Thunder network что это за папка
Перейти к содержимому

Thunder network что это за папка

  • автор:

Вирусное ПО — Thunder Network

Author24 — интернет-сервис помощи студентам

Добрый день. MBAM уже в 3 раз обнаруживает одно и то же нежелательное ПО (скриншот прикреплен к посту). Удаление само собой ни к чему не приводит и ПО появляется вновь спустя пару дней. Подскажите пожалуйста как можно окончательно избавиться от этой дряни?

CollectionLog-2017.06.03-20.58.zip (84.4 Кб, 6 просмотров)

94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
Ответы с готовыми решениями:

NetStart: The system seems to lack either network cards or network drivers
Пытаюсь скачать вин10 с диска. 64бит. Говорит что нет сетевых карт или сетевых драйверов. Драйверы.

The system seems to lack either network cards or network drivers (Не загружается ОС)
Перезапустил Windows, и выскачила такая ошибка Пробывал зайти в безопасный режим, но не выходит.

Программирование thunder x3
Здравствуйте. Купил клавиатуру thunder x3 tk25. http://thunder-x3.ru/catalog/klaviatury/tk25/.

СХД Hitachi Thunder 9500V
Коллеги, пока никто не надумал купить/поменяться, предлагаю знакомиться: стенд СХД Hitachi Thunder.

Вирусоборец

Вирусоборец

149 / 145 / 26
Регистрация: 12.01.2017
Сообщений: 649

Уточните пожалуйста сами ставили Thunder Network?

Регистрация: 11.03.2016
Сообщений: 59

Нет, ставил не сам. По описанию из инета данная программа позволяет производить офф-чейн платежи. С биткоином и любым другим коином я не связан никак.

AdwCleaner[S0].txt (1.9 Кб, 60 просмотров)

Вирусоборец

Вирусоборец

149 / 145 / 26
Регистрация: 12.01.2017
Сообщений: 649

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Регистрация: 11.03.2016
Сообщений: 59
Выполнил все по инструкции. Лог прилагаю.

AdwCleaner[S1].txt (2.0 Кб, 59 просмотров)

Вирусоборец

Вирусоборец

149 / 145 / 26
Регистрация: 12.01.2017
Сообщений: 649
Подготовьте логи FRST: FAQ по работе с утилитой Farbar Recovery Scan Tool
Регистрация: 11.03.2016
Сообщений: 59
Выполнил. Логи подготовил.

FRST logs.rar (25.7 Кб, 3 просмотров)

Вирусоборец

Вирусоборец

149 / 145 / 26
Регистрация: 12.01.2017
Сообщений: 649

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint: CloseProcesses: HKLM-x32\. \Run: [] => [X] SearchScopes: HKLM -> URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords= SearchScopes: HKLM-x32 -> URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords= SearchScopes: HKLM-x32 -> URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords= Toolbar: HKLM-x32 - No Name - - No File Toolbar: HKU\S-1-5-21-198481646-2464870541-2897847936-1001 -> No Name - - No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] CHR HKLM-x32\. \Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx S3 gkernel; \??\C:\Users\A4F7~1\AppData\Local\Temp\gkernel.sys [X] - \Программа онлайн-обновления Adobe. -> No File 
Регистрация: 11.03.2016
Сообщений: 59
Выполнил все по инструкции. Лог прикрепил.
Fixlog.txt (4.4 Кб, 2 просмотров)
Вирусоборец

Вирусоборец

149 / 145 / 26 Регистрация: 12.01.2017 Сообщений: 649 Подготовите лог Universal Virus Sniffer (UVS) Регистрация: 11.03.2016 Сообщений: 59 Выполнил. Лог прикрепляю.
CARTAROMANA-HP_2017-06-07_20-58-52.7z (695.3 Кб, 3 просмотров)
Вирусоборец

Вирусоборец

149 / 145 / 26 Регистрация: 12.01.2017 Сообщений: 649
;uVS v4.0.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE BREG zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\NPM\TIDY.EXE delref HTTP://WWW.AMAZON.CO.UK/S/REF=AZS_OSD_IEAUK?IE=UTF-8&TAG=HP-UK3-VSB-21&LINK%5FCODE=QS&INDEX=APS&FIELD-KEYWORDS= delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\GOOGLEUPDATE.EXE delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL restart

Отправьте zoo.zip на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО.

