Backdoor Win32/Caphaw.I

[safety]

погонял invoice**********.pdf.exe на виртуалке, который в последнее время атакует в Skype пользователей через сообщения от зараженных контактеров... установщика бэкдора Win32/Caphaw.I.

результаты такие:

в нормальном режиме uVS и AVZ не увидели в образе файлик в автозапуске.
но
uVS увидел при включенном антисплайсинге, что

(!) Обнаружен сплайсинг: NtQueryDirectoryFile

без сплайсинга в логи попало лишь сообщение о доп. потоках, внедренных в uVS

Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам

AVZ не увидел так же ничего в автозапуске
но
есть в логах сообщение о перехвате функций API

Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.PushAndRet

порадовал ESETSysinspector, который в нормальном режиме показал и файл трояна, и ключ в автозапуске

"MnX8Dv2tSsBvjshflKUim4AByqc=" = "C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe" ( 9: Risky ) ; AX_LOCKFEJaz ; ;
"SHA1" = "D9918C592E5B84A00D204D1E85DBFAE27340DC3A" ( 9: Risky ) ;
"Last Write Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"Creation Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"File Size" = "393216" ( 9: Risky ) ;
"File Description" = "AX_LOCKFEJaz" ( 9: Risky ) ;
"Company Name" = "" ( 9: Risky ) ;
"File Version" = "21, 7, 2, 1" ( 9: Risky ) ;
"Product Name" = "" ( 9: Risky ) ;
"Internal Name" = "1a9e-35z" ( 9: Risky ) ;
"Linked to" = "Important Registry Entries -> Standard Autostart -> HKU\S-1-5-21-1645522239-854245398-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe"

в безопасном режиме файл был обнаружен в uVS

Полное имя C:\DOCUMENTS AND SETTINGS\user\APPLICATION DATA\MICROSOFT\CRYPTNETURLCACHE\WINFXDOCOBJ.EXE
Имя файла WINFXDOCOBJ.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2013-11-01 [2013-10-29 08:13:49 UTC ( 4 days, 8 hours ago )]
Symantec Trojan.Shylock
Avast Win32:Trojan-gen
Kaspersky Trojan.Win32.Agent.acolm
BitDefender Trojan.GenericKDV.1367635
DrWeb BackDoor.Caphaw.2
AntiVir TR/CeeInject.A.38
Microsoft Backdoor:Win32/Caphaw.A
ESET-NOD32 Win32.Caphaw.I

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 6284BF8A61000
Linker 6.0
Размер 393216 байт
Создан 08.03.2009 в 04:34:48
Изменен 08.03.2009 в 04:34:48
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Оригинальное имя upackfize
Описание AX_LOCKFEJaz
Copyright Copyright 12.13

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 D9918C592E5B84A00D204D1E85DBFAE27340DC3A
MD5 E6D741E42B80443FD8150EF5B5A525BD

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run \MnX8Dv2tSsBvjshflKUim4AByqc=
MnX8Dv2tSsBvjshflKUim4AByqc=C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe

и в AVZ

C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, MnX8Dv2tSsBvjshflKUim4AByqc=

(с), chklst.ru

 

[Николай_С]

Так ведь вирусы тоже умные пошли - умеют маскироваться от антивирусов. Есть еще и такие, которые в SafeMode не обнаруживаются. Приходится их вынимать с диска, подключив его к чистому компу.

 

[safety]

это если уже добавлены сигнатуры в базы для этого файлика, а с учетом того, что установщики по нескольку раз в день перевыпускаются, то просто сканирование зараженной системы с чистого компьютера может не дать результат. в uVS реализован метод поиска скрытых объектов по файлу сверки. Т.е. из активной (зараженной) системы создается файл сверки, затем с чистой системы выполняется поиск отклонений по файлу сверки, с учетом того, что в пассивной зараженной системе нет уже маскировки.