Skocz do zawartości


tablety.pl
- - - - -

Usuwanie rootkita Bagle (wariant srosa.sys)




  • Zaloguj się, aby dodać odpowiedź
Brak odpowiedzi do tego tematu

#1 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 24 04 2008 - 01:01

Jako, że znów mamy tu dużo przypadków, kompleksowa zbiorcza instrukcja:


Usuwanie rootkita Bagle:


Objawy:

Źródło infekcji: zwykle ręczne ściągnięcie i uruchomienie "programu" (keygen / crack / "patcher"), przykładowo pobranie via eMule (w raportach AV mieliśmy na forum dużo wyników z folderu Incoming eMule), możliwa infekcja przez załączniki e-mail. Charakterystyczne znaki zainfekowania:

- Padają programy ochronne typu antywirusy / firewalle / szczepionki / narzędzia logów (Gmer, HijackThis, ComboFix...). Większość aplikacji tej kategorii nie uruchamia się zwracając błąd "nie jest prawidłową aplikacją win32" / "not a valid win32 application". Co więcej: nie da się ich przeinstalować lub zainstalować innych programów o tej funkcjonalności = ten sam błąd.
- Nie działa tryb awaryjny, przy próbie wejścia jest natychmiastowy reset komputera lub krytyczny Blue Screen (Bagle kasuje cały klucz trybu awaryjnego SafeBoot)
- Po starcie komputera może się zgłaszać sfałszowane okno dialogowe otwierania plików "Select a file to crack". Niezależnie od tego jaki plik wskaże się w tym oknie = zawsze jest zwracana odpowiedź "Incorrect file version!".
- System i internet pracują bardzo wolno
- W Menedżerze zadań ewentualnie można zaobserwować pracujące w tle procesy o losowych nazwach numerycznych np. 827156.exe.
- Niewidoczny folder sterowników Windows C:\WINDOWS\system32\drivers
- Nie działa sieć bezprzewodowa Wi-Fi, nie pomagają reperacje i reinstalacje sterowników (Bagle wyłącza sterownik ndisuio.sys):

Dołączona grafika

Elementy:

Pełną analizę zachowania rootkita macie w dobrym opisie na BlueTack: KLIK. Tylko największy skrót:
  • Rootkit tworzy usługę sterownikową Srosa oraz zestaw ukrytych plików:
    C:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\drivers\hldrrr.exe
    C:\WINDOWS\system32\mdelk.exe
    C:\WINDOWS\system32\wintems.exe
  • W katalogu drivers jest też tworzony dodatkowy folder z masą losowych exeków. Folder ten może mieć różne nazwy, zwykle abrewiacja od słowa "download":
    C:\WINDOWS\system32\drivers\down
    C:\WINDOWS\system32\drivers\downld

    W starszej wersji rootkita występował folder w innym miejscu i pod inną nazwą (zdarza się, że występują dwa foldery Bagle na raz, stary + nowy):
    C:\Documents and Settings\Konto użytkownika\Dane aplikacji\m
  • Ponadto w systemie mogą być zainfekowane pliki pożytecznych programów, które będą rekonstruować infekcję po jej pozornym usunięciu.




Usuwanie (dla Windows 2000 - Vista):


Jeśli komputer startuje w trybie normalnym


Od razu komentarz wstępny. Bagle atakuje wszystkie programy "wg nazwy" = to znaczy narzędzia da się uruchomić, jeśli zostaną na dysk dostatecznie szybko zapisane (w trakcie ściągania a nie po!) pod inną nazwą, najlepiej losową.

1. Tymczasowa naprawa trybu awaryjnego: Użyj narzędzia SafeBootKeyRepair.exe. Uwaga: Bagle może po naprawie awaryjnego ponownie go skasować i akcja musi być repetowana, do skutku. Ten punkt nie dotyczy systemu Vista: klucz SafeBoot wygląda całkiem inaczej, poza tym na Vista Bagle nie kasuje awaryjnego.

2. Wejście w awaryjny w celu rozpoczęcia akcji: tryb awaryjny z obsługą sieci. Uwaga: do trybu awaryjnego wchodzić tylko i wyłącznie metodą przez klawisz F8 a nie msconfig (! w przeciwnym wypadku po ponownym skasowaniu awaryjnego jest niemożliwe wejście do żadnego z trybów Windows !). Wejście w awaryjny ma służyć pobraniu na dysk narzędzi usuwających. Jeśli w awaryjnym z obsługą sieci nie będzie internetu, i nie możesz nic oczywiście pobrać, patrz tutaj: klik.

