Система Orphus

пятница, 13 ноября 2009 г.

Троян ворующий пароли "В Контакте" и "Одноклассники" (Trojan.Win32.Sasfis.tzv / Trojan.Siggen.18292)

Пару дней назад мне на стенке в контакте один из друзей оставил граффити с сообщением, что он взломал мой аккаунт, т.ж. там была ссылка на сайта vk-****.msk.ru. Ну да... Еще бы... :) Ему я сразу отписал, чтобы полечил себя да пароль сменил. Но вот ссылка меня все же заинтересовала, хотя я точно знал, что это троян (именно он меня и заинтересовал). Решил сходить по этой ссылке. В результате мне предложили скачать программу, которая якобы юзает недавно найденную уязвимость контакта и позволяет взломать любую учетку. В общем поржал немного и скачал эту дрянь :) Уж очень захотелось вспомнить студенческие года, когда изучал вирусы. Да и почитывая блог другана порой накаляет меня - это же как охота на дичь :)
В этом посте опишу этого троя, че делает, как работает, какую деструктивную активность проявляет, как лечить, а так же дам самописную программку для вычистки этой гадости с потрохами. А в конце приведу техническую информацию для IT'шников и исходники вышеупомянутой программки.

Краткое описание
Троянская программа mvk.exe не попадает на компьютер без ведома пользователя, как это бывает с другими. Пользователь сам скачивает и запускает его т.к. думает, что это другая программа (для взлома контакта). Простенькая социальная инженерия :)

Что творит в системе или деструктивная активность
После запуска файла mvk.exe он удаляется, после чего появляется окно, в котором предложено ввести ID юзера "В Контакте". Если ввести любой ID и нажать кнопку, то появляется сообщение, что не возможно получить данные, т.к. уязвимость контакта уже закрыли.
Т.ж. троян создает 3 файла во временной папке пользователя (%TMP%), один ярлык в папке автозагрузки, который запускает файл из %WinDir% (этот файл тоже трой делает) и 1 файл в %System%. Т.е. получается 6 файлов.
В добавок трой изменяет ключ запуска проводника в реестре. И файл hosts.

А теперь конкретнее... Файлы:
%WinDir%\activate.exe
%System%\loio.jho
%TMP%\2.tmp
%TMP%\3.tmp
%TMP%\4.tmp
%StartDir%\Quick Office.lnk

И реестр:
Ветка - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, параметр - Shell, его значение - Explorer.exe rundll32.exe loio.jho soalsv. А должно быть просто - Explorer.exe.

Как лечить
Загрузиться в безопасном режиме (жать F8 после включения компа). Открыть диспетчер задач (Ctrl+Alt+Del или Ctrl+Shift+Esc) и "убить" процесс "activate.exe", если таковой имеется. Потом удалить файлы C:\Windows\activate.exe и C:\Windows\System32\loio.jho, удалить ярлык из папки Автозагрузка (Пуск -> Программы -> Автозагрузка) и удалить все файлы из временной папки пользователя (обычно C:\Documents and Settings\ИМЯ_ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp). Открыть редактор реестра (Пуск -> Выполнить..., ввести regedit и нажать ОК), перейти в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, найти параметр Shell, дважды щелкнуть по нему мышкой и заменить его значение на "Explorer.exe" (без кавычек). Т.ж. нужно перейти в папку C:\Windows\System32\Drivers\etc\, открыть файл hosts в блокноте и удалить из него все строки за исключением "127.0.0.1 localhost".

Вы так же можете скачать мою программку для удаления этого вируса - anti_mvk.exe. После запуска anti_mvk.exe и нажатия кнопку "Лечить" исчезнет рабочий стол, а потом компьютер будет перезагружен, поэтому предварительно лучше закрыть все открытые программы для предотвращения утери не сохраненной информации.
ВАЖНО!!! Утила не сообщает есть ли троян или нет, а тупо пытается вычистить все, что может указывать на наличие трояна в системе, поэтому перезагрузка произдойдет не зависимо от того, есть ли троян или нет.



