» »

Odstranjevanje trdovratne hibridne zalege [Napredno]

Odstranjevanje trdovratne hibridne zalege [Napredno]

imagodei ::

Živjo,

v zadnjih mesecih sem že nekajkrat naletel na izjemno trdovratne virus/trojanec/spyware hibride, ki praktično povsem onemogočijo delovanje računalnika: BSOD, blokirajo znane antivirusne/antispyware procese, se vedno znova dodajajo v register (čeprav je PC odklopljen z interneta)... Formatiranje PC-ja je res sicer najhitrejša in najbolj elegantna rešitev, ampak zame to ob enem pomeni tudi priznanje poraza, zato se ponovni inštalaciji Polken izogibam, kolikor le gre.

Zadnjič sem reševal prijateljev PC in vsi standardni prijemi so odpovedovali: Spybot S&D, Adaware, AV, HJT... Ubijanje sumljivih procesov ni imelo smisla, ker so se vedno znova zagnali. Razni Rootkit revealerji itak ne dajo razumljivega izpisa in si z njimi bore malo pomagaš. Borba s "hibridom" se je razvlekla na več ur.

Svinjarija, ki se je nastanila na računalniku, je bila ena varianta "Virtumonde"/"Vundo", vendar program VundoFix ni znal odstranit zalege, komaj sem našel neka navodila na Spletu, kako odstranit ročno.

Pred časom je Matthai govoril o novi generaciji virusov... A je to že to? Ima kdo kakšne nasvete za odstranjevanje?

Pozna kdo še kakšno napredno orodje tipa HijackThis? Očitno proti tejle zalegi "soft" variante ne zaležejo več...
- Hoc est qui sumus -

imagodei ::

Ni idej, kajne?

Se mi je zdelo, da je to kar trd oreh...
- Hoc est qui sumus -

tempoFlow ::

Načeloma že če fašeš kakšen malo bolj sofisticiran root-kit, se ga je praktično nemogoče znebiti, saj se ti vsede v kernel in ga zmanipulira, tako da root-kita skorajda ne vidiš - ponavadi se ga opazi, ker se sistem začne obnašati nestabilno. Pomaga le na novo nalaganje winsow.
Pa še to zna biti problem, saj so lahko novi root kiti spisani tako, da se naselijo na kak drug del hardverja. Znani so primeri, ko se je root kit naselil v pomnilnik grafične kartice, počakal, do je sistem naložen na novo, ter se ponovno namestil v kernel. Pa veselo formatiranje...

lambda ::

Nedavno sem naletel na nekaj podobnega, ko sem pucal računalnik eni, ki je lahkoverno kliknila nek link na msnju. 4 antivirusni programi in še nekaj removal toolov, ki baje prepoznajo tudi 10k msn virusov, so bili bolj ali manj onemogočeni, tisti ki pa niso bili, pa niso nič našli ... taskmgr, regedit, sys restore in podobno je bilo vse mrtvo. Po nekaj urah sem obupal in naredil format.

Pa ne počnem tega prvič, pravzaprav to počnem že 10 let sosedom, frendom in žlahti.

System restore pa včasih dela čudeže.

blackbfm ::

Sej to ni neka nova zadeva. Je pa ponavad tako da tut če se znebiš tega ostane sistem na nek način okvarjen. Hja, system restore kdaj pa kdaj pomaga ampak za take stvari je samo format dovolj dober za moje pojme.

imagodei ::

No, ni nova. Je pa vedno bolj pogosta.

Formatiranje je IMO sicer čisto valid poteza, ampak, kot sem dejal - priznanje zmage virusu. Iz tega se ničesar ne naučim, ne vem, kako ta zalega deluje, kako se skriva.

Si predstavljaš, da ti okuži npr. 10 službenih računalnikov... Kaj, boš vse na novo formatiral, pred tem delal zaščito podatkov, nameščal 5-10 uporabniških programov, ERP sistem, dodajal v domeno... Šur, če nimaš pojma, kaj storit, je gotovo tole slednje hitrejše. Če bi pa vedel, kaj je treba zbrisat, je pa lažje virus odstranit.

