1

Тема: Попытки несанкционированной отправки информации о конфигурации ПК

Добрый день, коллеги!
В ходе мониторинга интернет-трафика была выявлена попытка несанкционированной передачи информации о конфигурации ПК на внешние ресурсы в сети Интернет: bloombergloop.biz, mrfranklin.us, mrwashington.eu, uorenbuffets.com и wizardtesla.com. Все указанные ресурсы зарегистрированы менее чем 3 месяца назад.
Во всех выявленных случаях информация направлялась в архиве с именем "1.zip", содержащим два текстовых файла «ProcList.txt»(список выполняемых процессов на ПК) и «Programs.txt»(список ярлыков в папке «%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs» и список файлов Рабочего стола).
Попытка отправки была осуществлена единожды, затем зараженные ПК стали производить попытки обращения к указанным сайтам каждые 9 минут.
Антивирусная проверка зараженных компьютеров штатным антивирусом результатов не дала. Провели проверку утилитами Kaspersky Virus Removal Tool, Dr.Web CureIt!, ESET Online Scanner и Malwarebytes, все чисто.
Проведя детальный мониторинг трафика и процессов на зараженных ПК, удалось выяснить последовательность действий. Сначала по протоколу MIME создается почтовое сообщение, далее по протоколу HTTP созданное сообщение передается на указанные внешние ресурсы.
Процесс-инициатор отследить netstat`ом не удалось, т.к. это протоколы MIME и HTTP. Поставили бесплатный файервол Комодо и запретили ему что-либо делать без разрешения, однако сообщения все-равно проходят. Предположу, что инициатором является системный процесс.
Локально решили проблему форматированием и полной переустановкой, тем не менее прецедент считаю любопытным.

2

Re: Попытки несанкционированной отправки информации о конфигурации ПК

Антон, хотелось бы больше подробностей.
Версия ОС, на которой сие происходило, ставили ли какой либо новый софт на зараженных ПК в последнее время?
С форматированием вы погорячились конечно.
Надо было все же машину от сети отключить и оставить пока.
Нужно же разобраться что это.
Могу порекомендовать программу AnVir Task Manager http://www.anvir.net/ для анализа деятельности живущих на ПК программ.

3 (2014-08-18 16:18:36 отредактировано Kriger Anton)

Re: Попытки несанкционированной отправки информации о конфигурации ПК

skol13, перед форматированием был сделан образ диска. Версия ОС на всех ПК Windows 7 Проф, новый софт не устанавливался.
Как только появится время, продолжу поиск причины. Если докопаюсь до истины - сообщу.
За рекомендацию спасибо, ознакомлюсь с продуктом.

4

Re: Попытки несанкционированной отправки информации о конфигурации ПК

to Kriger Anton
Если возможно, то хотелось бы получить образ диска для отправки в рамках договоренностей антивирусным вендорам.
Быстрого лечения и заплаток не обещаю, но это позволит найти зловред.
Порядок передачи можем обсудить в личке.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

5

Re: Попытки несанкционированной отправки информации о конфигурации ПК

to Dmitry Leviev
Хорошо. В ближайшее время обговорю с руководством возможность передачи образа диска антивирусным вендорам. В случае согласия, свяжусь с Вами.
Самому интересно выловить вредоноса.

6 (2014-09-17 15:51:40 отредактировано Kriger Anton)

Re: Попытки несанкционированной отправки информации о конфигурации ПК

Переношу из песочницы:

Igor пишет:

В отношении темы http://forum.npsib.org/viewtopic.php?id=669. Прав там писать нету, надеюсь перенесут туда. По существу:


Недавно тоже столкнулся, что с одного компютера пытается подключиться к сайту http_://wizardtesla.com/26562/cix12.php каждый раз, как пользователь входить в систему. Не при загрузке компьютера, а именно при входе и именно при входе этого пользователя. Пробовал под своим, с правами админа. Ни каких действий. В ходе анализа автозагрузки с попощью набора утилит SysInternals (конкретно autoruns) нашел подозрительный файл



Запись в реестре - HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Расположение файлов - C:\Users\UserName\AppData\Roaming\Microsoft Corporation - (данная папка отсутствует на других АРМах предприятия, видимо это попытка маскировки зловреда).


в папке было 2 файла: disusEnu.rpr и KBDUGHR.fld

Если подлючаться по другой учетной записью, то "autoruns" показывает, что процесс не смог загрузиться, т.к. отсутствует файл disusEnu.rpr в папке C:\Users\UserAdmin\AppData\Roaming\Microsoft Corporation

Когда я перенес файл disusEnu.rpr на другой диск (с удалением с Диска С), при входе в системы выскочило сообщение, что не найден файл disusEnu.rpr  для запуска. И, соответственно, никаких попыток подключения к wizardtesla. Далее не разбирался, может кому интересно будет. Выслать файлы пока не могу, сначала отправлю на анализ в головную организацию. Если, что еще будет новое, сообщу.