Краткая техническая информация для IT'шников
В этом разделе кратко опишу как я его анализировал. Может кому будет интересно. Размер файла 19456 байт. MD5-хэш - d5dbd34b12eb653d07ec17287fd3f26c. Судя по всему, написан на Delphi и упакован UPX'ом.
Как уже говорил, спам был в виде граффити на моей стенке в контакте, там была нарисована "ссылка" на vk-****.msk.ru. Если зайти на этот адрес, то происходил редирект на http://vk****-****.blogspot.com/ и уже в этом блоге предлагают скачать этот самый троян, под видом программы для взлома аккаунтов контакта и "включить защиту от взлома своей анкеты" (от последнего чуть под стол не свалился).
В анализе участвовали след. утилиты:
Autoruns - Позволяет определить, какие приложения запускаются автоматически при загрузке системы и выполнении входа в систему. Также показывает полный перечень путей в реестре и на диске, где может быть настроен автоматический запуск приложений.
Process Explorer - Отображает файлы, разделы реестра, библиотеки DLL и прочие объекты, открытые или загруженные различными процессами, а также другую информацию, включая владельца процесса.
AVZ4 - Очень хорошая утилита, помогающая исследовать систему (ВАЖНО!!! В кривых руках может загубить систему!!!).
VirtualBox - виртуальная машина, на ней я исследовал (запускал) вирус.

Для начала запустил Autoruns, подождал пока он отработает и сохранил список. Потом перешел к AVZ4. В нем задействовал функции "Исследование системы", "Резервное копирование" и "Ревизор". После чего запустил Process Explorer, чтобы можно было видеть какие дополнительные (под)процессы запускает троян. Положил на рабочий стол и запустил файл трояна, Process Explorer тут же был закрыт, поэтому я не смог увидеть то, что хотел. Файл трояна с рабочего стола исчез (удалился). Через пару секунд появилось окно трояна, о котором говорилось во втором разделе поста. Снова запустил Process Explorer и увидел от моего имени запущенные процессы svchost.exe и 4.tmp. Первый - родной процесс (файл) винды и запущен был из %System%. Зачем его запустил троян, не знаю, не разбирался. Второй это компонент трояна. Закрыл окно трояна.
Снова запустил Autoruns и AVZ4 и повторил те действия, которые делал до запуска трояна. После чего перезагрузился в безопасный режим и снова повторил эти действия. Далее скинул полученные файлы-отчеты себе на хоста машину (Linux Ubuntu 9.10 Desktop) и уже на ней произвел анализ этих логов (отчетов).
На основе анализа логов, т.е. их сравнении, выяснилось то, что было описано во втором разделе данного поста. Компоненты трояна анализировать не стал. Вот скрины с сайта VirusTotal, на которых видно, как и какие антивири идентифицируют троян и его компоненты (NOD32 меня просто убил своей реакцией на ярлык о_О ) на данный момент, если кому интересно:




Далее была написана не большая "антивирусная" утилита anti_mvk.exe, на AutoIT. Забрать можно тут - бинарники и исходники.





Информация с сайта http://angel2s2.blogspot.com/. Если Вы читаете информацию на другом сайте, пожалуйста свяжитесь с автором сайта http://angel2s2.blogspot.com/.

Похожие статьи

41 коммент.:

SGG комментирует... пятница, 13 ноября 2009 г., 21:35:00 GMT+2

молодец!) укатал NOD в бетон))

Angel 2S2 комментирует... суббота, 14 ноября 2009 г., 13:41:00 GMT+2

Честно сказать, даже не пытался; но, как известно, горькая правда лучше, чем сладкая ложь. Его я всегда уважал, даже советовал раньше коллегам и друзьям. Но этот случай меня просто убил. А в добавок подтвердил то, что в инете в последнее время говорят, что он значительно хуже стал. Больше никогда его ни где не поставлю! Тот же Avast! Home Edition щас на много лучше нода.

F@got@dmin комментирует... суббота, 14 ноября 2009 г., 18:09:00 GMT+2

Нормальная статья,думаю многим поможет.

Анонимный комментирует... воскресенье, 22 ноября 2009 г., 5:45:00 GMT+2

Хотел удалить в безопасном режиме loio.jho не нашёл, shell со значением explorer.exe в общем вроде бы всё в порядке, но с рабочего стола mvk.exe удалить не могу.

Angel 2S2 комментирует... воскресенье, 22 ноября 2009 г., 19:26:00 GMT+2

А как mvk.exe попал на рабочий стол? Видать из под другой учетной записи (скорее всего с правами администратора), а т.к. у вашей учетки нет прав админа, то вы его и не можете удалить. Либо нарушились права доступа к файлу, т.е. выставлен запрет на запись/удаление этого файла. Попробуйте загрузиться в безопасном режиме и войти под учеткой "Администратор", после чего удалить файл. Если не поможет, тогда в свойствах файла на закладке безопасность надо дать права на запись для этой учетки либо группы администраторы.

Параметр реестра shell имеет нормальное значение (explorer.exe) вероятнее всего из-за того, что вирус был запущен без прав администратора (обычный пользователь не имеет доступа на запись к этой ветке реестра, как правило).