Анализ вредоносного ПО Thunder

13-го апреля 2023 года в мессенджере Telegram обнаружена рассылка с архивом под красноречивым названием 这几笔错误的账单我圈出来了你看看.zip:

Сообщение с архивом

В результате анализа удалось выяснить, что архив содержит вредоносное программное обеспечение нацеленное на пользователей ОС семейства Windows, краткая схема работы которого представлена на следующем рисунке:

Схема работы ВПО

где 1 – получение архива, 2 – ручное извлечение и запуск пользователем загрузчика ВПО, 3 – подгрузка ВПО с сервера злоумышленника в сети CloudFlare,
4 – передача управления основной вредоносной программе, 5 – подключение
к серверу управления и получение команд.

В этой статье представлен технический анализ трояна. Он может быть полезен специалистам ИБ, которым хочется изучить возможности данного семпла или ознакомиться базовыми подходами ручного анализа вредоносного ПО.

Технический анализ

Загрузка

В архиве находится одноимённый исполняемым EXE файл (MD5: 50351169d2ee00143091254fc7e8b3ab), название которого в дословном переводе гугл-транслейта означает “Я обвел эти неправильные счета, чтобы вы могли видеть.exe”. Ну-с, очень заманчиво. Отметим, что вредонос совсем не “юзерфрендли”, так как пользователь должен сам распаковать и запустить его.

Тем не менее, откроем его с помощью любого удобного дизассемблера. Перейдя к main-процедуре видим, что если пользователь запустит файл, то программа скачает ряд файлов с сервера imgcache.vip033324[.]xyz, используя функцию WinAPI URLDownloadToFile:

Фрагмент дизассемблированного кода загрузчика

Отметим, что загрузчик первой стадии (beacon, stager в англоязычных источниках) никак не защищен от статического или динамического анализа. Впрочем, даже с обфускацией время жизни подобных семплов до детекта AV-решениями идёт на дни, так что ничего особенного в этом нет.

Разреверсив бинарь окончательно, получаем перечень загружаемых файлов и путей их сохранения (пытливые читатели на данном этапе могут попытаться скачать эти файлы и подключиться к анализу, если домен ещё не снесли):

URL на сервере http://imgcache.vip033324[.]xyz

Локальный путь сохранения файла

Эта информация вкупе с адресом сервера – мастхев для любых систем обнаружения таких вредоносов, так как позволяет защититься ещё до внедрения трояна в систему, или же вылечить систему путём удаления необходимых для вредоноса файлов.

Далее перейдём к поиску “полезной нагрузки”, ведь загрузчик пока никаких вредоносных действий не выполнил (да и не может их выполнить, в нем просто нет такого функционала). Может это и не вредонос вовсе, а какая-нибудь вычурная китайская программа обновления ПО?

Распаковка LiveUpdate.exe

После загрузки необходимых файлов, beacon запускает скачанную программу LiveUpdate.exe. С помощью программ типа Binwalk, DetectItEasy, PEInfo (или же просто в дизассемблере) легко можно обнаружить, что эта программа запакована с помощью упаковщика с открытым исходным кодом UPX. Просто скачиваем её с официального сайта (https://upx.github.io/) и распаковываем LiveUpdate.exe. Снова отметим, что ничего вредоносного в UPX нет, он часто используется разработчиками для сокращения размера своих программ.

Распаковка LiveUpdate.dat

Загружаем распакованный LiveUpdate.exe в дизассемблер и видим… Ничего? Да, файл не выглядит особо вредоносным, но почему-то содержит в себе виртуальную машину LUA?! Интересно… На этом этапе может помочь динамический анализ, чтобы определить, зачем же всё-таки нужен этот файл (только лучше делать это на виртуальной машине не имеющей доступа к сети). А можно не лезть в отладчик, а взглянуть на другие загруженные beacon-ом файлы.

