Моя борьба с вирусом

Тема в разделе "WASM.HEAP", создана пользователем KingT, 24 апр 2024.

  1. KingT

    KingT Member

    Публикаций:
    0
    Регистрация:
    12 янв 2006
    Сообщения:
    208
    Здраствуйте.
    Столкнулся с вирусом на своей машине.
    Он мониторит буффер обмена и если там оказывается адрес кошелька биткойна то при копировании
    подменяет на другой.
    Антивирус молчит.

    Любой нормальный человек бы переустановил виндоус и все но так как я не нормальный то
    я решил как минимум выяснить где в системе он находится а как максимум узнать как он мог попасть
    в мою систему.

    Я сначала долго палил черех ProcessExplorer на предмет подозрительных программ но ничего такого
    не обнаружил. Эта дибильная концепция svchost+DLL из за которой большинство задач просто отображаются как svchost. Я начал отключать все сервисы винды надеясь на то что критические отключить мне винда не даст. Но все таки я смог отключить и критический сервис из за которого
    она не смогла пойти дальше окна логин. Но это я потом восстановил. Это вобще странно.
    Некторые сервисы отключить нельзя а сервис который запускает explorer можно. Странный подход
    к безопасности.

    Вобшем так ничего и не выяснив я решил применить программу SysMon от sysinternals.
    Она позволяет отслеживать обращения к буфферу обмена.
    И с ее помощью я установил что помимо notepad.exe в момент копиования обращается программа
    run32.exe.

    У меня ее запущено три экземпляра. Вычитал что это тоже хост для запуска dll.
    Начал в ProcessExplorer смореть параметры автозапуска и заметил что один из процессов запускается
    с путем к какойто мутной dll. Очень странный путь. Пройдя по пути я наткнулся на директорию
    в которую зайти не могу. Access Denied. Вот этого вообще не пойму. Как я на своей системе не могу зайти в нужную мне директорию!!!

    Начал отключать эти run32.dll и увидел что подмена адреса прекратилась.
    Вобщем перегрузил винду в режиме ремона зашел в эту мутную директорию и скопировал в другой каталог. А текущую переименовал на время.
    Вобщем там и лежит dll с мутным названием и название директории мутное. Она это делает сто процентов. После переименования директории подмена прекратилась.

    Собственно перехожу к главной теме. Хочу выяснить как это все запускается и как могло попасть ко мне.
    Я вижу три процесса run32.exe. Один запускает другой. А самый первый запускает такой сервис
    PushNotification_xxxx. Это вроде как легальный сервис Microsoft но мне он никогда не нравился.
    Я не могу точно понять что он делает. Вроде что то скачивает с облака.
    Если смотреть ProcessMonitor то run32.exe в окне autorun запускается как

    run32.exe "путь к мутной DLL" "адрес входной процедуры"

    А где это прописано в системе? Я сделал поиск через регистр но не нашел.

    Вобще этот PushNotification он не убиваем. Даже если стереть DLL которые запускает svchost то
    они сами появляются.
    Как в windows 10 называется эта технология?

    Спасибо
     
  2. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.995
    rundll32.exe во-первых. Во-вторых гавно древнее и вроде как особо себя не маскирует. Через свойства-безопасность-изменить удаляй все права с найденных файлов (такие поделки слишком тупые, чтобы контролировать привилегии нтфс на исполняемых файлах), перезагружай, повторяй пока "мутные файлы" не закончатся.
     
    Последнее редактирование: 24 апр 2024
  3. alex_dz

    alex_dz Active Member

    Публикаций:
    0
    Регистрация:
    26 июл 2006
    Сообщения:
    449
    Autoruns покажет все авто-запусски в венде
     
    UbIvItS нравится это.
  4. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    KingT, Товарищ, еть феерично.. мы с Тобой :) ну, а ежли посерьёзней - сначала блокируй трояну доступ в сеть, потом всё остальное :)
    --- Сообщение объединено, 25 апр 2024 ---
    скорей всего Ты сам поставил себе троянчик варезом, вероятность его прихода чрез бравзер минимальна :)
    --- Сообщение объединено, 25 апр 2024 ---
    юзвер вполне может запретить себе доступ к любой ранее доступной директории/файлу - чрез админа можно вернуть права обратно и опять-таки ситюЁвина показывает наличие варезззааааааа :drinks:
     
  5. alex_dz

    alex_dz Active Member

    Публикаций:
    0
    Регистрация:
    26 июл 2006
    Сообщения:
    449
    зависит
    вдруг у топикстартера старое барахло типо ХРом 109? (а дальше на 7ке херЬ обновишься - гугл забонил


    не всегда
    один раз столкнулся с ситуевиной - никак не мог "зайти" в папку - оказалось там овнер слетел, вернуть админом не смог
    все магически починилось... ребутом венды :)
     
  6. k3rnl

    k3rnl Member

    Публикаций:
    0
    Регистрация:
    28 янв 2021
    Сообщения:
    54
    Ничего удивительного в этом нет.
    Помимо вас (администратора) в системе есть пользователи с правами куда посерьёзнее - System например, или самый мощный TrustedInstaller.
    Попробуйте пройти в папку C:\ProgramFiles\WindowsApps\ где сидят UWP приложения.
    Или в папку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KLoader куда даже СИСТЕМЕ вход запрещен (только TrustedInstaller).
    --- Сообщение объединено, 25 апр 2024 ---
    Отреверсить эту dll (в IDA) и посмотреть что да как.
     
  7. KingT

    KingT Member

    Публикаций:
    0
    Регистрация:
    12 янв 2006
    Сообщения:
    208
    Всем здраствуйте.
    Спасибо за ответы.

