В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Backdoor Win32/Caphaw.I

отредактировано July 2014 Раздел: Форум лечения заражений
погонял invoice**********.pdf.exe, (установщик Win32/Caphaw.I.) который в последнее время атакует пользователей Skype через сообщения от зараженных контактеров.

результаты такие:

в нормальном режиме uVS и AVZ не увидели в образе файлик в автозапуске.
но
uVS увидел при включенном антисплайсинге, что
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
без сплайсинга в логи попало лишь сообщение о доп. потоках, внедренных в uVS
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
AVZ не увидел так же ничего в автозапуске
но
есть в логах сообщение о перехвате функций API
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.PushAndRet
порадовал ESETSysinspector, который в нормальном режиме показал и файл трояна, и ключ в автозапуске
"MnX8Dv2tSsBvjshflKUim4AByqc=" = "C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe" ( 9: Risky ) ; AX_LOCKFEJaz ; ;
"SHA1" = "D9918C592E5B84A00D204D1E85DBFAE27340DC3A" ( 9: Risky ) ;
"Last Write Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"Creation Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"File Size" = "393216" ( 9: Risky ) ;
"File Description" = "AX_LOCKFEJaz" ( 9: Risky ) ;
"Company Name" = "" ( 9: Risky ) ;
"File Version" = "21, 7, 2, 1" ( 9: Risky ) ;
"Product Name" = "" ( 9: Risky ) ;
"Internal Name" = "1a9e-35z" ( 9: Risky ) ;
"Linked to" = "Important Registry Entries -> Standard Autostart -> HKU\S-1-5-21-1645522239-854245398-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe"
в безопасном режиме файл был обнаружен в uVS
Полное имя C:\DOCUMENTS AND SETTINGS\user\APPLICATION DATA\MICROSOFT\CRYPTNETURLCACHE\WINFXDOCOBJ.EXE
Имя файла WINFXDOCOBJ.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2013-11-01 [2013-10-29 08:13:49 UTC ( 4 days, 8 hours ago )]
Symantec Trojan.Shylock
Avast Win32:Trojan-gen
Kaspersky Trojan.Win32.Agent.acolm
BitDefender Trojan.GenericKDV.1367635
DrWeb BackDoor.Caphaw.2
AntiVir TR/CeeInject.A.38
Microsoft Backdoor:Win32/Caphaw.A
ESET-NOD32 Win32.Caphaw.I

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 6284BF8A61000
Linker 6.0
Размер 393216 байт
Создан 08.03.2009 в 04:34:48
Изменен 08.03.2009 в 04:34:48
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Оригинальное имя upackfize
Описание AX_LOCKFEJaz
Copyright Copyright 12.13

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 D9918C592E5B84A00D204D1E85DBFAE27340DC3A
MD5 E6D741E42B80443FD8150EF5B5A525BD

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run \MnX8Dv2tSsBvjshflKUim4AByqc=
MnX8Dv2tSsBvjshflKUim4AByqc=C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe
и в AVZ
C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, MnX8Dv2tSsBvjshflKUim4AByqc=
--------------
что еще обнаруживается по темам заражений.
http://forum.esetnod32.ru/forum6/topic10233/

бэкдор мутирует от перезагрузки к перезагрузке.
в первом образе, полученном из безопасного режима.
Полное имя                  C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRASH REPORTS\REGINI.EXE

Доп. информация на момент обновления списка
SHA1 D10EDEAD31FFC03AA257021ED2D4C40973FD86D1
MD5 05188C8462CE608363CD09727276733A

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-4235267976-468952248-1436290218-1000\Software\Microsoft\Windows\CurrentVersion\Run\6m28ei1UERwiAk3q44ipcnsE
6m28ei1UERwiAk3q44ipcnsE "C:\Users\User\AppData\Roaming\Mozilla\Firefox\Crash Reports\regini.exe"

в следующей перезагрузке уже новый файл, с новыми хэшем, сигнатурой, ключом в реестре.
Полное имя                  C:\USERS\USER\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\B6GUFRYT\GIGPORNO.COM\RECOVER.EXE

Доп. информация на момент обновления списка
SHA1 C19D85D1D893CC4C6DEBB9176543D9AF66C94C20
MD5 A8F5FFEF826866C78E4B65D49ED7D203

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-4235267976-468952248-1436290218-1000\Software\Microsoft\Windows\CurrentVersion\Run\7mW8eihUFRkiG1Pv5rg=
7mW8eihUFRkiG1Pv5rg= "C:\Users\User\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\B6GUFRYT\gigporno.com\recover.exe"
добавлено:
новые варианты Caphaw содержат цифровую подпись (Действительна, подписано "Prestigio Europe, spol. s r.o.")

судя по некоторым логам журнала обнаружения угроз мутации могут быть многократные, с заданным интервалом.

http://www.virusradar.com/Win32_Caphaw.I/description

(с), chklst.ru
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.