Кроме LiveUpdate.dat, все остальные бинарные файлы в каком-то неясном формате, а вот LiveUpdate, как можно заметить в хекс-редакторе, является ZIP-архивом. Однако открыть вы его не сможете, он требует пароля. Что же, давайте попробуем поискать, кто же его разархивирует? В строках LiveUpdate.exe замечаем LiveUpdate.dat и названия запакованных в нём файлов. Переходим по ссылкам, и спустя несколько минут поисков видим, что LiveUpdate.exe разархивирует и загружает в память содержимое файла используя пароль, так же находящийся в строках файла в открытом виде: “3D9E9F5F9B2B40E1A9158385E2E4B660”:

Фрагмент дизассемблированного кода LiveUpdate.exe

Из архива в память загружаются два файла – _TUProj.dat (80 КБ)
и _TUProjDT.dat (4 байта). Если открыть их в шестнадцатеричном редакторе, то можно заметить, что в файле _TUProj.dat располагаются различные скрипты LUA (теперь понятно зачем его реализация есть в LiveUpdate.exe).

Среди скриптов обнаруживается некий ClientScript:

Фрагмент LUA-скрипта из _TUProj.dat

Даже не зная языка LUA, можно заметить, что в этом коде происходит выделение памяти на куче для массива чисел из переменной g_table_char (24), преобразуемого в массив байт и загружаемого в выделенную память (29). Вообще цепочка вида VirtualAlloc (выделить память), заполнить её какой-либо функцией (RtlFillMemory), и начать исполнять (CreateThread) – очень типична, и сразу бросается в глаза. После загрузки по данному адресу создаётся новый поток выполнения (38). После этого скрипт в цикле загружает картинку с сайта baidu.com (генерация мусорного трафика для отвлечения внимания).

Отлично, вооружимся любым скриптовым языком (я выбрал Python) и преобразуем последовательность из переменной g_table_char в двоичный код, и загрузим его в дизассемблер.

Распаковка Media.xml

Декомпилируем, ищем строки и видим, что новый поток кода, полученный из переменной g_table_char, считывает скачанный ранее файл Media.xml из текущей рабочей директории программы и правит первые 4 байта файла: buf[i] = (buf[i] ^ 0x30) + 0x30 ( i

 Чтение и корректировка файла Media.xml в коде g_table_char

После исправления обнаруживается, что данный файл является исполняемым файлом Windows формата PE (сигнатура MZ там со времен MS-DOS). Впрочем, об этом и так можно было догадаться и так, открыв файл в hex-редакторе.

Фрагмент исправленного заголовка Media.xml

После этого, как ни странно, исполнение переходит в загруженный и исправленный файл. Что ж, ожидаемо. Грузим и этот файл в дизассемблер.

Распаковка update.log

Мы почти добрались до конца этой цепочки, ведь далее загруженный файл Media.xml получает управление в своей точке входа и загружает файл update.log, повторяя описанную ранее процедуру декодирования с байтом 0x30 (только уже для всего файла).

 Декодирование update.log

Данный файл после декодирования также представляет из себя исполняемую библиотеку MS Windows, в которую в очередной раз передаётся управление. Отметим про себя, что вредоносный код в этот и в предыдущий раз не использовал стандартные процедуры динамической загрузки исполняемого кода (например, LoadLibrary), а высчитал Entry Point загруженного кода самостоятельно.

Без лишних слов вооружаемся Python-ом, декодируем файл по уже известной формуле и загружаем в дизассемблер

Расшифрование внутреннего файла в update.log

Замечаем, что большая часть библиотеки update.log также упакована, после дизассемблирования в ней можно обнаружить лишь 28 функций (а ведь файл довольно “жирный”, почти полтора мегайбайта).

Ищем начало недизассемблированных данных и видим, что на них есть ссылка в коде, бинго! Обнаруживаем циклическое расшифрование 1105920 байт по адресу 0x04010A0 XOR-ом на 40-битном ключе 0xBE16CF52CD:

 Расшифрование в update.log

Повторяем эту процедуру с помощью всё того же питона, и с удивлением (нет) обнаруживаем, что расшифрованные данные также представляют из себя DLL-библиотеку. Срочно грузим в дизассемблер.

Единственной экспортируемой процедурой этой библиотеки (помимо стандартной DLLMain) является процедура под названием Shellex. Далее управление из update.log переходит в неё.