Poleg tega pomisli, da bi 10-20 uporabnikom na šihtu za 2 dni (pri čemer bi delal kot žival npr 16 ur dnevno) prepovedal uporabo računalnika in/ali interneta, da ne bodo okužili še drugih mašin... Saj te linčajo...
- Hoc est qui sumus -

ender ::

V službi se ti to ne bo zgodilo, ker imajo uporabniki omejene račune (saj jih imajo, ali ne?)

Sicer pa se včasih lahko na roke teh zadev znebiš tako, da zmrzneš procese teh programov, pogledaš kaj vse imajo naloženo, vse te datoteke preimenuješ (zbrisat jih ne bo mogoče, ker jih programi še vedno uporabljajo), in potem pobiješ procese (ker so vsi zmrznjeni, se ne bodo mogli pognati nazaj). Potem datoteke pobrišeš, in upaš, da ni kakšen od njih naložen kot shell extension v Explorerju.

Včasih lahko te stvari sčistiš tudi iz BartPE CDja, na katerem je antivirusni program. Je pa ponovna namestitev sistema skoraj vedno hitrejša, kot pa čiščenje zalege (pa še prepričan si lahko, da je sistem potem res čist, kar pri odstranjevanju ne moreš biti nikoli).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

imagodei ::

> "V službi se ti to ne bo zgodilo, ker imajo uporabniki omejene račune (saj jih imajo, ali ne?)"

You wish... Vsaj ne vsi, ker uporabljajo programe, ki so pač tako bad napisani, da zahtevajo admin pravice.

In s čim bi zamrznil procese?
- Hoc est qui sumus -

ender ::

You wish... Vsaj ne vsi, ker uporabljajo programe, ki so pač tako bad napisani, da zahtevajo admin pravice.
Večino programov se da prepričat v delovanje z omejenimi računi, sploh tiste, ki se uporabljajo v firmah.

In s čim bi zamrznil procese?
Npr. Process Explorer ima možnost Suspend.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

imagodei ::

Na primer Inventor 11?
- Hoc est qui sumus -

ABX ::

Postopek reševanje nesnage:

1. anti-virus
2. Hijackthis
3. Autoruns (če res ni druge, ker zdeva je zapletena)

Skeniraj kar pač moreš, če zadeva se ponovno zapisuje zabeleži kateri program je.

Zbriši file iz diska, če je file zaklenjen uporabi ProcessExplorer ali WhoLockMe za ugotovit kateri exe je zaklenil file. Če to ni možno pejdi v "DOS" in zbriši file (Hirens boot cd, Linux, windows console recovery, ...).

Če PC je še vedno poškodovan uporabi windows repair funkcijo, ki bo prepisalo sistemske file in ohranilo vse programe na sistemu.

Če ni druge, format itak.
Vaša inštalacija je uspešno spodletela!

blackbfm ::

Postopek reševanje nesnage:

1. Format

Prihranek na času: 2 uri
:)

ABX ::

Vsak naredi kot zna.
Vaša inštalacija je uspešno spodletela!

mktech ::

priblizno dva tedna nazaj, sem na racunalnikih dobil virus, ki je onemogocil taskmanager-ja in regedit. ko sem poskusal v katerikoli brskalnik vpisat besedo antivirus, se je brskalnik zaprl. nekako uspem pobrat kaspersky, zazenem setup in se zapre. bil sem ze na robu obupa in videl, kako bo sel cel vikend za nalaganje win na novo. no resil me je avast. v namestitvenem programu ima ocitno vgrajeno neko varovalo, da ko ga nek proces hoce zapret, on vseeno vprasa uporabnika in caka njegovo potrdit, ce res misli preklicat namestitev. tako sem priblizno 10x v casu namestitve moral kliknit "ne, ne zelim preklicati namestitve", nastavit skeniranje ob zagonu in se resil virusa. potem sem moral samo se rocno omogocit taskmanager-ja in regedit.

morda pa sem imel sreco in je bla to kakasna alpha teh novih virusov, da sem sel tako lepo skozi :)

gokky ::

@imagodei Obstajajo novi virusi, ki se aktivirajo že v Master Boot Recordu (MBR). To pomeni, da je virus v pomnilniku že pred nalaganjem OS (in seveda bistveno pred nalaganjem AV programja).