3. Usunięcie głównych plików rootkita: pobierz i uruchom narzędzie ComboFix. Uwaga: przy pobieraniu od razu wskazać, by zapisał się pod zmienioną losową nazwą np. jjfdsdgjkl:

Dołączona grafika

Dołączona grafika

Typowy finałowy log z pomyślnego usuwania rootkita Bagle:

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Kamilun\Dane aplikacji\m
C:\Documents and Settings\Kamilun\Dane aplikacji\m\data.oct
C:\Documents and Settings\Kamilun\Dane aplikacji\m\flec006.exe
C:\Documents and Settings\Kamilun\Dane aplikacji\m\list.oct
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\4RealFX for DFX 2.1.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\A Horribly 3D Halloween Screensaver for Mac OS X 1.0.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Acker DVD Ripper 2.0.16.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Age of Mythology - Forest Blood 3 scenario.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Cerberus Privacy Protector 1.2.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Change Printer Plug-in 2.4.0.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Clever Internet ActiveX Suite 6.2.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Collection Studio 1.38.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\ColorPicker 1.0.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\EzeePDF 3.6.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Kaspersky.Anti-Virus.5.0.149.4[��].zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Memtest86+ 1.70.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\nVidia Detonator Driver (Win NT) 30.83.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Skype4Outlook Toolbar B09.30.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\TetriBattle3 100% 1.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\shared\Warcraft III - Ruins of Ashenvale Forest map.zip
C:\Documents and Settings\Kamilun\Dane aplikacji\m\srvlist.oct
C:\WINDOWS\system32\ban_list.txt
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\down\693393796.exe
C:\WINDOWS\system32\drivers\down\693400453.exe
C:\WINDOWS\system32\drivers\down\693422406.exe
C:\WINDOWS\system32\drivers\down\693437312.exe
C:\WINDOWS\system32\drivers\down\693469593.exe
C:\WINDOWS\system32\drivers\down\693474078.exe
C:\WINDOWS\system32\drivers\down\693479906.exe
C:\WINDOWS\system32\drivers\down\693548265.exe
C:\WINDOWS\system32\drivers\down\693565062.exe
C:\WINDOWS\system32\drivers\down\693594953.exe
C:\WINDOWS\system32\drivers\down\693612484.exe
C:\WINDOWS\system32\drivers\down\693627156.exe
C:\WINDOWS\system32\drivers\down\693643406.exe
C:\WINDOWS\system32\drivers\down\693717281.exe
C:\WINDOWS\system32\drivers\down\693724203.exe
C:\WINDOWS\system32\drivers\down\693726984.exe
C:\WINDOWS\system32\drivers\down\694290109.exe
C:\WINDOWS\system32\drivers\down\694312812.exe
C:\WINDOWS\system32\drivers\down\694352750.exe
C:\WINDOWS\system32\drivers\down\694385859.exe
C:\WINDOWS\system32\drivers\down\703750.exe
C:\WINDOWS\system32\drivers\down\706093.exe
C:\WINDOWS\system32\drivers\down\771234.exe
C:\WINDOWS\system32\drivers\down\803453.exe
C:\WINDOWS\system32\drivers\down\815500.exe
C:\WINDOWS\system32\drivers\down\827156.exe
C:\WINDOWS\system32\drivers\down\837734.exe
C:\WINDOWS\system32\drivers\down\867734.exe
C:\WINDOWS\system32\drivers\down\879968.exe
C:\WINDOWS\system32\drivers\down\886359.exe
C:\WINDOWS\system32\drivers\down\893203.exe
C:\WINDOWS\system32\drivers\down\904328.exe
C:\WINDOWS\system32\drivers\down\933703.exe
C:\WINDOWS\system32\drivers\down\995984.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SROSA
-------\Service_srosa

4. Usunięcie kopii z usuwania i systemowych: Zaznacz na dysku folder C:\Qoobox z kwarantanną ComboFixa i z klawiatury SHIFT+DEL (omija Kosz). Wyłącz Przywracanie systemu = instrukcje. Obie akcje po to, by skaner uruchomiony w następnym punkcie nie wykrywał tych kopii.

5. Wykrycie plików reinfekujących: Zainstaluj narzędzie Kaspersky Removal Tool i wykonaj nim pełne sprawdzanie komputera. Wszystkie programy wykryte jako Bagle definitywnie usunąć. Jeśli to jest jakiś pożyteczny program = będzie wymagał reinstalacji. Przykłady z wybranych raportów użytkowników forum, co może być zainfekowane przez Bagle (programy / cracki / pliki tymczasowe):