Вот и всё, мы извлекли основную “полезную нагрузку”. Бегло проанализировав полученный файл можем увидеть, что он действительно подозрительно напоминает вредоносный файл, или… нестандартное средство удалённого администрирования. Далее в статье будут представлены некоторые результаты статического анализа этого файла и динамического анализа вредоноса в целом.

Закрепление

Если открыть планировщик задач Windows, то можно заметить, что вредонос закрепляет свой запуск в системе путём добавления задачи ThunderLiveUpdate и красноречиво названной задачи “Ñ¸À׸üзþÎñ”.

 Созданные трояном задачи в планировщике задач Windows

Это один из типичных способов закрепления, так что одним из первых пунктов анализа взломанных машин можно проверять именно планировщик (например, утилита Autostart из пакета Sysinternals поможет обнаружить этот и многие другие способы закрепления).

Взаимодействие с C2

Чтобы быть полезным для злоумышленников, троян должен откуда-то получать команды и куда-то отправлять данные. Этот вредонос для связи с сервером получает IP-адрес сервера злоумышленников из скачанного на первом этапе файла setting.ini:

IP-адрес сервера злоумышленников в setting.ini

Вредоносный агент взаимодействует с сервером злоумышленника по нестандартному протоколу поверх TCP (порт 18076):

Фрагмент трафика взаимодействия с сервером злоумышленников

В результате статического анализа кода дизассемблером и декомпилятором можно уточнить формат данного протокола (просто ищем сетевые импортированные функции, и пытаемся найти нужные вызовы). Все данные при отправке кодируются побайтово в соответствии со следующим кодом:

Кодирование / Декодирование пакета

Если декодировать таким образом представленный ранее пакет, то можно обнаружить следующие данные:

Фрагмент декодированного пакета

Первые три байта 0x687620 являются сигнатурой протокола “hx ” (в закодированном виде – 0xF6E6AE). Её инициализация также обнаружена в коде:

Инициализация сигнатуры протокола

По этой сигнатуре и порту назначения возможно обнаружение такого трафика в сети. Впрочем, в других версиях и модификациях вредоноса эти данные могут быть изменены. Следующие 4 байта заголовка – полный размер пакета в формате Little Endian (в приведённом выше примере – 0xCB030000 == 0x03CB).

Анализ возможностей

Если продолжить реверс полученного бинаря, и перейти от сетевых вызовов к реализации протокола, то путём анализа “сверху вниз” можно обнаружить, что после компрометации системы троян предоставляет злоумышленнику достаточно широкие возможности по управлению системой, среди которых имеются, например:

• различные форматы удалённого администрирования;
• взаимодействие с периферийными устройствами;
• контроль файловой системы;
• осуществление сетевой активости;
• зачистка следов веб активности;
• логирование действий и запись экрана;
• похищение аутентификационных данных;
• обнаружение антивирусного ПО;
• подгрузки и выполнения произвольного кода;

Можно пойти обратным, “восходящим” путём анализа, и перейти от вызовов “полезных” импортированных функций WinAPI (запуск процессов, модификация реестра, взаимодействие с устройствами) ко всему доступному функционалу в целом. Как правило, в ходе реверса применяется и то и другое сразу.

Далее чуть подробнее остановимся на некоторых возможностях вредоноса.

В качестве одного из способов удалённого управления злоумышленник может при необходимости активировать сервис RDP на компьютере:

Фрагмент процедуры активации RDP

Точно неизвестно, как злоумышленники планируют к нему подключаться, но учитывая возможность исполнения произвольного кода, вполне возможен запуск реверс-прокси.

Для аутентификации злоумышленник может создать произвольного пользователя или модифицировать гостевую учетную запись, активировать её и добавить в группу администраторов:

 Процедура активации учетной записи guest

Интересно также целевое назначение вредоноса. Ввиду того, что он ориентирован на китайских пользователей, в нем реализован функционал взаимодействия с китайской социальной сетью и мессенджером qq.com. В результате анализа различных скриптов автоматизации использования API qq.com, которые можно обнаружить, например, на github.com (https://gist.github.com/kagurazakasanae/a76b01f60c89aa3866dfc689345a3faf, https://github.com/LeoHuang2015/qqloginjs/) удалось разобрать некоторые процедуры такого взаимодействия.

