Как одержать победу над свежим Botnet вирусом?

Привет Хабр. Я надеюсь найти тут специалиста который поможет мне решить проблему в которую попал я, а как позже выяснилось и все мои знакомые (еще 5 человек). Давайте начну свой разговор предоставив данные своей системы, возможно это в дальнейшем пригодится. Рассказ будет долгим я хочу максимально посвятит вас в детали происходящего что бы вы могли максимально вникнуть в происходящее и предложить более актуальную помощь. Сразу оговорюсь вирус размещает твой пк локально в сети хакеров и дает им полный доступ, с зараженных пк ботнет делает DDOS-атаки и ворует личные данные.

Motherboard:
MSI Tomahawk MAX II B450
CPU: Ryzen 5 3500x
GPU: GTX 1080
SSD: Samsung Lancer Evo 970+
Ethernet: Apple iphone подключенный USB с раздачей интернета

Я обнаружил судя по всему новый а возможно и какой-то старый но модифицированный Botnet пакет вирусов который превращает мой пк в игрушку для хакеров (и не только мой). За время моей борьбы с ним мне удалось выяснить некоторые вещи, но я не специалист, я предоставлю все что мне удалось лично узнать. Очень надеюсь на вашу помощь, так же если вам необходимо будет запросить какую-то дополнительную информацию или попросить что-то проверить дополнительно вы всегда можете это сделать.

С чего все началось?

Два недели назад я работал с Inno Setup и для проекта скачал библиотеку isslideshow.dll с сайта zhaodll.co. После распаковки архива начались частые синие экраны смерти, которые раньше появлялись редко. Я подумал, что виноват старый SSD, но через несколько часов работы без синих экранов решил сохранить важные файлы на флешку. Во время установки Gothic 3 с торрента появилась рекламная софтвина вроде RAV VPN и RAV Antivirus. Попытки удалить их не увенчались успехом: окна и папки закрывались сами. Тогда я понял, что в системе есть удаленный доступ — крысеныш.

Крысеныш обнаружен

Далее я посвятил себя изучению статей на тему кибербезопасности и защиты от удаленного доступа. Поставил Comado Firewall и нашел потрясающий софт а именно Display Connected от 10-strike. Про первый я думаю вы и так наслышаны а вот на втором остановимся по подробнее.

Display Connected от 10-strike - позволяет мониторить момент когда крысеныш удаленно подключается к дисплею. Так же он позволяет мониторить изменения происходящие в указанных тобую папках. Что было удалено а что было записано или измененно, я собрал вам оттуда логов на изучение на об этом попозже. Эта утилита оказалось крайне полезной.

Ближе к делу, что мне лично удалось выяснить?

Первое что я выяснил после открытия/распаковки зараженного архива в папке %temp% создается папка WinRar.exe.WebView2. Дата и время создания этой папки совпадает с датой и временем открытия мною того архива. Сам по себе винрар предустанавливать вам WebView2 не будет. В той папке было много .js скриптов.

Вот так оно выглядит
672aedb5ee5cf991689831.jpeg


Это первый звоночек о заражении, позже я искал у кого бы из знакомых поставить на чистую флешку себе винду и проверял их компы. Пятеро моих знакомых как оказалось тоже подцепили этот вирус с WinRar архивов. Я так же проверял их PC с помощью Display Connections и у всех обнаружил этих крыс. Хотя операторы там попадаются немного разные, не все из них коннектятся часто или постоянно, так как подгружать файлы на пк или делать некоторые свои операции они могут без необходимости соеденятся с десктопом. Таких операторов можно выманить если скачать и образ Linux и открыть его свойства. Сразу же в эту же секунду будет Connected.

Как я понимаю хакерам необходим WebView2 для каких-то их процессов. Они часто используют Edge для своих целей но об этом чуть по позже.

Этот ботнет сейчас активно распространяется.

Пять моих знакомых тоже заразились, и у каждого был свой источник заражения. Я проверил архив, с которого сам подцепил вирус, на VirusTotal — ничего не нашел. Но если на зараженном ПК установлен Nod32 Premium и проверить архив через VirusScan в WinRAR с указанными параметрами, Nod32 обнаруживает вирус и блокирует его. Все известные мне случаи заражения были не более месяца назад.

Скриншоты

Запаковываем любую ерунду и проверяем
672af74e0a598610250924.jpeg
Nod32 находит проблему
672af77fcc376360281759.jpeg
Этот же архив на VirusTotal
672af7d42e12d350475341.png


Один знакомый подцепил такой архив когда качал мод для игры DayZ, другой скачивал MinerSearch в архиве. Но больше всех меня удивил тип который скачал с оффициального сайта AsRock софт для управления подсветкой материнской платы. Получается и у них система зараженна. Вообщем как эта гадость распространяется думаю я пояснил, обязательно проверьте свой пк, вдруг и вы уже в системе.

Может просто переустановить винду? Ну на крайняк хоть прошивку биоса поставь. Не тут то было...

Я думаю вы уже все догадались что вынести его просто переустановив Windows не получится. Однако я сделал некоторые интересные наблюдения, правда скринов не осталось...

Скажу сразу диски я чистил под ноль используя SSD Secure Erasure+ внутри BIOS.
Во всех описанных мною ниже ситуациях я переустанавливаю Windows/перепрошиваю BIOS и сразу после этого с флешки устанавливаю Display Connected. Его я настраиваю на мониторинг основного жесткого диска (он у меня впринципе 1). Он создает логи куда пишет все действия на этом диске создание/удаление файлов/папок и прочего. Логи я вам так же предоставлю для ознакомления в них хорошо видны нестандартные действия вируса. Грязной флешкой я буду называть ту флешку что хоть раз бывала в зараженном пк.