Анонимный комментирует... вторник, 24 ноября 2009 г., 6:21:00 GMT+2

Хехе,мне в Контакте на тоже это написали.Естественно сразу понял,что тупой развод,но по ссылке ради интереса прошел.Скачал эту дрянь,предварителньо запустив каспер,каспер сразу завопил про троян в архиве,а я лишний раз убедился)))

Angel 2S2 комментирует... вторник, 24 ноября 2009 г., 10:38:00 GMT+2

Рад за вас, что все хорошо прошло.
Но на рабочей системе лучше так не делать, т.к. троян может быть и свежим, а антивирь его может и не знать. О последствиях, думаю, и так понятно ;)
Да, и еще, советую по левым ссылкам без дополнения для FireFox'а NoScript не ходить, т.к. сайт может использовать вредоносные яваскрипты. Я лично уже давно никуда не хожу без этого дополнения и юзаю только FF.

Анонимный комментирует... вторник, 1 декабря 2009 г., 12:51:00 GMT+2

Спасибо большое!!!! Люблю вас!!!!!!!!!!!

Angel 2S2 комментирует... вторник, 1 декабря 2009 г., 12:57:00 GMT+2

Не за что :)))

Можете так же, если хотите, почитать блог моего друга - http://antivirusfagot.blogspot.com/ - он как раз антивирусной безопасностью занимается.

ЗЫЖ не рЫкламКО

Анонимный комментирует... среда, 2 декабря 2009 г., 10:02:00 GMT+2

"Хотел удалить в безопасном режиме loio.jho не нашёл, shell со значением explorer.exe в общем вроде бы всё в порядке, но с рабочего стола mvk.exe удалить не могу." это моё было.
похоже меня спасло, что у меня учётная запись на русском языке, mkv команда написанна странными символами -рЄър\¦рсюўшщ ёЄюы\mvk.exe
а должно быть Хатка\Рабочий стол\mvk.exe
попал он ко мне, так как сам его скачал, антивирусом проверил(каспер KIS 2009) ничего, и сейчас проверяю, тоже всё нормально. вот не могу понять что к чему. Попробую удалить.

Angel 2S2 комментирует... среда, 2 декабря 2009 г., 14:32:00 GMT+2

Хм... Странно... У меня папка "Рабочий стол" тоже на русском была, когда исследовал эту заразу, и запускал с рабочего стола. Видать это из-за того, что кодовая страница кривоватая. У вас во всех программах нормально отображаются русские буквы? Если нет, тогда понятно становится.

Странно, что у вас каспер ничего не находим в этом файле. Может вы просто базы не обновили?
Может быть и так, что уже какой-то руткит сидит в системе и "парит мозг" касперу. Поэтому лучше попробуйте загрузить комп с какого-нибудь LiveCD и с него проверить систему. Можете взять каспера (http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/) или доктора (http://www.freedrweb.com/livecd/).

Анонимный комментирует... суббота, 5 декабря 2009 г., 2:59:00 GMT+2

СПАСИБО!!! но маil.ru почта не открываеться!! зато вконтакт входит!!! я вручную не нашел activate.exe и loio.jho я через программу вашу зделал подскожите че с мейлом делать??????????

Angel 2S2 комментирует... понедельник, 7 декабря 2009 г., 10:32:00 GMT+2

Эти 2 файла вы не нашли скорее всего потому, что работаете под ограниченной учетной записью, т.е. без прав администратора (у обычного пользователя нет прав на запись в системный каталог).

С почтой... Попробуйте воспользоваться системой восстановления пароля. Или вы имеете ввиду, что сайт вообщем не открывается? Тогда попробуйте проверить файл C:\Windows\System32\Drivers\etc\hosts, откройте его в блокноте и удалите из него все строки за исключением "127.0.0.1 localhost". Еще проверьте систему с помощью антивирусных утилит AVPTool и/или Dr.Web CureIT (они бесплатные).

Анонимный комментирует... четверг, 10 декабря 2009 г., 17:19:00 GMT+2

Привет. Я тож скачал ради интереса прогу, после установки сразу удалилось...

Через некоторое время Авира выписала что нашла какой то троян loio.
Я сразу пошел по адресу
Мой комп/диск С/Windows/loio (или как то так:), нашел эту прогу, почухал затылок, думаю, удалять или не удалять, махнул рукой и удалил...
Что делать теперь. Пишет при запуске компа что файл loio не найден. И еще одно. После того как я удалил этого трояна звук стал плохо работать(не знаю, может дело не в этом).


Помоги плиз...