    Этот вирус я отключил переименовав директорию из сервисного меню windows.
    И он не работает. Если возвращаю старое название то после перезагрузки начинает работать.
    Это радует. Я бы расстроился если б он самоудалился. Машина от интернета отключена.

    Вот причина по которой я это все как раз и копаю заключается в том что надо выяснить мне как он в систему попал.
    Если через варез как выше упоминали то это важно для меня.
    Ну и я сам давно хотел разобраться как запускается все эти миллионы сервисов.
    А особенно те которые не убиваемые.

    Сегодня продолжил копаться в системе.

    Для вредоносного процесса rundll32.exe "путь к DLL" "entry point" родительским процессом является процесс
    svchost -k netsvcs -p -s Sсhedule.
    А он пробивается ProcMonitor ом как WpnUserService_xxxxx (xxxxx меняются после перезагрузки).
    Вобще от этого сервиса который прописан в регистре много порождается процессов.

    После долгого поиска в регистре я пришел к выводу что процессы запускаются пачками из вот этого пути
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost так как есть сответствие между именем в командной строке
    svchost и содержимым в вышеупомянутой ветке регистра.

    Вобщем начал выяснять что значат эти ключи запуска svchost и нашел несколько статей.
    Оставлю здесь для себя и может кому будет интересно.

    https://nasbench.medium.com/demysti...ess-and-its-command-line-options-508e9114e747
    https://pusha.be/index.php/2020/05/07/exploration-of-svchost-exe-p-flag/

    Воющем -s это имя сервиса из группы которая задается опцией -k.
    А -k как раз указывает на HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost
    С опцией -р завтра выясню.

    Вобщем похоже у меня в сервисе Scheduller прописан загрузчик этого вируса.
    Это предположение.
    Завтра буду дальше выяснять.
     
  8. alex_dz

    alex_dz Active Member

    Публикаций:
    0
    Регистрация:
    26 июл 2006
    Сообщения:
    449
    WpnUserService called the "Windows Push Notifications User Service".
     
  9. k3rnl

    k3rnl Member

    Публикаций:
    0
    Регистрация:
    28 янв 2021
    Сообщения:
    54
    KingT, вы куда-то не туда свернули. Зачем ковырять системные сервисы? Ничего вы там не найдёте. Это из той же оперы, как выгрузить kernel32.dll из ядра и загрузить свою.
     
  10. KingT

    KingT Member

    Публикаций:
    0
    Регистрация:
    12 янв 2006
    Сообщения:
    208
    Добрый вечер.

    Ув. k3rnl

    Я смотрю системные сервисы так как родительским сервисом для моего вируса является такой сервис

    c:\windows\system32\svchost.exe -k netsvcs -p -s Schedule

    И мне самому интересно разобраться с запуском этих сервисов так как я давно чувствую что мой компьютер больше
    принадлежит дядям из редмонда чем мне лично.

    Вобщем сегодня еще раз промониторил старт операционки с помощью SysMon.
    Логи показали что вышеупомянутый процесс запускает мой вирус.
    Вобщем начал я смотреть Scheduler и в нем оказалась куча планов на запуск разных служб.
    В одной ветке я и обнаружил запуск своего вируса.
    Он оказался в ветке Visual Studio Updates.

    Вобщем или сама студия при установке его туда добавила или сторонняя программа замаскировала.
    Это буду дальше выяснять. Проверю конечно свою студию для начала.


    alex_dz WpnUserService это такая мутная штука. Пока что с ним не разобрался.
    не понятно что за символы добавляютя в конец имени службы и кто его запускает.
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    вынь нельзя выпускать в инет прямым ходом, пч главным трояном сама же вынька и является: самый лучший вариант полностью закрыть ей доступ в инет и пускать бравзер чрез проксю, бравзер мокрых использовать нельзя (он любую проксю раздвигает на всю систему). короче, есть три категории блокировки..
    1. надёжная - сугубо по белым листам чрез проксю, но 4ёрт подери - муторно её пользовать.
    2. частичная - мокрые не могут использовать откровенно хакерские приёмы для обхода фаерволов/прокси, тч в большинстве случаев простая прокся на лине/роутере вполне заходит.
    3. гибридная - к примеру, можно в две машины работать - одна с вынькой, другая с линем и чрез ремоут десктоп катать линь бравзер.
    =========
    акись так :)
     
  12. KingT

    KingT Member

    Публикаций:
    0
    Регистрация:
    12 янв 2006
    Сообщения:
    208
    Ув. UbIvItS

    Это уже вопрос безопасности работы а у меня сейчас проблема в том что как запускался вирус и где он был прописан в системе я установил.
    В TaskScheduler добавлена служба на запуск.

    Теперь надо решить вторую часть проблемы. Выяснить кт оего туда поместил.
    Вроде бы как винда не логит процессы добавления в планировщик. Это я еще выясню.
    А пока буду действовать самым тупым методом.
    Подниму все свои экзешники и буду их запускать. И смотреть не появится ли в плинировщике служба.
    Я ее удалил.
    Очень надеюсь что появится.
     
  13. Marylin

    Marylin Active Member

    Публикаций:
    0
    Регистрация:
    17 фев 2023
    Сообщения:
    189
    KingT, как вариант запусти поиск в системе Win+F, введи в окно rundll32 и получишь некоторую инфу о процессе, типа кто, когда, куда, зачем. Есть фильтр по дате и прочее. Может так сузишь круг подозреваемых.
     
  14. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    а откуда Ты ту выньку достал и какие проги поставил + откуда взял те проги? из Твоего описания похоже, что это некая сборка выньки и в этом случае запускаться может акь угодно (те же сис сервисы могли пропачить). на той же бесяточке такого попросту невозможно без вареза :)