В то же время, хотелось бы узнать чем и как Kriger Anton анализировал поведение подключения в wizardtesla.com. С помощью, чего и как удалось определить, что информация направлялась в архиве с именем "1.zip", содержащим два текстовых файла «ProcList.txt»(список выполняемых процессов на ПК) и «Programs.txt»(список ярлыков в папке «%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs» и список файлов Рабочего стола). Не скрою, что для того чтобы воспользоваться этими наработками в своих целях. Блеснуть, так сказать, перед начальством.

P.s.
После написания текста выше обнаружил любопытный момент в логе сканирования TDSSKiller.exe

16:43:35.0293 0x05b0  [ 51138BEEA3E2C21EC44D0932C71762A8, 5AD3C37E6F2B9DB3EE8B5AEEDC474645DE90C66E3D95F8620C48102F1EBA4124 ] C:\Windows\SysWOW64\Rundll32.exe
16:43:35.0293 0x05b0  NvCplWow64 - ok
16:43:35.0324 0x05b0  [ DCCA4B04AF87E52EF9EAA2190E06CBAC, 8858CFD159BB32AE9FCCA1A79EA83C876D481A286E914071D48F42FCA5B343D8 ] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe
16:43:35.0340 0x05b0  Sidebar - ok

NvCPLWow64 -  это именно тот процесс, который не смог загрузиться, после удаления файла disusEnu.rpr по показаниями "autoruns"

Думаю надо еще поглядеть на это файл внимательней - C:\Windows\SysWOW64\Rundll32.exe

P.p.s.
Поковырялся в реестре, вот еще что было
NvCPLWow64           %SystemRoot%\SysWOW64\Rundll32.exe "%AppData%\Microsoft Corporation\disusEnu.rpr",Control_RunDLL
видимо так вот и запускался. Извините, что не много сумбурно изложено, делаю в промежутках между другой работой.

7 (2014-09-19 16:08:30 отредактировано Kriger Anton)

Re: Попытки несанкционированной отправки информации о конфигурации ПК

Что получилось у нас:

В ходе проведения проверки были собраны следующие данные:
1. На всех АРМ до момента первого обращения были зафиксированы исполнения EXE-файла маскирующегося под файл обновления операционной системы «C:\PROGRAMDATA\KBххххххх-X86\WINDOWS6.1-KBххххххх-X86.EXE», где ххххххх – произвольное число, соответствующее шаблону выпускаемых обновлений, однако описание данных обновлений отсутствует в списке бюллетеней безопасности компании Microsoft.
На всех АРМ остался вышеописанный каталог без EXE-файла. Средствами восстановления восстановить EXE-файл не удалось.
На трех АРМ средствами поиска операционной системы были обнаружены файлы «C:\WINDOWS\PREFETCH\WINDOWS6.1-KBххххххх-X86.EXE-уууууууу.pf», где уууууууу – шестнадцатеричный хеш пути к исполняемому файлу. Prefetcher — компонент операционной системы Microsoft Windows, ускоряющий процесс её начальной загрузки, а также сокращающий время запуска программ.
Антивирусная проверка исполняемых файлов файлом «WINDOWS6.1-KBххххххх-X86.EXE-уууууууу.pf» онлайн-сканером вирусов, вредоносных программ и ссылок (https://www.virustotal.com/), включающего в себя 42 антивирусных ядра, не выявила вредоносного программного обеспечения. Декомпиляция исполняемых файлов не проводилась.
Удаление файла «WINDOWS6.1-KBххххххх-X86.EXE-уууууууу.pf» и всех его следов на АРМ, в том числе в регистре, не сказалось на аномальной сетевой активности.
2. Восстановление данных проводилось на двух АРМ. Восстановленные данные по характеру и содержимому не относились к вредоносному программному обеспечению. Онлайн-сканер не выявил в восстановленных файлах вредоносного программного обеспечения.
3. Средства мониторинга сетевой активности показали, что аномальная сетевая активность исходит либо от неустановленного процесса, либо от explorer.exe.
Анализ модулей процесса explorer.exe не выявил аномалий. Декомпиляция модулей не проводилась.
Первоначально происходит формирование почтового сообщения по протоколу MIME, после чего происходит попытка обращения по протоколу HTTP к ресурсу Интернет «http://wizardtesla.com/26562/cix12.php». Периоды обращения варьируются от 5 до 12 минут.
Аномальная сетевая активность зафиксирована и воссоздана на оригинальном физическом жестком диске с правами пользователя, у которого обнаружено заражение. Воссоздать работу вредоносного программного обеспечения с клонированного физического диска «точь в точь», виртуальных машин с правами пользователя, локального администратора, других пользователей не удалось. Также не удалось воссоздать работу вредоносного программного обеспечения с правами локального администратора и других пользователей на оригинальном жестком диске.
Таким образом, было установлено, что вредоносное программное обеспечение работает на оригинальном жестком диске с правами пользователя, в сеансе которого зафиксированы аномалии.
4. Антивирусная проверка с актуальными на момент проведения проверки антивирусными базами, проводившаяся с отчуждаемых носителей и из операционной системы в безопасном режиме, не выявила вредоносного программного обеспечения.
5. Средствами мониторинга активности пользователей (LastActivityView) удалось выяснить следующее:
- после установки выше указанного нелегитимного обновления операционной системы проводилась перезагрузка операционной системы без разрешения пользователя, о чем свидетельствуют данные журналов и показания пользователей;
- использование неустановленных съемных носителей в окрестности заражения не зафиксировано. Носители информации, используемые в данный период, не содержат следов и признаков вредоносного программного обеспечения;
- при использовании ресурсов сети интернет не зафиксировано посещение запрещенных или потенциально опасных ресурсов. Запрашиваемые ресурсы интернет, используемые в период заражения, характерны для большинства работников;
- в регистр операционной системы в период заражения не было внесено дополнительных параметров и значений;
- последние запускаемые файлы и открываемые каталоги, в том числе сетевые, носят рабочий, каждодневный характер;
- кэш и куки браузера содержат данные, характерные для посещенных ресурсов сети интернет. Аномальных файлов не выявлено;
- анализ заданий планировщика задач Task Scheduler не содержит аномалий. Декомпиляция файлов заданий не проводилась.
Выводы:
В ходе проведенных мероприятий, направленных на выявление и устранение вредоносного программного обеспечения, не удалось найти путь(и) проникновения вредоносного программного обеспечения на АРМ.
Исполняемые файл вируса, а также его компоненты выявить не удалось.
С 01.09.2014 по настоящее время новых заражений не зафиксировано. Возможно, косвенной причиной этого является замена паролей локальных администраторов на всех без исключения АРМ.

