winlocker svahosts.exe разбор полётов.

Discussion in 'Защита ОС: антивирусы, фаерволы, антишпионы' started by PRosTo_LEva, 28 Sep 2012.

  1. PRosTo_LEva

    PRosTo_LEva Elder - Старейшина

    Joined:
    18 Apr 2007
    Messages:
    449
    Likes Received:
    132
    Reputations:
    106
    В очередной раз притащили машину поймавшую с порносайта винлокер. Попивая кофеёк в своё удовольствие принялся раскладывать всё по кубикам добираясь до смысла происходящего в ПК жертвы.

    Сразу обидело то что было запрошено 500 WMU. тобиш 500 гривен, что необоснованно много. Денег хотел вот этот кошель: U111318434087

    http://s50.radikal.ru/i130/1209/9a/2b15f05ae497.jpg вот скрин кому интересно.

    Локер оказался свежезакриптованным и стоящий на машине каспер даже не гавкнул.

    На машине стоял win7, я руками создал нового пользователя. Новый пользователь залогинился в системе без запуска зловреда.

    Далее оказалось что зловред имеет имя svahosts.exe, независимо от каталога запуска копирует себя в
    %system_disk%:\DOCUME~1\user\LOCALS~1\Temp\svahosts.exe. Работает и на Windows7 и на windows XP.

    Автозапуск происходит через реестр в ветке: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ключом Shell

    Вопросы следующее: Каковы на ваш взгляд универсальные средства борьбы с зловредами имеющими подобный механизм работы?

    Есть ли у когото билдер этого винлока?
     
  2. fix70

    fix70 New Member

    Joined:
    21 Aug 2012
    Messages:
    14
    Likes Received:
    1
    Reputations:
    1
    Универсального механизма нет, но хорошо помогает software restriction policies (политики ограниченного использовния программ). Настраивается через групповую политику. В случае локальной машины, запускаем gpedit.msc, лезем в Windows Settings -> Security Settings -> Software Restriction Policies , создаем новую политику. По умолчанию уровень политики будет выставлен в unrestricted, то есть будет разрешаться все, кроме файлов, для которых созданы правила на запрет запуска. Далее, создаем правило в additional rules. Оптимально использовать правила path Rules (привязка к имени файла или пути). Создаешь правило вида svahost.exe security level = disallowed. Можешь параллельно забить отстальные вариации имен svchost.exe (кроме самого svchost.exe, конечно).

    Второй вариант чистки - грузимся с линуксового LiveCD / LiveUSB (например, Ubuntu), монтируем системный раздел, открываем терминал идем в папку куда, примонтировался хард (например, /media/system), далее в каталог где хранятся профили пользователей (в Vista/Win7 - Users, в WinXP - Documents and Settings).
    cd /media/system/users
    Далее, в папках целевого юзера Application Data и Local Settings ищем файлы exe, dll, EXE, DLL с недавней датой модификации (7-14 дней назад)

    Например:
    cd "/media/system/Users/user1/Local Settings"
    find -name *.exe -mtime -7
    Далее, анализируем данный список файлов и выносим их либо вручную, либо автоматом через ту же команду find:
    find -name *.exe -mtime -7 -exec rm {} \;
     
    1 person likes this.
  3. DooD

    DooD Elder - Старейшина

    Joined:
    30 Sep 2010
    Messages:
    1,168
    Likes Received:
    442
    Reputations:
    288
    упсссс :D.
    а что особенного в этом винлоке?вроде обычный винлок...универсальный метод всегда иметь hirens boot cd или flash.
    конечно есть билдер(не в точности такого)и крипт делается ручками.
     
  4. fix70

    fix70 New Member

    Joined:
    21 Aug 2012
    Messages:
    14
    Likes Received:
    1
    Reputations:
    1
    Кстати, давно хотел спросить - какие из доступных неприватных крипторов пропускает Kaspersky?
     
  5. DooD

    DooD Elder - Старейшина

    Joined:
    30 Sep 2010
    Messages:
    1,168
    Likes Received:
    442
    Reputations:
    288
    все что ты можешь скачать в сети-палится)