Rešitev je MbrFix.

Ob tem se mi postavlja vprašanje, ali je mogoče, da bi kakršnakoli nesnaga v MBR na trdem disku, lahko preprečila boot s CDja.

destiny ::

F-secure ma nek linux rescue CD, ki se zna povezat na net in naložit najnovejše definicije virusov, pregleda pa tudi MBR. Je pa free...

Zgodovina sprememb…

  • spremenil: destiny ()

blackbfm ::


Ob tem se mi postavlja vprašanje, ali je mogoče, da bi kakršnakoli nesnaga v MBR na trdem disku, lahko preprečila boot s CDja.


Kaj pa ima mbr na disku skupnega z bootom s cdja?

gokky ::

Sprašujem se, če je to teoretično mogoče. Recimo, da bi nek novi BIOS skeniral najprej vse MBR, ki jih morebiti najde, šele potem pa (morda celo dal boot menu, ki vključuje samo bootable enote in) šel zaganjati s CDja.

Včasih razmišljam v tistem smislu, kaj vse bi se še lahko zgodilo.

residual ::

problem rootkit-ov je da nikoli nisi res prepričan, da si vse odstranil zato je bolje imeti formatiran sistem. Sam večinoma rešujem sistematično kot je opisal ABX, kadar so problemi odstranjevanja programov pa si po lociranju pomagam tudi z live CDji Knoppix-a, itd.

Tudi onemogočanje start up services, čiščenje registra lahko marsikdaj olajša zadevo. Uspešnost varira od primera do primera.

Vseeno pa sprotno pregledovanje in spremljanje SW krame, servisov, prometa (govorim kot uporabnik PCja) že lahko kmalu ugotovi nepravilnosti in v lažjih primerih hitro ukrepa.

Uporaba PCja v lokalni mreži z dostopom an internet (služba) nosi neko odgovornost, vsaj lokalni pravilniki v podjetju bi morali to definirat. Admin se uspešno brani navzven s požarnimi nastavitvami, potem pa nekdo znotraj mreže dela nemir. In tega se uporabniki v službi ne zavedajo, zato jim admini raje omejijo pravice. Z osveščanjem uporabnikov se tudi marsikaj doseže, kjer bi admini lahko uporabnikom laično razložiti kje so problemi, ranljivost, itd. S tem ne bi bilo več izgovorov nisem vedel, da lahko povzročim izpad in izgubo podatkov, itd... Mogoče malo idealisitično izpade, ampak sliši se vseeno lepo.

blackbfm ::

Skeniral bi že lahko, samo vseeno bi pa ti sam moral izbrat kaj se bo zagnalo:D Sicer pa se virusi razvijajo v to smer da prikrito delujejo v ozadju in napadalcu omogočajo nadzor nad računalnikom. Časi, kjer ti je virus onemogočil uporabo računalnika so mimo, ker pač niso uporabni v 99% primerih.

Mr.B ::

Karkoli offline scann na zapečenem cd-ju. ČE ti slučajno zateži da hoče pisati na cd, potem si v ppp.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

StratOS ::

Nekateri ne vedo, kako sam bootable proces poteka.
Po uspešnem zagonu in ostalih stvareh procesor zažene startup sequenco iz BIOS ROM-a (FFFF0h), po večini je tukaj le jump na začetek BIOS programa ...
Začne se BIOS self test POST (Power on self test) ...
Če je uspešen se začne call na INT 19
Pregleda se video BIOS, ter vse ostale komponente ki imajo svoj ROM oz. mesto v njemu (Floppy, IDE/ATA ...)
Pojavi se bios startup checkup ( rami, ostale enote, P&P (Plug & Play) identifikacija ...)
Pregleda se checksum ...
Začne se bootstraper sequenca po opcijah v BIOSU (CD/DVD, disk, USB, IDE/ATA,SATA ....)
Če INT 19 ne najde boot sektorja gre na naslednjo ...
Na disku se pregleda MBR (Koda in tabela) ter zažene MBR koda, ki prestavi delovanje iz BIOSA na disk, naložijo se ostale stvari, datotečni sistem, driverji in sistemske datoteke OS-a, torej sam OS.