1.) Если с грязной флешкой переустановить Windows. Уже через несколько минут будут видны логи с действиями вируса, тобишь почти сразу. Если что ConnMonn.exe это сам софт для мониторинга.
Логи тут -> Pastebin
Логи если включить интернет -> Pastebin

2.) Если с грязной флешкой перепрошить BIOS и поставить снова винду.
Будет тоже что и в 1ом пункте

3.) С чистой флешки поставить Windows
Будет тоже что и в 1ом пункте

4.) С чистой флешки поставить Windows и перепрошить BIOS.
Вот тут уже намного интереснее правда зараза логов у меня не осталось. Действие вируса а точнее его основные логи начинались только через 1 час. Победа думал я тогда уже, но увы, не судьба...

Я читал про ROOTKIT UEFI вирус который Kaspersky обнаружили в 2022 году CosmicStrand
Я не специалист и честно говоря половина статьи мне просто не понятно, но кое-что общее я все же заметил.
В той статье говорится что вирус хранился в UEFI и с загрузкой ОС в систему попадала часть вируса ответственная за связь с основным центром хакеров и последующей закачкой оттуда основной части вируса. Четвертый случай очень похож на такое поведение, возможно такой процесс с чистой флешки с прошивкой биоса смог уничтожить как раз тот кусок что был отвественнен за запуск связи с основным их сервером. Но это лишь мои догадки.

Основная загрузка вируса начинается когда в папке %temp% создается файл без расширения с названием offline. Вот его содержимое -> https://pastebin.com/6zsXwYg1
Честно говоря с этим мне много конечно не понятно, но это тенденция которую я заметил.

Замена ядра Windows

Так же я предполагаю что любая винда которую я устанавливаю по факту уже вирусная а ядро Windows вполне возможно подмененно. Поясню почему я так думаю. После любой переустановки Windows если открыть папку %temp% то там по дефолту есть файл msedge_installer.txt. В нем происходит обнолвение MS Edge до версии 92.0.902.67 с командами обращающимися к командной строке --configure-user-settings --verbose-logging --system-level --msedge

Тут фулл -> https://pastebin.com/cz64vzk8

Я просил ChatGpt мне обьяснить что да как там в этих логах происходит и исходя из им описанное я так понимаю что MS Edge устанавливается сразу версии 92.0.902.67 с параметрами которые шарят его для всех юзеров а не только аднимистратора. Я прям уверен что это не стандартное обноление Microsoft сразу после установки новой винды.

К сожалению мне не хватает кл-ва символов что бы продолжить, но все основное что я знаю я рассказал. Надеюсь на вашу помощь.
  • Вопрос задан
  • 7420 просмотров
Пригласить эксперта
Ответы на вопрос 4
EPIDEMIASH
@EPIDEMIASH
Человек швейцарский нож
Уверен нужен комплекс. От базы: перепрошивка BIOS и чистая установка ОС, изоляция устройств, проверка и мониторинг системных каталогов на изменение и тд, настройка фаерволов и установка антивирусов. Но в вашем случае, вы даже можете обратиться к лабе Kaspersky, ESET и тд. Возможно вам не откажут.
Ответ написан
@Nikita1244
Anonymous
У меня идея следующая.

1. Купить программатор. Стоит порядка 200-400 рублей, ch341a/ch341b вроде должен подойти.
2. Отключить зараженный компьютер нахрен от Интернета
3. С незаражённого компьютера провести прошивку BIOS/UEFI через программатор
4. С Live-cистемы Linux уничтожить все разделы и данные на всех дисках, которые были подключены к компьютеру. Возможно даже стоит все перезаписывать нулями.
5. Установить чистую Windows.
6. Проверить на активность вредоносного ПО.

P.S. Еще у HDD (у SSD не помню, есть ли или нет) дисков есть spi флеш-память, там хранится прошивка. Возможно сами firmware дисков также заражены. Программатор ch341a/ch341b вроде-как тоже может прошить эти флеш-памяти

P.S.2. В видеокарте (внешней) также есть флеш память для хранения прошивки видеокарты. Также может быть заражена.

Конечно, я может, переоцениваю хакеров.
Ответ написан
@alpi_bel
Я бы попробовал drweb cureit. Есть версия для usb. https://free.drweb.ru/aid_admin/
Скачивает,е записываете на usb, отключаете от сети и грузитесь с этой флешки. И полный скан всего и вся. Что найдёт- удалять, через софтину.
Отпишитесь по результатам.
Если не поможет - можете обратиться к ним на форум(найдёте адрес в сети), в раздел помощи, там я думаю вам точно помогут.
Ответ написан
Комментировать
@Hafmaer
Всё выше описанное похоже на заражение именно Windows... По крайней мере канал заражения обеспечивает Windows в случае с UEFI и MBR.
Я бы на вашем месте ушел бы с Windows, т.к. необходимо работать, а не бороться с вредоносным софтом.
Сам даже виртуалку с Windows удалил.
Работаю на Linux и MacOS X. Как ушел с Windows - жизнь стала проще.
Если вы занимаетесь разработкой софта на платформе dotnet, то проблем вообще нет. Rider стал бесплатным. dotnet - кросс-платформа. Все остальные актуальные компиляторы также кроссплатформенные.
С Windows нас связывают только привычки, ИМХО... Сложнее пользователям уникального профессионального Windows-софта, но в текущих реалиях санкций, количество такового постепенно сокращается.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
21 нояб. 2024, в 13:18
2000 руб./за проект
21 нояб. 2024, в 13:16
1500 руб./за проект
21 нояб. 2024, в 13:15
2500 руб./за проект