2d.exe C:\Ansoftm2dsv9 Win32.Sector.12 Wyleczony. Odnośnik do komentarza
Rekomendowane odpowiedzi