8 (2014-09-17 14:54:08 отредактировано Igor)

Re: Попытки несанкционированной отправки информации о конфигурации ПК

В дополнение к своему сообщению, вот что было в реестре в указанной мной ветке, думаю будет полезно тем кто еще столкнется

NvCPLWow64           %SystemRoot%\SysWOW64\Rundll32.exe "%AppData%\Microsoft Corporation\disusEnu.rpr",Control_RunDLL

Экспортируется вот в таком виде

"NvCplWow64"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,57,00,4f,00,57,00,36,00,34,00,5c,00,\
  52,00,75,00,6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,\
  00,22,00,25,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,25,00,5c,00,4d,00,\
  69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,20,00,43,00,6f,00,72,00,70,\
  00,6f,00,72,00,61,00,74,00,69,00,6f,00,6e,00,5c,00,64,00,69,00,73,00,75,00,\
  73,00,45,00,6e,00,75,00,2e,00,72,00,70,00,72,00,22,00,2c,00,43,00,6f,00,6e,\
  00,74,00,72,00,6f,00,6c,00,5f,00,52,00,75,00,6e,00,44,00,4c,00,4c,00,00,00


To: Kriger Anton

Спасибо большое smile

9 (2014-09-17 15:56:08 отредактировано Kriger Anton)

Re: Попытки несанкционированной отправки информации о конфигурации ПК

Посмотрели автозагрузку на предмет наличия
Запись в реестре - HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Вот что у нас было:
C:\Program Files\Windows Sidebar\Sidebar.exe    Активен    Ключ реестра    HKEY_USERS, S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run, Sidebar
C:\Program Files\Windows Sidebar\Sidebar.exe    Активен    Ключ реестра    HKEY_USERS, S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run, Sidebar
C:\Program Files\triCerat\Simplify Printing\ScrewDrivers Client v4\install_rdp.exe    Активен    Ключ реестра    HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, ScrewDrivers RDP Plugin
C:\Windows\system32\hkcmd.exe    Активен    Ключ реестра    HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, HotKeysCmds
C:\Windows\system32\igfxpers.exe    Активен    Ключ реестра    HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Persistence
C:\Windows\system32\igfxtray.exe    Активен    Ключ реестра    HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, IgfxTray

Вероятно технология немного отличается.

10

Re: Попытки несанкционированной отправки информации о конфигурации ПК

Очень хотелось бы определить источник заражения.

11

Re: Попытки несанкционированной отправки информации о конфигурации ПК

Вредонос оказался модификацией банального банковского троянца Win32/Corkow.
С целью выявление его активности, помимо указанных ранее, рекомендую проверить всяческое взаимодействие со следующими ресурсами:
http://malev1ch.com
http://lev1tan.com
http://archimedus.com