Умный вирус с майнером
Хотел бы поделиться, как ошибка человеческого фактора позволила заразить компьютер вирусом, который будет запрещать всё что пользователю захочется сделать в системе, а что самое главное в виде бонуса ещё и майнер.
Откуда он появился
Любой пользователь, который когда-либо сталкивался с вирусом в системе, вероятно задавался вопросом: «Откуда он мог появится?»
Исходя из логической цепочки, любой вирус зачастую появляется благодаря фактору, находящемуся напротив монитора. Современные антивирусы достаточно хорошо вооружены чтобы спасать пользователя от несчастных случаев заражения системы, однако, отсутствие антивируса гарантирует высокопроцентные риски заражения. Но и вирусы не отстают в развитии, так например вирус с которым я столкнулся мог просто убить все антивирусы после того, как я запустил его от имени администратора.
И так, мне захотелось поиграть в GTA 2.
Для начала я пошел в Steam, но скачать её там нельзя, поэтому пришлось искать её на просторах интернета. На моё удивление, данная версия игры не особо распространена на торрентах. Поэтому, прищурившись стал искать откуда можно её скачать.
Попался мне один сайт с которого ранее я скачивал какую-то игру многолетней давности, но тогда всё было хорошо.
И вот, 1.1 Гб скачались:
data1.bin был удален антивирусом, но не столь важно
Поскольку после запуска Setup.exe ничего не произошло тогда 4 дня назад, то я удалял скачанное. И чтобы продемонстрировать в статье, скачал снова.
Разберем несколько моментов, которые были тревожными звоночками и которые я благополучно проигнорировал.
1. Смущает наименование — Torrent Game
2. Слишком скромная структура «установщика»
По поводу бинарных файлов, хеш-суммы у всех разные.
День заражения
4 дня назад я запустил этот Setup.exe, вроде ничего не предвещало беды, после запуска никакой установщик не появился, процесса установки не было.
Подумал я, что такое может быть, но тогда я хорошо запомнил этот момент и подумал, что он будет первым подозреваемым если у меня что-то пойдет не так в системе. И честно говоря, никогда не возникало подобных мыслей, но здесь это насторожило.
И эти 4 дня ничего не происходило. Компьютер я не выключаю, а оставляю в спящем режиме. Всё работало штатно и вот я решил перезагрузить компьютер (делаю это периодически), после включения поведение компьютера сильно изменилось.
У меня всегда на втором мониторе запущена Speccy в которой я мониторю состояние компьютера в градусах. После запуска системы внезапно процессор стал грузиться в 72 градуса, а через небольшое количество времени начала видеокарта.
Стал разбираться, открываю диспетчер задач и вижу как системные прерывания напрягают процессор в 100%.
Но, как выяснилось позже, этот момент стал началом заражения. Также перед этим, я проверял драйвера через «LatencyMon», так как подумал, вдруг Nvidia снова чудит с драйверами.
Система заражена
Это я понял, когда при попытке зайти на любой сайт, меня бросало с ошибкой сертификата:
Скрин из интернета, но суть точно такая же
После того как вы попытаетесь зайти на какой-либо сайт, увидев это, вирус записывает в hosts (который лежит в C:\Windows\System32\drivers\etc\hosts) все эти сайты и направляет в 8.8.8.8
И при попытке зайти на любой сайт из этого списка будет так:
А в диспетчере несколько подозрительных процессов запущенных под видом звукого драйвера ReaItek лежащие не в System32, а в ProgramData
Потеря прав администратора и управления над системой
Дальше веселее.
Вирус отбирает админку, теперь что-либо сделать «от имени администратора» не получится, совсем. При попытке зайти в любой браузер — он закрывается либо мгновенно либо через N секунд. Огромное большинство системного функционала — закрывается сразу. К примеру, в msconfig я не смог попасть чтобы оказаться в «безопасном режиме».
Контроль над системой потерян.
Как остановить майнер временно
Всё просто, я отключил интернет на компьютере, майнер перестал действовать. Но, вирус ещё продолжал функционировать и запрещать любые действия.