Detected
--------
Status  Object
------ ------
deleted: Trojan program Trojan-Downloader.Win32.Bagle.ma File: c:\program files\autoconnect\autoconnect.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.mn File: c:\program files\sony\sonicstage\ssaad.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.mn File: c:\program files\powerarchiver\pastarter.exe
detected: Trojan program Trojan-Downloader.Win32.Bagle.mn File: c:\program files\common files\lightscribe\lightscribecontrolpanel.exe -hidden

detected: Trojan program Trojan-Downloader.Win32.Bagle.ik File: c:\program files\mouse\mousedrv.exe

deleted: Trojan program Trojan-Downloader.Win32.Bagle.lm File: = c:\program files\emule\emule.exe -autostart
deleted: Trojan program Trojan-Downloader.Win32.Bagle.lm File: = C:\eMule\Nero Mega Plugin Pack 1.0.zip/Nero Mega Plugin Pack 1.0.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.lm File: =C:\Program Files\Nero\Nero 7\Core\Nero Mega Plugin Pack 1.0.exe

deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: D:\Downloads\pdf2cad 6.5.zip/pdf2cad 6.5.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: D:\Intalki\Programy\PDF konwerter\PDF to DXF JPG TIFF Converter 1.0 With Crack.zip/PDF to DXF JPG TIFF Converter 1.0 With Crack.exe
deleted: Trojan program Trojan-Downloader.Win32.Bagle.nb File: D:\Intalki\Programy\PDF konwerter\pdf2cad 6.5 (Key).zip/pdf2cad 6.5 (Key).exe

detected: virus Email-Worm.Win32.Bagle.of File: C:\Documents and Settings\Wojtek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\5AL07COV\b64_3[1].jpg
detected: virus Email-Worm.Win32.Bagle.of File: C:\Documents and Settings\Wojtek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\5AL07COV\b64_3[2].jpg

Jeśli uruchamianie Kasperskiego zwróci błąd "Aplikacja nie została pomyślnie zainicjowana" / "Uruchomienie aplikacji nie powiodło się nie znaleziono premote.dll" = narzędzie zostało uszkodzone przez Bagle i należy pobrać + uruchomić jego nową kopię. Do skutku.

6. Włączenie sterownika sieci bezprzewodowej:

Start >>> Uruchom >>> devmgmt.msc

W menu Widok zaznacz Pokaż ukryte urządzenia. Pojawi się szara lista urządzeń niezgodnych z PnP. Na niej proszę wyszukać sterownik Protokół We/Wy trybu użytkownika NDIS / NDIS Usermode I/O Protocol (ndisuio.sys). Dwuklik na usługę, przejść do tabu sterownika, start przestawić na typ Auto i usługę zastartować buttonem. Proszę sobie nie pomylić sterowników! Na liście będzie kilka pozycji mających nazwę "NDIS". Broń Boże nie ruszać głównego "Sterownika systemu NDIS" - inaczej komputer już nie zastartuje. Powtarzam raz jeszcze = chodzi o sterownik ndisuio.sys:

Dołączona grafika

7. Włączenie wyświetlania katalogu drivers:

Start >>> Uruchom >>> cmd i wpisz polecenie:

ATTRIB -S -H C:\WINDOWS\system32\drivers

8. Naprawa uszkodzonego softu: wszystkie programy, które zwracały błąd "nie jest prawidłową aplikacją", nie naprawią się same. Są zdefektowane. Muszą być przeinstalowane z nowych kopii.


Jeśli instrukcja nie działa = wykonywać ją do skutku na nowych kopiach narzędzi pod zmienionymi losowymi nazwami (Bagle uszkadza ComboFix + Kasperskiego, jeśli się nie zdąży na czas). Jeśli coś nadal jest nie w porządku, lub chcecie się upewnić, że problemu nie ma = należy zgłosić się na forum z nowowygenerowanym logiem z ComboFix oraz raportem Kasperskiego z sekcji Detected (Events wyciąć, nieistotne).




Jeśli komputer nie startuje w żadnym z trybów


Do systemu zupełnie nie można wejść. Niezależnie od wybranego trybu (normalny / awaryjny i ich podtypy) następuje natychmiastowy restart komputera. Zwykle jest to skutek uboczny pozorowanej naprawy trybu awaryjnego i wejście do niego za pomocą metody msconfig. Jeśli tryb awaryjny zostanie tymczasowo naprawiony, ale Bagle zdąży go ponownie skasować, ustawienie wchodzenia do trybu awaryjnego przez msconfig ma krytyczne skutki. Przy braku trybu awaryjnego komputer wchodzi w niekończącą się pętlę, a nie można usunąć tego ustawienia, bo by przestawić na powrót w msconfig bootowanie na tryb normalny, trzeba wejść ... w tryb awaryjny (którego nie ma). Do wyboru, dwa proponowane wyjścia z opresji:

1. Wykonać na dowolnym dostępnym a sprawnym komputerze płytkę LiveCD XP + start z niej by wykonać te instrukcje: KLIK / KLIK.

2. Ewentualnie metoda przez Konsolę Odzyskiwania, by wykonać modyfikację pliku BOOT.INI mającego dopisek /safeboot: KLIK.






.




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych