[rezolvat] Virtumonde/vundo ?!

Sm3K3R

Am descoperit recent o chestie foarte ciudata.Probabil e vorba de ceva versiune noua Trojan Vundo Virtumonde

Alertele care m-au pus pe ganduri au fost generate de Outpost si se refera la

->

EXPLORER.EXE OLE automation control \RPC Control\OLEBF341FD8325A45DAA9A2E54EC97A

->

WINLOGON.EXE OLE automation control \RPC Control\OLEBF341FD8325A45DAA9A2E54EC97A

dar si la -> ONLINECMDLINESCANNER.EXE (prevx )OLE automation control \RPC Control\OLEBF341FD8325A45DAA9A2E54EC97A oarecum legitim

Fisierul caracteristic winzoa32.dll (caracteristic din cate am inteles Virtumonde) se gasea in X:\Documents and Settings\"USER"\My Documents\My Pictures ,o locatie care sigur nu e normala.

Fisierul winzoa32.dll se regaseste arhivat pe sendspace ,si nu e detectat de nici un antivirus in virustotal ca fiind malware -> <link șters>

De asemenea exista o referinta catre fisier in calea bifata cu X Exista de asemenea Dwordul ,in ambele foldere bifate,OLEBF341FD8325A45DAA9A2E54EC97A

Nu exista pop-upuri specifice rogue ,dar exista hickupuri ocazionale prin desktop si lag spikes in aplicatii 3D.Alertele Outpost apareau uzual cand o aplicatie 3D era full screen.

alexcrist

Mulțumim pentru sample, Sm3K3R.

Însă este o mică problemă cu fișierul atașat de tine. Nu este nici pe departe un fișier DLL acela, ci este un screenshot BMP (cu extensie greșită). Din câte îmi dau seama, este screenshotul complet (din care ai copiat fereastra pe care ai postat-o mai sus). Faptul că se afla în My Pictures este probabil explicat de faptul că este o poză (probabil ai salvat-o cu nume greșit).

Linkul din postul tău l-am șters înainte să verific dacă este OK fișierul. Dacă mai ai nevoie de el, ți-l pot da.

Te rog să arhivezi din nou sampleul, dacă îl mai ai.

De asemenea, există 2 reguli:

1) sampleurile se arhivează cu parolă, pentru a preveni coruperea datelor (cu parola infected)

2) nu se postează pe forumul public linkuri la fișiere posibil malițioase, din cauza riscului pe care îl presupun pentru alți useri curioși. Te rog să-mi trimiți pe PM linkul de download.

Cris.

Sm3K3R

Ai dreptate Cris " /> .

Fisierul respectiv e un print .In faza initiala am facut niste printuri si s-a salvat sub un nume gresit s-ar parea .Am crezut initial c-am pierdut printul si cand am vazut acolo fisierul cu dll am considerat ca se pitise in locatie insusi virusul (poate si nesomnul si-a spus cuvantul) " />

Oricum din print se vede referinta din registry,chiar daca fisierul nu e de gasit.Trebuia sa fie o referinta acolo referitoare la acel fisier dll ?

Ulterior cele doua foldere din registry le-am sters si s-a intamplat un fenomen ciudat ,imediat dupa ce am postat aici ,a disparut conexiunea LAN din Network Connections total si din taskbar.Dupa restart-ul PC-ului a reaparut dar la incercari de a umbla la acel LAN imi aparea ceva cu "not enoough privileges".Ulterior am rulat un reset de stack o sa revin cu logul.

Au vreo legatura registrii respectivi cu LAN-ul ?

Imi cer scuze pentru sample-ul fake ,a fost fara intentie.

Sper sa nu fie o vantoare de vrajitoare.

Alt sample nu am .

Sm3K3R

Si pentru ca tot m-am facut de ras revin si cu logul reset tcp stack

reset SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\15\RegLocation

old REG_MULTI_SZ =

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\?\DhcpDomain

SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\DhcpDomain

added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{6E6162FD-5779-4802-A379-2C678FE8757A}\NetbiosOptions

reset SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{8D0037A2-8A27-496F-8861-4A85604AC839}\NetbiosOptions

old REG_DWORD = 2

added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{ABCC5286-9B0B-48B6-9970-557303E5E6C8}\NetbiosOptions

deleted SYSTEM\CurrentControlSet\Services\Netbt\Parameters\EnableLmhosts

added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\DisableDynamicUpdate

deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\IpAutoconfigurationAddress

deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\IpAutoconfigurationMask

deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\IpAutoconfigurationSeed

reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\RawIpAllowedProtocols

old REG_MULTI_SZ =

0

reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\TcpAllowedPorts

old REG_MULTI_SZ =

0

reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\UdpAllowedPorts

old REG_MULTI_SZ =

0

deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DontAddDefaultGatewayDefault

deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableIcmpRedirect

deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableSecurityFilters

deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SearchList

deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\UseDomainNameDevolution

reset Linkage\UpperBind for PCI\VEN_1186&DEV_4300&SUBSYS_43001186&REV_10\4&2966AB86&0&10A4. bad value was:

REG_MULTI_SZ =

afw

reset Linkage\UpperBind for ROOT\MS_NDISWANIP\0000. bad value was:

REG_MULTI_SZ =

afw

<completed>

Imi cer scuze daca am creat neplaceri si pieredere de timp stafului BD.Merit un warn

Scuze Cris !

alexcrist

Stai calm, că nu a pierdut nimeni timpul cu fișierul tău. Nu trimit nimic mai departe fără să verific, mai ales că astfel de greșeli sunt omenești.

Cât despre regiștrii, nu ai spus exact care este calea. Iar numai din screenshoturi nu îmi pot da seama.

Cât despre ce mi-ai trimis pe PM, sunt destul de irelevante. AVIS nu a fost făcut pentru scanare decât sub îndrumare directă a unui analist BitDefender, deoarece încorporează metode de scanare euristice foarte agresive și are o rată extrem de mare de alarme false. Deci ceea ce mi-ai trimis, din moment ce acea scanare nu a fost făcută într-un context anume, pot fi considerate alarme false.

Dacă dorești o analiză mai atentă a situației sistemului tău, citește acest articol: http://kb.bitdefender.com/KB490

Încarcă pe SendSpace cele două loguri (BDSI și GMER) și trimite-mi pe PM linkurile de descărcare.

Cris.

Sm3K3R

Multumesc Cris!

S-ar parea ca ce am pus in print e locatia unde functia Search isi pastreaza istoricul ,si logic ,numele fisierului aparea pentru ca-l cautasem anterior " /> .

Cred ca se poate inchide topicul si eventual arunca intr-un Recycle Bin.Pana la urma un HIPS agresiv te poate face sa crezi ca esti infectat cu ce-ti doresti " /> .

Avand in vedere ca am scanat la greu ,cu tot felul de softuri ,si n-au gasit nimic ,cred ca se poate inchide.

Noroc de week-end ,altfel as fi perturbat activitatea suportului in mod inutil.

alexcrist

OK.

== ÎNCHIS ==

== Problemă rezolvată ==