Torej možno je spreminjati startup sequence v ROMIH in MBR-jih, vendar pa so virusi (bi rekel prej črna koda) v teh delih predvsem - nastrojena in preprečujejo zagon OS-a, oziroma delov kode.

Nesnaga na MBR ne more preprečiti boot iz CD-ja (CDFS) razen če je pri tem kompromiran sam ROM BIOSA oz. nastavitve boota, je pa možno da se ob INT19 zagonu MBR diska zažene boot koda iz CD-ja, kakšnega drugega segmenta, RAMA kakšne naprave ipd ...

Prav ti 'novi' virusi in razne security zaščite (komponente, kartice ...) ipd ... to izrabljajo, problem recimo MBR-ja je, da more koda biti zelo majhna ali pa se samo kliče. Nove plate imajo celo AV za Boot Code :)
Klic na kakšno kodo recimo v FREE prostoru VIDEO BIOSA bi lahko konkretno zadevo zelo zelo otežil, potem pa proces nazaj prepustil.
Novejše identifikacije, aktivacije in kode različnih programov, sistemov, zaščit potekajo prav tako, da zapisujejo oz. berejo recimo dele ROMA, ki so nedokumentirani v proizvajalčevih proizvodih.

Nekateri pa te stvari izrabljajo za zaslužek nepoučenim, recimo z 'preprosto ukano' - spremembo BIOS videa lahko iz 256 MB BIOS VIDEO rama naredijo 2 GB ipd ...
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Zgodovina sprememb…

  • spremenila: StratOS ()

blackbfm ::

Eh jebeš to, lažje je poslat nekomu "omg check out nude picture xxx" na mail pa bo sam zagnal virus;)

StratOS ::

:)
Pa še številko kartice in pin ti bo zraven pripisal ter CV kodo :)
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

blackbfm ::

Ja ja, ti že veš kako to gre;)

solatko ::

Izdelava slike čistega sistema, reši vsak tak problem v cca 15 ih minutah - podatki so pa itak na drugi particiji ali disku, v firmah so pa itak backup-i vsak dan, tako da se ne zamudiš prav dosti, tudi pri 10ih računalnikih, sigurno dlje s čiščenjem.

krneki0001 ::

Za take zadeve imam VM. Svoj sistem imam postavljen, vendar na njem ne delam nič, razen laufam VM. V VM imam pa kompleten sistem na katerem delam vse zadeve. Vsak dan se mi prepiše kopija sistema iz VM na en disk in kopije imam od prve postavitve in za zadnje 3 dni. Če bi danes recimo dobil virus ali kakšno tako zalego, bi samo včerajšnjo kopijo potegnil v VM, današnjo kopijo (z virusom) pa bi postavil v sandbox (izoliran VM, brez mreže in dostopa do glavnega sistema) in se igral z njo toliko časa, da bi ali komplet uničil sistem, ali pa bi odstranil virus.

To prakticiram že kar nekaj časa in mislim, da je trenutno najboljša rešitev.

fiction ::

VM je dobra ideja. Samo se moras pa zanesti na to, da nekaj iz tega okolja ne bo moglo pobegniti ven. Ce ima recimo tisti
virtualizacijski software kaksen bug, ga lahko zlobna koda izkoristi in kompromitira tudi host racunalnik.
Glede tega s 3 dnevi - kako si pa tako preprican da tako hitro opazis infekcijo. Lahko imas virus pa ga lepo znova in znova backupiras. Jaz bi raje poleg tega delal neke take checkpoint backupe. Clean masina, po instalaciji tega...

