Снятие Winlock (снятие банера вручную)(+ MBR) (2011, + 2012)

базовая настройка Ос Windows XP Prof, эффективные приемы работы, проблемы, подавление вирусни & etc.

Модераторы: МураХа, :NJ:

Снятие Winlock (снятие банера вручную)(+ MBR) (2011, + 2012)

Сообщение :NJ: » Ср май 30, 2012 8:47 pm

До последнего момента, все WinLock-подобные malware довольно просто прибивались с любого
лайф CD. Достаточно было на неактивной системе пробежаться беглым взглядом по временным папкам, интернет кэшу браузеров, заглянуть в реестр зараженной системы и все становилось очевидным. Обычно все зловреды подменяли оболочку по умолчанию, т.е. Shell = "explorer.exe" на
что-то типа:
Shell = "C:\Documents and Settings\All Users\Application Data\22CC6C32.exe" (1)

( по пути в реестре HKLM\\SOFTWARE\\Microsoft\\Windows NT\\Winlogon\\)

Последний образец попавшейся дряни был чуть по проворнее.
Давайте разберемся, как его вылечить самостоятельно, вручную.
Загружаемся с любой доступной WinPE, и т.д.(подойдет и *nix, если есть Wine, чтобы запустить редактор реестра )
Смотрим в профайл зараженного пользователя или во все профайлы, если был заражен пользователь с административными правами. Найденные подозрительные файлы удалять пока нельзя, так как они нам понадобятся для поиска их копий в системных папках и для выписывания их из реестра.
Вот, что я нашел подозрительного.

F:\Documents and Settings\Admin\Local Settings\Temp\wpbt0.dll

F:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\ZXU2J4SS\ contacts[1].exe

F:\Documents and Settings\All Users\Application Data\22CC6C32.exe
Переименовываем эти файлики в что-то такое, например:
22CC6C32.exe -> 22CC6C32.exe.vir
Теперь загрузим куст реестра из зараженной винды.
[regedit pic]
Запускаем regedt32.exe(regedit.exe).
[regedit pic1]
Устанавливаем текущую позицию на HKEY_LOCAL_MACHINE (в этот раздел будем загружать куст ).
Идем в
Файл -> Загрузить куст (открывается диалог для выбора файла куста),
[regedit pic2]
в нем нам надо перейти по пути F:\Windows\system32\config\ (F: - у меня буква системного диска, так как мы грузимся с Win live-cd, то буква будет диска будет отлична от С: )
В этой папочке должны лежать такие файлы:
AppEvent.Evt (файл журнала событий "Система" )
default
default.sav
EventForwarding-Operational.Evt (в зависимости от конфигурации винды, может и не быть )
Internet.evt - файл журнала
SAM - куст реестра отвечающий за ключи
SecEvent.Evt - файл журнала "Безопасность".
SECURITY
software - куст реестра
software.sav
SysEvent.Evt
system
system.sav
systemprofile <папка>
userdiff
Windows.evt
WindowsPowerShell.evt (наличие файла, )
Выбираем файл "software" в ответ получаем окошко с заголовком "Загрузка куста реестра" и

пустым полем диалога "Имя раздела":. Сюда мы вводим, как наш подраздел будет называться,

к примеру: "SOFT", "SOFTWARE_", "Test"(без кавычек). Все что позволяет винда вообще, кроме названия тех подразделов, которые уже имеются в HKEY_LOCAL_HACHINE.

Вот, теперь в разделах ветвей реестра появилась ветвь "SOFT".

Откроем ее и видим знакомую ветвь реестра с зараженной машины, которая обычно находиться тут: HKEY_LOCAL_HACHINE\\SOFTWARE\\



Теперь остается задать поиск, параметром которого является имя исполняемого файла, искомого нами (к примеру - 22CC6C32.exe ).

Вот он-то у нас вместо оболочки-то и прописался (как написано в (1)).

Правим параметр и обязательно выгружаем куст, если перезагрузиться, не сделав этого, то можно

получить проблемы.

Перезагружаемся под активную винду и что видим?

Все тот же банер.

Что-то пошло не так.

Идем по сложному пути, подключаем винт к другому рабочему компу и прогоняем его последним, только что скачанным Cureit-ом

от доктора веба. Анализируем, чего нашел "курилка".

Так он нашел все копии, которые и мы нашли во временных папках и в профайле пользователя. Ага, вот что-то новенькое он указал, что зловредом замещен один из системных файлов, а именно:

C:\Windows\system32\userinit.exe

и его копия в C:\WINDOWS\system32\dllcache\userinit.exe, которой, кстати, там не должно быть (в чистой винде этот файл почему-то не содержится в кэше, видимо MS считает, что восстановление (в случае повреждения) этого файла не нужно, а нужно с установочного компакта восстановит винду при помощи полной замены всех компонентов ОС). Исполняемый модуль userinit.exe, как понятно из названия, служит для инициализации профайла пользователя, и вызывается процессом Winlogon.exe, после того как пользователь проходит проверку при помощи модуля идентификации msgina.dll (изначально предполагалось, что можно использовать модуль идентификации от стороннего производителя, но это так и не было использовано, хотя, может я не осведомлен в полной степени, но альтернатив нет). Вообще, стоило обратить внимание, о чем я забыл вспомнить, что увидел в ветви автозагрузки винды странную запись, вызывающую все тот же userinit.exe.

