Привет Хабр. Я надеюсь найти тут специалиста который поможет мне решить проблему в которую попал я, а как позже выяснилось и все мои знакомые (еще 5 человек). Давайте начну свой разговор предоставив данные своей системы, возможно это в дальнейшем пригодится. Рассказ будет долгим я хочу максимально посвятит вас в детали происходящего что бы вы могли максимально вникнуть в происходящее и предложить более актуальную помощь. Сразу оговорюсь вирус размещает твой пк локально в сети хакеров и дает им полный доступ, с зараженных пк ботнет делает
DDOS-атаки и
ворует личные данные.
Motherboard: MSI Tomahawk MAX II B450
CPU: Ryzen 5 3500x
GPU: GTX 1080
SSD: Samsung Lancer Evo 970+
Ethernet: Apple iphone подключенный USB с раздачей интернета
Я обнаружил судя по всему новый а возможно и какой-то старый но модифицированный Botnet пакет вирусов который превращает мой пк в игрушку для хакеров (и не только мой). За время моей борьбы с ним мне удалось выяснить некоторые вещи, но я не специалист, я предоставлю все что мне удалось лично узнать. Очень надеюсь на вашу помощь, так же если вам необходимо будет запросить какую-то дополнительную информацию или попросить что-то проверить дополнительно вы всегда можете это сделать.
С чего все началось?
Два недели назад я работал с
Inno Setup и для проекта скачал библиотеку
isslideshow.dll с сайта
zhaodll.co. После распаковки архива начались частые синие экраны смерти, которые раньше появлялись редко. Я подумал, что виноват старый
SSD, но через несколько часов работы без синих экранов решил сохранить важные файлы на флешку. Во время установки
Gothic 3 с торрента появилась рекламная софтвина вроде
RAV VPN и
RAV Antivirus. Попытки удалить их не увенчались успехом: окна и папки закрывались сами. Тогда я понял, что в системе есть удаленный доступ — крысеныш.
Крысеныш обнаружен
Далее я посвятил себя изучению статей на тему кибербезопасности и защиты от удаленного доступа. Поставил
Comado Firewall и нашел потрясающий софт а именно
Display Connected от 10-strike. Про первый я думаю вы и так наслышаны а вот на втором остановимся по подробнее.
Display Connected от 10-strike - позволяет мониторить момент когда крысеныш удаленно подключается к дисплею. Так же он позволяет мониторить изменения происходящие в указанных тобую папках. Что было удалено а что было записано или измененно, я собрал вам оттуда логов на изучение на об этом попозже. Эта утилита оказалось крайне полезной.
Ближе к делу, что мне лично удалось выяснить?
Первое что я выяснил после открытия/распаковки зараженного архива в папке
%temp% создается папка
WinRar.exe.WebView2. Дата и время создания этой папки совпадает с датой и временем открытия мною того архива. Сам по себе винрар предустанавливать вам
WebView2 не будет. В той папке было много .js скриптов.
Это первый звоночек о заражении, позже я искал у кого бы из знакомых поставить на чистую флешку себе винду и проверял их компы. Пятеро моих знакомых как оказалось тоже подцепили этот вирус с WinRar архивов. Я так же проверял их PC с помощью
Display Connections и у всех обнаружил этих крыс. Хотя операторы там попадаются немного разные, не все из них коннектятся часто или постоянно, так как подгружать файлы на пк или делать некоторые свои операции они могут без необходимости соеденятся с десктопом. Таких операторов можно выманить если скачать и
образ Linux и открыть его свойства. Сразу же в эту же секунду будет
Connected.
Как я понимаю хакерам необходим
WebView2 для каких-то их процессов. Они часто используют
Edge для своих целей но об этом чуть по позже.
Этот ботнет сейчас активно распространяется.
Пять моих знакомых тоже заразились, и у каждого был свой источник заражения. Я проверил архив, с которого сам подцепил вирус, на
VirusTotal — ничего не нашел. Но если на зараженном ПК установлен Nod32 Premium и проверить архив через
VirusScan в WinRAR с указанными параметрами,
Nod32 обнаруживает вирус и блокирует его.
