[rezolvat] Virtumonde/vundo ?!

Sm3K3R
Sm3K3R ✭✭✭
editat noiembrie 2009 în Produse bitdefender 2010

Am descoperit recent o chestie foarte ciudata.Probabil e vorba de ceva versiune noua Trojan Vundo Virtumonde


Alertele care m-au pus pe ganduri au fost generate de Outpost si se refera la


->


EXPLORER.EXE OLE automation control \RPC Control\OLEBF341FD8325A45DAA9A2E54EC97A


->


WINLOGON.EXE OLE automation control \RPC Control\OLEBF341FD8325A45DAA9A2E54EC97A


dar si la -> ONLINECMDLINESCANNER.EXE (prevx )OLE automation control \RPC Control\OLEBF341FD8325A45DAA9A2E54EC97A oarecum legitim


Fisierul caracteristic winzoa32.dll (caracteristic din cate am inteles Virtumonde) se gasea in X:\Documents and Settings\"USER"\My Documents\My Pictures ,o locatie care sigur nu e normala.


Fisierul winzoa32.dll se regaseste arhivat pe sendspace ,si nu e detectat de nici un antivirus in virustotal ca fiind malware -> <link șters>


De asemenea exista o referinta catre fisier in calea bifata cu X post-10335-1259455000_thumb.jpg Exista de asemenea Dwordul ,in ambele foldere bifate,OLEBF341FD8325A45DAA9A2E54EC97A


Nu exista pop-upuri specifice rogue ,dar exista hickupuri ocazionale prin desktop si lag spikes in aplicatii 3D.Alertele Outpost apareau uzual cand o aplicatie 3D era full screen.

Comentarii

  • alexcrist
    alexcrist
    editat noiembrie 2009

    Mulțumim pentru sample, Sm3K3R.


    Însă este o mică problemă cu fișierul atașat de tine. Nu este nici pe departe un fișier DLL acela, ci este un screenshot BMP (cu extensie greșită). Din câte îmi dau seama, este screenshotul complet (din care ai copiat fereastra pe care ai postat-o mai sus). Faptul că se afla în My Pictures este probabil explicat de faptul că este o poză (probabil ai salvat-o cu nume greșit).


    Linkul din postul tău l-am șters înainte să verific dacă este OK fișierul. Dacă mai ai nevoie de el, ți-l pot da.


    Te rog să arhivezi din nou sampleul, dacă îl mai ai.


    De asemenea, există 2 reguli:


    1) sampleurile se arhivează cu parolă, pentru a preveni coruperea datelor (cu parola infected)


    2) nu se postează pe forumul public linkuri la fișiere posibil malițioase, din cauza riscului pe care îl presupun pentru alți useri curioși. Te rog să-mi trimiți pe PM linkul de download.


    Cris.

  • Ai dreptate Cris <img class=" /> .


    Fisierul respectiv e un print .In faza initiala am facut niste printuri si s-a salvat sub un nume gresit s-ar parea .Am crezut initial c-am pierdut printul si cand am vazut acolo fisierul cu dll am considerat ca se pitise in locatie insusi virusul (poate si nesomnul si-a spus cuvantul) <img class=" />


    Oricum din print se vede referinta din registry,chiar daca fisierul nu e de gasit.Trebuia sa fie o referinta acolo referitoare la acel fisier dll ?


    Ulterior cele doua foldere din registry le-am sters si s-a intamplat un fenomen ciudat ,imediat dupa ce am postat aici ,a disparut conexiunea LAN din Network Connections total si din taskbar.Dupa restart-ul PC-ului a reaparut dar la incercari de a umbla la acel LAN imi aparea ceva cu "not enoough privileges".Ulterior am rulat un reset de stack o sa revin cu logul.


    Au vreo legatura registrii respectivi cu LAN-ul ?


    Imi cer scuze pentru sample-ul fake ,a fost fara intentie.


    Sper sa nu fie o vantoare de vrajitoare.


    Alt sample nu am . :o:huh:

  • Si pentru ca tot m-am facut de ras revin si cu logul reset tcp stack


    reset SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\15\RegLocation


    old REG_MULTI_SZ =


    SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\?\DhcpDomain


    SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\DhcpDomain


    added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{6E6162FD-5779-4802-A379-2C678FE8757A}\NetbiosOptions


    reset SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{8D0037A2-8A27-496F-8861-4A85604AC839}\NetbiosOptions


    old REG_DWORD = 2


    added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{ABCC5286-9B0B-48B6-9970-557303E5E6C8}\NetbiosOptions


    deleted SYSTEM\CurrentControlSet\Services\Netbt\Parameters\EnableLmhosts


    added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\DisableDynamicUpdate


    deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\IpAutoconfigurationAddress


    deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\IpAutoconfigurationMask


    deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\IpAutoconfigurationSeed


    reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\RawIpAllowedProtocols


    old REG_MULTI_SZ =


    0


    reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\TcpAllowedPorts


    old REG_MULTI_SZ =


    0


    reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8D0037A2-8A27-496F-8861-4A85604AC839}\UdpAllowedPorts


    old REG_MULTI_SZ =


    0


    deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DontAddDefaultGatewayDefault


    deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableIcmpRedirect


    deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableSecurityFilters


    deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SearchList


    deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\UseDomainNameDevolution


    reset Linkage\UpperBind for PCI\VEN_1186&DEV_4300&SUBSYS_43001186&REV_10\4&2966AB86&0&10A4. bad value was:


    REG_MULTI_SZ =


    afw


    reset Linkage\UpperBind for ROOT\MS_NDISWANIP\0000. bad value was:


    REG_MULTI_SZ =


    afw


    <completed>


    Imi cer scuze daca am creat neplaceri si pieredere de timp stafului BD.Merit un warn :mellow:


    Scuze Cris !

  • Stai calm, că nu a pierdut nimeni timpul cu fișierul tău. Nu trimit nimic mai departe fără să verific, mai ales că astfel de greșeli sunt omenești. ;)


    Cât despre regiștrii, nu ai spus exact care este calea. Iar numai din screenshoturi nu îmi pot da seama.


    Cât despre ce mi-ai trimis pe PM, sunt destul de irelevante. AVIS nu a fost făcut pentru scanare decât sub îndrumare directă a unui analist BitDefender, deoarece încorporează metode de scanare euristice foarte agresive și are o rată extrem de mare de alarme false. Deci ceea ce mi-ai trimis, din moment ce acea scanare nu a fost făcută într-un context anume, pot fi considerate alarme false.


    Dacă dorești o analiză mai atentă a situației sistemului tău, citește acest articol: http://kb.bitdefender.com/KB490


    Încarcă pe SendSpace cele două loguri (BDSI și GMER) și trimite-mi pe PM linkurile de descărcare.


    Cris.

  • Multumesc Cris!


    S-ar parea ca ce am pus in print e locatia unde functia Search isi pastreaza istoricul ,si logic ,numele fisierului aparea pentru ca-l cautasem anterior <img class=" /> .


    Cred ca se poate inchide topicul si eventual arunca intr-un Recycle Bin.Pana la urma un HIPS agresiv te poate face sa crezi ca esti infectat cu ce-ti doresti <img class=" /> .


    Avand in vedere ca am scanat la greu ,cu tot felul de softuri ,si n-au gasit nimic ,cred ca se poate inchide.


    Noroc de week-end ,altfel as fi perturbat activitatea suportului in mod inutil.

  • OK. :)


    == ÎNCHIS ==


    == Problemă rezolvată ==

Aceasta discutie a fost inchisa comentariilor!