Размер Зловреда 170 021 байт

Размер Оригинального 26 624 байт (версия 5.1.2600.5512) из SP3, не знаю менялся ли он от SP2 ?

Вывод из сложившейся ситуации - идем в винду донор SP3 и копируем файлик. И восстанавливаем на зараженной винде.

Запускаем, предварительно найдя по размеру в AVZ все копии вируса (после последней загрузки на зараженной винде, если Вы не лечились "куритом" прийдеццо поубивать опять копии вирусов по тем же местам, ложный "юзеринит" их наплодил ) и удаляем их. сумбурное изложение, но тактика надеюсь ясна: найти, выследить, уничтожить.

Загружаемся и вуаля - все готово.

Теперь о причинах, большинство случаев возникновения связаны с багом в "огненном лисе", эксплоит на который недавно выложили в паблик. Для профилактики необходимо либо удалить, либо обновить лисичку, благо разрабы довольно быстро выпустили релиз.

Еще можно перестраховаться и заблокировать выполнение программ из папок для временных файлов при помощи GPO (объектов групповой политики), как написано тут.

Вот и все.
ЗЫ: материал был заточен в 2011 году, счя есть более продвинутая версия, в ближайшее время опишу методы избавления.

(UPD)27-06-2012
НОВАЯ версия замечательного WinLock-вымогателя намного более веселая, чем предыдущие. Встретилась впервые на наших просторах в начале 2012 года, но была заточена под пользователей из России. Позже через несколько месяцев начали появляться и версии для Украины.
Принцип с технической стороны совсем не новый. Программа запускаясь под вин переписывает, модифицирует MBR загрузочного диска и выполняет перезагрузку. После чего при загрузке с зараженного винчестера вместо винды мы видим предупреждение о каких-то неправомерных действиях, требование оплатить какую-то сумму тем или иным способом и запрос на ввод пароля для разблокировки. При правильном вводе вирь прописывает статический переход (jmp to addr) на перемещенную копию исходного MBR-кода винды и при следующей загрузке мы уже не наблюдаем скрин вымогателя, спасибо VAZONEZ-у за написание билдера, хоть что-то интересное попалось =).
(это в последней версии вирусни, но в предыдущих версиях, либо на определенных матерях/биосах , вирь не сохранял перехода и каждый раз при загрузке компа приходилось вводить пароль разблокировки заново).
Все было бы хорошо , если б не было кидалова. Заплатил "налог на глупость" и получил код разблокировки и живи дальше спокойно. Но зачастую с другой стороны, тобишь, от хакера, не поступает ответа с паролем. А фишка о том, что код будет написан на фискальном чеке платежного терминала - это сущий бред.(На фискальных чеках не пишут всякую ерунду )
Существует несколько способов вылечить такую весчь.
Первый - отнести в сервис, там айтишники профиксят.
Второй - попробовать восстановить код оригинального загрузчика с установочного диска винды
(команда в консоле восстановления FIXBOOT, затем FIXMBR), (ВНИМАНИЕ!) после обязательно загрузиться с лайв сд и удалить "прошивальщик" зловреда (%userprofile%\Local Settings\Temp\sys3.exe), иначе при следующей перезагрузке винда опять запустит "прошивальщик", который снова восстановить вирус в MBR.
Третий - самый правильный )). При наличии второй рабочей виндовс машины запустить хекс-редактор и профиксять MBR ручками.
Я буду использовать редактор Win Hex, взять его можно тут exelab.ru
После установки редактора и подключения винчестера можно приступать.
Открываем WinHEX , затем нажимаем клавишу " F9 " - откроется окно выбора диска, для редактирования. Будьте внимательны ! Неправильные действия могут стоить Вам потери ваших данных !!!
Выбираем правильный диск из подгруппы "Physical Media", так как нам нужен физический доступ к началу диска, а оно находиться в области до разделов, и соответственно недоступно из логических носителей (Пункт - "Logical Media").
так вот открылось окно редактирования диска
[Картинка 1]
Нам необходимо для манипуляций основное окно, в котором будут поля " Offset " и " 0 1 2 3 4 5 6 7 8 9 A B C D E F "
[Картинка 2]
Тут можно прочитать тем, кто хочет понимать. link2
немного Теории
[продолжение следует ...]
mosk loaded, but checksum wrong...(c)
Аватара пользователя
:NJ:
 
Сообщения: 15
Зарегистрирован: Пт сен 25, 2009 12:52 pm
Откуда: Краматорск, Донецкая обл., Украина

Вернуться в Конфигурация Windows

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1