Все ли чисто в ACPI.SYS?(Куда уходим на апдейт?)

базовая настройка Ос Windows XP Prof, эффективные приемы работы, проблемы, подавление вирусни & etc.

Модераторы: МураХа, :NJ:

Все ли чисто в ACPI.SYS?(Куда уходим на апдейт?)

Сообщение :NJ: » Чт дек 26, 2013 10:02 am

Попался на днях ноутбук с Windows XP Prof SP3, превращенный в гнездо для вирусни.
После зачистки типичных вирусов система была приведена в порядок.
CureIt все просканировал и ничего не нашел, AVZ тоже не обнаружил аномалий(даже в режиме противодействия руткит-активности), в том числе были удалены все ADS, прикрепленные к файлам на всех дисках и удален текущий профайл пользователя, под которым произошло заражение системы, с последующим созданием нового пользовательского профайла. Включив интернет я начал наблюдать за активностью соединений и обнаружил, что служба автоматического обновления совершает подключения отнюдь не к серверам обновлений M$.
Изображение
Проверив все компоненты службы обновлений на диске и в памяти я не нашел ровным счетом ничего. Начал сразу подозревать в этом работу продвинутого буткита или вредоносного драйвера, который еще не был занесен и добавлен в антивирусные базы.
RKU не нашел сплайсинга, но нашел "Stealth code" (т.н. "стелс код"). После каждой загрузки расположение кода в памяти разное, так что я не буду писать об адресах. Единственное что можно уточнить - были две постоянные секции кода, которые поддавались снятию дампа - это код размером
2749 (SHA256: fe0541ce6066dd57c8edfff38c4598944b8fb764c544a9816802fc60bbcb36f9) и
2792 (SHA256:e81a841f754379565041e3fac2eb5285f212786f80ce615d04aa86149ffb263d) байт.
Детально просмотрев в RKU раздел драйвера ("Drivers"), я увидел ссылку ("References") драйвера ACPI.sys на код не принадлежавший
ни одному из драйверов (в RKU это выгляди так "[???]").
Просмотрев логи курита вижу следуещее:
Код: Выделить всё
=============================================================================
Dr.Web Scanner SE for Windows v9.0.0.10180
(c) Doctor Web, Ltd., 1992-2013
Scan session started 2013/12/22 13:38:27
Module location : c:\documents and settings\user\local settings\temp\13C0E848-8050B1B4-80BC8F5D-4EBF94ED\
=============================================================================
...
Computer\Motherboard\SYSTEM BIOS - Ok
c:\windows\system32\ntoskrnl.exe - Ok
c:\windows\system32\hal.dll - Ok
c:\windows\system32\kdcom.dll - Ok
c:\windows\system32\bootvid.dll - Ok
c:\windows\system32\drivers\acpi.sys - Ok
...

Короче CureIt - нервно курит!
Далее я сделал протоколирование загрузки. Он сохраняется в %systemroot%\ntbtlog.txt Например: C:\Windows\ntbtlog.txt
Код: Выделить всё
тут будет протокол загрузки

Вооружившись TDSSKiller я продолжил. И получил лог
Код: Выделить всё
14:49:44.0311 0x0630  TDSS rootkit removing tool 3.0.0.19 Nov 18 2013 09:27:50
14:49:46.0434 0x0630  ============================================================
14:49:46.0434 0x0630  Current date / time: 2013/12/23 14:49:46.0434
14:49:46.0434 0x0630  SystemInfo:
14:49:46.0434 0x0630 
14:49:46.0434 0x0630  OS Version: 5.1.2600 ServicePack: 3.0
14:49:46.0434 0x0630  Product type: Workstation
14:49:46.0434 0x0630  ComputerName: COMP
14:49:46.0434 0x0630  UserName: user
14:49:46.0434 0x0630  Windows directory: C:\WINDOWS
14:49:46.0434 0x0630  System windows directory: C:\WINDOWS
14:49:46.0434 0x0630  Processor architecture: Intel x86
14:49:46.0434 0x0630  Number of processors: 1
14:49:46.0434 0x0630  Page size: 0x1000
14:49:46.0434 0x0630  Boot type: Normal boot
...
14:49:50.0149 0x0630  \Device\Harddisk0\DR0:
14:49:50.0149 0x0630  MBR partitions:
14:49:50.0149 0x0630  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x2800A34
14:49:50.0149 0x0630  \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x2800AB2, BlocksNum 0x229C0D4
14:49:50.0149 0x0630  ============================================================
14:49:50.0179 0x0630  C: <-> \Device\Harddisk0\DR0\Partition1
14:49:50.0219 0x0630  D: <-> \Device\Harddisk0\DR0\Partition2
14:49:50.0219 0x0630  ============================================================
...
14:49:52.0242 0x04c0  [ 4F4D575409F0124FF9BB30BEA4F49052, FB9A14D0D82F4D0CB51637E68FF9FF335D38A89F575C32567E81E019EE508F3E ] ACPI            C:\WINDOWS\system32\DRIVERS\ACPI.sys
14:49:52.0252 0x04c0  Suspicious file ( Forged ): C:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: 4F4D575409F0124FF9BB30BEA4F49052, sha256: FB9A14D0D82F4D0CB51637E68FF9FF335D38A89F575C32567E81E019EE508F3E, fake md5: E28AFA761D7ECAA705A00B4A86F68DA9, fake sha256: 082E1E6DA1E5B7FA0A543BFDA04212D5AD061394A93597EEE0E2A814A13E32F7
14:49:52.0252 0x04c0  ACPI - detected ForgedFile.Multi.Generic ( 1 )
14:49:52.0633 0x04c0  Object is SCO, delete is not allowed
14:49:52.0633 0x04c0  ACPI ( ForgedFile.Multi.Generic ) - warning
14:49:52.0633 0x04c0  Force sending object to P2P due to detect: C:\WINDOWS\system32\DRIVERS\ACPI.sys
14:49:52.0633 0x04c0  Object send P2P result: false

Вот собственно,что меня интересовало: буткита - нет, вся подозрительная активность связана с драйвером ACPI.sys!
Загружаюсь с лайф сиди и заменяю драйвер на чистую копию взятую из установочного образа.
И вуаля:
Изображение
Все коннектится куда надо.

Изображение
В TDSSKilller - чистота и уют.

Изображение
В RKU все чисто - стелс кода нет.

PS.Копию зараженного драйвера проверяю на вирустотале и он рапортует о частичном детекте. Этот руткит обладает функционалом подмены DNS записей. Т.К. адреса резолвились с коррекцией злоумышлиника, то вместо легитимного сервера службы обновления M$ - мы подключались к хакерской заглушке. Я не стал перехватывать трафик и анализировать действия руткита - это все в будущем.

[далее...]
mosk loaded, but checksum wrong...(c)
Аватара пользователя
:NJ:
 
Сообщения: 15
Зарегистрирован: Пт сен 25, 2009 12:52 pm
Откуда: Краматорск, Донецкая обл., Украина

Вернуться в Конфигурация Windows

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2