Angel 2S2 комментирует... четверг, 10 декабря 2009 г., 18:07:00 GMT+2

Цитата из этого поста:
Ветка - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, параметр - Shell, его значение - Explorer.exe rundll32.exe loio.jho soalsv. А должно быть просто - Explorer.exe.

Т.е. попробуйте в этой ветке проверить.


А на счет звука сказать не могу ничего... Хотя... Попробуйте переустановить драйвера.

Да, и еще... Запустите мою утилитку, возможно у вас следы остались от этого троя, эта утилитка их подчистит.

Анонимный комментирует... четверг, 10 декабря 2009 г., 18:24:00 GMT+2

Спасибо за совет.

Анонимный комментирует... суббота, 12 декабря 2009 г., 16:36:00 GMT+2

Цитата:
Как лечить
Загрузиться в безопасном режиме (жать F8 после включения компа). Удалить файлы C:\Windows\activate.exe и C:\Windows\System32\loio.jho, удалить ярлык из папки Автозагрузка (Пуск -> Программы -> Автозагрузка) и удалить все файлы из временной папки пользователя (обычно C:\Documents and Settings\ИМЯ_ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp). Открыть редактор реестра (Пуск -> Выполнить..., ввести regedit и нажать ОК), перейти в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, найти параметр Shell, дважды щелкнуть по нему мышкой и заменить его значение на "Explorer.exe" (без кавычек). Т.ж. нужно перейти в папку C:\Windows\System32\Drivers\etc\, открыть файл hosts в блокноте и удалить из него все строки за исключением "127.0.0.1 localhost".


Все это делать обязательно по порядку??? :)

Angel 2S2 комментирует... суббота, 12 декабря 2009 г., 17:15:00 GMT+2

Я вот только забыл упомянуть, что надо проверить не запущен ли процесс activate.exe, и если запущен убить его. Пофиксил.
Да, лучше делать именно в этом порядке, т.к. если вирус будет запущен, а ты вначале реестр почистишь, то вирус может успеть (и скорее всего успеет) создать снова нужную ему запись, а потом при загрузке могут сыпаться ошибки, что не удается найти тот или иной файл.

А лучше воспользуйся утилитой, которая в этом посте выложена, она сама все сделает. А во временной папке ты сможешь найти отчет о ее работе после ребута компа.

Анонимный комментирует... суббота, 12 декабря 2009 г., 23:03:00 GMT+2

Огромное спасибо,очень благодарен тебе!
P.S Ты на кого и где учился?

Angel 2S2 комментирует... суббота, 12 декабря 2009 г., 23:32:00 GMT+2

:) Не за что, рад что помогло.

По большей мере я самоучка. Хотя закончил Калининградский Технический Колледж по специальности 2204: "Техническое обслуживание средств вычислительной техники и компьютерных сетей". Особенно понравилось то, что очень детально изучали сети, вплоть до бита в сетевых пакетах.
На вышку пока не ходил, время жалко на нее, да и не даст она мне знаний. Хотя ради корочки надо бы :)

Анонимный комментирует... суббота, 12 декабря 2009 г., 23:36:00 GMT+2

Angel 2S2 если не сложно,можешь посоветовать какие нибудь сайты где ты например само обучался...
А то у меня также специальность,а нового я толом не узнал из колледжа.

Анонимный комментирует... суббота, 12 декабря 2009 г., 23:39:00 GMT+2

P.S Пока не закончил колледж хоть с чем-то уйти могу,а то не посебе как-то)

Angel 2S2 комментирует... суббота, 12 декабря 2009 г., 23:46:00 GMT+2

Где учишься? Где живешь (город)?

Можешь попробовать для начала - Интернет-Университет Информационных Технологий!, там много полезного. Выбираешь курс и читаешь лекции. Есть как платные так и бесплатные. А потом уже и к блогам не заметно для себя перейдешь. Лично я как раз многому по ним учился. То что я читаю можешь посмотреть у меня в колонке справа - "Я читаю...", там только по ИТ.

Анонимный комментирует... воскресенье, 13 декабря 2009 г., 0:08:00 GMT+2

Учусь на 3 курсе в колледже МКУ и НТ, пока что нечего полезного(в плане Системного администратора и т.д) не узнал.
Вот боюсь уйти так нечего нового не узнав,вот хочу взяться за ум пока не поздно (.
Ты можешь объяснить что из себя представляет "Интернет-Университет Информационных Технологий!",я там запишусь и мне скажут дату когда придти,или что?

Анонимный комментирует... воскресенье, 13 декабря 2009 г., 0:15:00 GMT+2

P.S Сказать честно до этого кроме обучение в колледже мало что смотрел в интернете в плане специальности,вот думаю лучше буду пытаться само обучится чем работать в к каком-то ашане...