Победа над вирусом. Удаление.
Конечно же, я пошел в интернеты чтобы найти ответ на мой случай по ключевым словам. Одну полезную статью я нашел так: «Вирус закрывает диспетчер задач и браузер».
НО! Решение отличалось от того, что мне удалось найти.
Открываем и редактируем файл hosts.
Переходим в C:\Windows\System32\drivers\etс\hosts, выбираем любую программу кроме блокнота с помощью которой можно отредактировать файл, у меня был Notepad++, его вирус не закрывает и поэтому можно спокойно редактировать.Удаляем всё кроме комментариев (обозначены как #) и оставляем:
127.0.0.1 localhost
::1 localhost
Там примерно 20–30 сайтов и доменные имена с DNS 8.8.8.8 (ниже пример что удалять)
Вирус закрывает любые браузеры, поэтому найдите способ скачать две программы и передать их на компьютер: «Антивирусная утилита AVZ» и «Kaspersky Virus Removal Tool». У меня был установлен telegram на компьютере, поэтому, я скачал две программы на телефон, оттуда отправил себе в «избранное» и на компьютере сохранил
Нужно попасть в безопасный режим. Для этого зажимаем левый Shift и нажимаем в Пуск'е пункт «перезагрузка».
Дальше, «Поиск и устранение неисправностей» → «Параметры загрузки» → «Перезагрузить» → после перезагрузки выбрать 4 пункт.В безопасном режиме запускаем AVZ.
Нажимаем «Файл» → «Выполнить скрипт».
Вводим:begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.Дальше, «Запустить». Ошибок быть не должно.
Так мы вернули права администратора.Запускаем KVRT.exe. По итогу у меня отобразились вирусы, нашлись они быстро:
Я поставил отметку «Удалить» на всём, советую сделать также. Только самый первый пункт требовал лечения.
По поводу удаления process hacker — он не запускался, подозреваю что вирус сломал мне его.Продолжить → Удаление с перезагрузкой.
После перезагрузки проверьте ещё раз на вирусы.
Реверсим вирус поверхностно
Когда вирус ещё продолжал руководить моим компьютером, я быстренько снял дамп процесса, чтобы хотя бы поверхностно посмотреть что находится внутри.
Первым делом после удаления вируса пошел проверять этот загадочный Setup.exe на VirusTotal. Впечатляющий результат:
Так как это не установщик, который как минимум мог бы быть сделан с помощью Nullsoft Scriptable Install System, поэтому при попытке его «распаковать» у меня сыпались ошибки. Тогда с помощью Detect is Easy мне удалось узнать это:
А давно ли у нас установщики делаются в Visual Studio, да ещё и по страшному упаковываются используя Themida?
Копаем дальше, нахожу распаковщик Themida (в образовательных целях)
В результате получается распакованный Setup.exe внутри которого теперь имеется список импорта обычных WinAPI функций. Строк нет от слова совсем, но они есть в дампе.
Так например удалось найти некоторые наименования процессов которые вирусом триггерятся:
Находил информацию о том, что вирус имеет несколько версий. Мне наверно немного даже повезло, так как есть другая версия, которая создает ещё и удаленное подключение к зараженному ПК. Но, кто им управляет, куда это направляется, неизвестно.
В дампе нашлось очень много доменов, но для чего они, так и осталось загадкой. Некоторые из них — свободные и продаются.
Также нашлись отсылки на использование OneCoreUAP который позволяет обеспечить совместимость со многими устройствами на базе Windows. Это говорит о том, что вирус может практически без проблем запуститься на любом устройстве Windows.
И под конец узнал, что майнился Monero, так как нашел такие домены:
moneropool.com
mine.moneropool.com
xmr.cryptopool.org
pool.monero.org
minexmr.com
monero.crypto-pool.fr
Итог
Используйте проверенные надежные антивирусы и сайты.
Не доверяйте всему что можно скачать.
Даже на проверенных источниках могут быть вирусы.
Спасибо большое «Лаборатория Касперского» за Kaspersky Virus Removal Tool, злобный вирус был быстро уничтожен!