Все известные мне случаи заражения были не более месяца назад.
Скриншоты
Запаковываем любую ерунду и проверяем
Nod32 находит проблему
Этот же архив на
VirusTotal
Один знакомый подцепил такой архив когда качал мод для игры
DayZ, другой скачивал
MinerSearch в архиве. Но больше всех меня удивил тип который скачал с оффициального сайта
AsRock софт для управления подсветкой материнской платы. Получается и у них система зараженна. Вообщем как эта гадость распространяется думаю я пояснил, обязательно проверьте свой пк, вдруг и вы уже в системе.
Может просто переустановить винду? Ну на крайняк хоть прошивку биоса поставь. Не тут то было...
Я думаю вы уже все догадались что вынести его просто переустановив Windows не получится. Однако я сделал некоторые интересные наблюдения, правда скринов не осталось...
Скажу сразу диски я чистил под ноль используя
SSD Secure Erasure+ внутри BIOS.
Во всех описанных мною ниже ситуациях я переустанавливаю Windows/перепрошиваю BIOS и сразу после этого с флешки устанавливаю
Display Connected. Его я настраиваю на мониторинг основного жесткого диска (он у меня впринципе 1). Он создает логи куда пишет все действия на этом диске создание/удаление файлов/папок и прочего. Логи я вам так же предоставлю для ознакомления в них хорошо видны нестандартные действия вируса. Грязной флешкой я буду называть ту флешку что хоть раз бывала в зараженном пк.
1.) Если с грязной флешкой переустановить Windows. Уже через несколько минут будут видны логи с действиями вируса, тобишь почти сразу. Если что
ConnMonn.exe это сам софт для мониторинга.
Логи тут ->
Pastebin
Логи если включить интернет ->
Pastebin
2.) Если с грязной флешкой перепрошить BIOS и поставить снова винду.
Будет тоже что и в 1ом пункте
3.) С чистой флешки поставить
Windows
Будет тоже что и в 1ом пункте
4.) С чистой флешки поставить
Windows и перепрошить
BIOS.
Вот тут уже намного интереснее правда зараза логов у меня не осталось. Действие вируса а точнее его основные логи начинались только через 1 час. Победа думал я тогда уже, но увы, не судьба...
Я читал про
ROOTKIT UEFI вирус который Kaspersky обнаружили в 2022 году
CosmicStrand
Я не специалист и честно говоря половина статьи мне просто не понятно, но кое-что общее я все же заметил.
В той статье говорится что вирус хранился в
UEFI и с загрузкой
ОС в систему попадала часть вируса ответственная за связь с основным центром хакеров и последующей закачкой оттуда основной части вируса. Четвертый случай очень похож на такое поведение, возможно такой процесс с чистой флешки с прошивкой биоса смог уничтожить как раз тот кусок что был отвественнен за запуск связи с основным их сервером. Но это лишь мои догадки.
Основная загрузка вируса начинается когда в папке
%temp% создается файл без расширения с названием
offline. Вот его содержимое ->
https://pastebin.com/6zsXwYg1
Честно говоря с этим мне много конечно не понятно, но это тенденция которую я заметил.
Замена ядра Windows
Так же я предполагаю что любая винда которую я устанавливаю по факту уже вирусная а ядро Windows вполне возможно подмененно. Поясню почему я так думаю. После любой переустановки Windows если открыть папку
%temp% то там по дефолту есть файл
msedge_installer.txt. В нем происходит обнолвение MS Edge до версии
92.0.902.67 с командами обращающимися к командной строке
--configure-user-settings --verbose-logging --system-level --msedge
Тут фулл ->
https://pastebin.com/cz64vzk8
Я просил
ChatGpt мне обьяснить что да как там в этих логах происходит и исходя из им описанное я так понимаю что
MS Edge устанавливается сразу версии
92.0.902.67 с параметрами которые шарят его для всех юзеров а не только аднимистратора. Я прям уверен что это не стандартное обноление
Microsoft сразу после установки новой винды.
К сожалению мне не хватает кл-ва символов что бы продолжить, но все основное что я знаю я рассказал. Надеюсь на вашу помощь.