Angel 2S2 комментирует... воскресенье, 13 декабря 2009 г., 1:19:00 GMT+2

Нам тоже до 3 курса ничего по специальности не рассказывали. Только на третьем курсе стали сети изучать, а на 4-м появилась специализация, при том был выбор на техника или админа. Я выбрал второе. Изучали линукс и дополнительные подробности по сетям.
Самообразование оно должно быть в обязательном порядке. В ИТ сфере все очень быстро развивается, поэтому надо много читать и постоянно следить за новостями.

На счет того инет-универа... Ты зайди, зарегайся там. А дальше сам поймешь. Не надо там никуда записываться. Там есть хорошее "описание" (или как это назвать), прочитав его, ты все поймешь :)

Анонимный комментирует... воскресенье, 13 декабря 2009 г., 1:50:00 GMT+2

Спасибо за консультацию xD.Мне есть над чем подумать)

Виктор комментирует... среда, 7 апреля 2010 г., 0:02:00 GMT+3

неплохо так выгоды срубили создатели трояна...

Анонимный комментирует... среда, 5 мая 2010 г., 18:15:00 GMT+3

Админ, большое спасибо за прогу anti_mvk.exe она реал работает)) Я все виды фнтивирусов перепробывал, не один не находит!! так что это прога совершенство))) Спасибо большое!! Советую всем)))

Angel 2S2 комментирует... среда, 5 мая 2010 г., 23:28:00 GMT+3

Не за что :)) Рад, что помогло :)

Анонимный комментирует... суббота, 4 сентября 2010 г., 10:08:00 GMT+3

Спасибо за программу...у меня тоже был этот вирус и эффект от него был такой что при попытки запуска любого поисковика автоматом перекидывало на страницу в контакте

Angel2S2 комментирует... суббота, 4 сентября 2010 г., 10:31:00 GMT+3

Хм... У меня такого при тесте (изучении) не было. Может у вас еще какой-то был? У моей сестры был вирь, который тоже самое делал, но там обошлось банальной чисткой C:\Windows\System32\Drivers\etc\hosts, т.е. вирь в системе не сидел, а только правил этот файл и удалялся.

Анонимный комментирует... четверг, 11 ноября 2010 г., 18:31:00 GMT+2

а как написать прогу эту?

Angel2S2 комментирует... четверг, 11 ноября 2010 г., 18:49:00 GMT+2

anti_mvk? Берете доки по AutoIT и читаете и изучаете (чтобы понять синтаксис языка). Потом можете взять исходники anti_mvk и изучить их. Если же в программировании не разбираетесь, то вначале надо научиться вообщем понимать кодинг и основные принципы и правила.

Или вы имели ввиду троян? Тогда вы ошиблись адресом.

invasor комментирует... пятница, 9 сентября 2011 г., 0:52:00 GMT+3

Чот искала вир какой-то и наткнулась на статейку. Молодца. Я с этой бякой столкнулась на работе, когда девушки активно клацали все подряд вконтакте и по сетке всякое гэ расползалось очень быстро. Ну, я тогда решила выпендриться своими неглубокими познаниями в защите инфы и как раз на мвк наткнулась на рабочем столе )) А компов... гыгы... штук 10 было. И подруга всем разослала это файло. Оно с рабочего не удалялось. Короче убила времени на чистку машин и сервака немеряно. Кто ж тогда знал, что есть умные люди, уже написавшие чистилку )))

Angel2S2 комментирует... пятница, 9 сентября 2011 г., 9:38:00 GMT+3

Спасибо, очень приятно :)

Анонимный комментирует... четверг, 19 апреля 2012 г., 15:31:00 GMT+3

Я ХОЧУ ЭТУ ПРОГРАММУ....

Подарите мне ее плиз....

Мой майл _ neizvestnaya.victoria@yandex.ru

ЗАРАНЕЕ БЛАГОДАРЮ

Анонимный комментирует... четверг, 19 апреля 2012 г., 15:36:00 GMT+3

Доброго Вам времени Суток!

Я Благодарен(a) иногда очень Bам, за благое-благие ваши дела.

Пожалуйста подарите мне несколько программ для взлома банковских лицевых счетов, паролей и т.д...

Заранее Вас БЛАГОДАРЮ !!!

P.S Мой E-Mail _ neizvestnaya.victoria@yandex.ru

Unknown комментирует... понедельник, 25 апреля 2016 г., 9:52:00 GMT+2

а как вам suoerantispawer?

Отправить комментарий