Za analiziranje malwara je VM zmeraj manj uporaben. Programsko se da precej lahko ugotoviti ali si v navideznem racunalniku
ali ne. In ko virus to odkrije, se lahko obnasa cisto drugace zato da zavede ljudi ki ga poskusajo analizirati oz. se z njim
igrati.

krneki0001 ::

V treh dneh boš sigurno opazil, da mašina ni več stabilna, vsaj pri meni, ko doma še dodatno programiram in bildam stvari, se to hitro opazi, ker websphere je požrešna zadeva in kr dost obremeni mašino in pobere veliko rama.
Antivirusni program in spyware programa pa laufata vsak dan ponoči s celotnim pregledom sistema. SDtimer je zalaufan stalno in za vsako spremembo v registryju me opozori in vpraša, če jo dovolim - seveda to večini ljudi ni všeč, vendar imam tudi uac vklopljen na visti. Osebno mi je bilo sicer malo nadležno za vsak program stisnit še dodaten OK, ampak sem se v dveh letih navadil in to je tisto kar potrebujem - varnost.


Kar se analiz tiče, če imaš ti sistem postavljen pravilno, potem je zelo malo razlike med hostom in VM in je programi skoraj ne morejo zaznati.

Sicer imaš pa več verzij VM-ja. Moja verzija je srednja na tejle sliki.
 VM

VM




Bi pa rad, da hitro razvijejo tretjo verzijo, kjer pa bo vse v virtualizaciji in sploh ne bo razlik med hostom in VM-ji - u bistvu ni več hosta in VM-ja, ampak so vsi VM.

Zgodovina sprememb…

Mr.B ::

Včasih smo govorili o modri tabletki in rdeči tabletki. Preverite to na temo virtualizacije...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

blackbfm ::

Ce ima recimo tisti virtualizacijski software kaksen bug, ga lahko zlobna koda izkoristi in kompromitira tudi host racunalnik.


Takih je pa res ogromno ja:P

fiction ::

Ja, po treh dneh opazis, ce masina ni vec stabilna. Ampak ce dobis samo nekaj kar odpre backdoor napadalcu ni nujno da bos to tako hitro videl. Sploh ce se tvoja masina ne bo (takoj) uporabljala za razne DDoS napade. Cilj zlobne kode ni vec toliko, da naredi cimvec skode ali pa takoj opozori nase, ampak da ostane cim dlje prikrita in tako prinasa avtorjem dlje casa "dobicek".

Hybrid VM je izgleda klasicen nacin, ko znotraj programa poganjas navidezni racunalnik, Zanimiv bo hypervisor nacin (tip 1), kjer bo vbistvu tudi tvoj OS tekel znotraj navideznega racunalnika.

Takih je pa res ogromno ja:P
Imas prav :P

Kar se analiz tiče, če imaš ti sistem postavljen pravilno, potem je zelo malo razlike med hostom in VM in je programi skoraj ne morejo zaznati.

Detekcija v tvojem primeru je ponavadi trivialna, ker noben program za emulacijo hardwara ne deluje 100% tako kot resnicna strojna oprema. Bluepill recimo deluje kot hypervisor ob pomoci posebnih ukazov za virtualizacijo, ki jih podpirajo novejsi procesorji. V tem primeru OS res direktno tece na strojni opremi. Samo pac ni nujno da je edini, lahko se nekaj casa izvaja eden nekaj casa pa drug OS. Tako kot recimo vsak proces tudi dobi samo delcek procesorskega casa pa vseeno misli da je on edini, ki se izvaja.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

izsiljevalski virus Locky (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
16940443 (31553) SeMiNeSanja
»

Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15442826 (24866) BorutK-73
»

Odkrit nov trdovraten botnet TDL-4

Oddelek: Novice / Omrežja / internet
388735 (5692) Isotropic
»

problem z virusi

Oddelek: Pomoč in nasveti
284450 (4155) solatko
»

READER_S.EXE, virus, da gate trga !!!

Oddelek: Pomoč in nasveti
152693 (1822) ^TMS^

Več podobnih tem