Сначала в процедуре осуществляется аутентификация в qq под всеми доступными аккаунтами текущего пользователя,

Фрагмент процедуры аутентификации в qq.com

затем происходит получение списка друзей пользователя:

Фрагмент процедуры получения списка друзей пользователя

и групп, в которых он состоит:

Фрагмент процедуры получения групп пользователя

Для каждой группы предпринимается попытка получить список пользователей этой группы:

Фрагмент процедуры получения списка пользователей группы

И вся эта информация благополучно отправляется на сервера злоумышленников. Зачем? Точно неизвестно. Возможно, для того чтобы отправить всем доступным пользователям этот же самый троян с аккаунта жертвы и осуществить распространение вредоноса таким образом. А может, для проведения социологических исследований…

Среди прочего, в троян встроены команды завершения процессов различных браузеров и очистки их кэша:

Команды по очистке следов активности

Заметим, что некоторые из них также очень специализированы для китайской аудитории. Вкупе с возможностями по записи экрана и кейлоггингу сброс кеша браузеров позволяет злоумышленникам похищать аутентификационную информации различных сервисов.

Заключение

В статье представлен анализ трояна, в ходе которого мы познакомились с некоторыми базовыми техниками анализа вредоносного ПО, а также с техниками, которые злоумышленники используют для сокрытия полезной нагрузки вредоносов.

Данный троян предоставляет злоумышленникам гибкие возможности по удалённому контролю и получению информации в системе, в том числе – чтение, изменение и создание файлов и процессов, активация RDP и других стандартных сервисов администрирования, осуществление сетевой активности и запуск сетевых сервисов, логирование нажатий клавиш и создание скриншотов экрана, запись звука, создание и удаление пользователей, получение аутентификационной информации, модификация реестра Windows.

Отметим, что никаких продвинутых техник по обфускации и антиотладке он не использует и с точки зрения защиты кода является достаточно примитивным. Но даже так, вредоносный код скрыт от автоматического обнаружения статическим путём, и без динамического анализа (например, запуска вредоноса в песочнице, эмуляции), антивирусу будет сложно идентифицировать модификации данного семпла.

MD5-хеш исходного архива: 62275e818ff92c030f75fdb89cddd40b, на текущий момент некоторые антивирусные решения уже отмечают его как троян семейства “lotok” (https://www.virustotal.com/gui/file/fe00e9c691f85871adfd4d8b43e6ba4a797f89cde8f5f9239884c60809b475ac/detection), однако подробной информации об этом трояне нет.

Идентификация трояна на VirtusTotal

На момент обнаружения трояна VirusTotal считал данный файл безопасным. А подгружаемые им файлы и до сих пор считаются безопасными большинством AV-вендоров.

В заключение ещё раз приведём некоторые индикаторы компрометации системы данным вредоносом.

URL загрузки файлов и соответствующие им хеши сохраняемых файлов:

URL на сервере http://imgcache.vip033324[.]xyz

Локальный путь сохранения файла в директорию C:\\ProgramData\\

Ответы

1. лог мбам пустой, покажите на скриншоте что там было найдено.

2. это что у вас за программа?
C:\PROGRAM FILES (X86)\COMMON FILES\ THUNDER NETWORK \TP\VER1\1.1.2.251_1111\THUNDERPLATFORM.EXE

Елена Карпова

Пользователь
Регистрация: 12.12.2014
Размещено 12.12.2014 20:05:55

2. . C:\PROGRAM FILES (X86)\COMMON FILES\ THUNDER NETWORK \TP\VER1\1.1.2.251_1111\THUNDERPLATFORM.EXE
не знаю, что за программа. с иероглифами китайскими. явно не нужна.

Администратор
Баллов: 14370
Регистрация: 16.03.2010
Размещено 12.12.2014 20:31:08

удалите все найденное в малваребайт (в карантин),

-----
с thunder network чуть позже разберемся

можно будет выполнить такой скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\THUNDER NETWORK\BHO\XL_EXT_CHROME deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\THUNDER NETWORK\KANKAN\PUSHER deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\THUNDER NETWORK\SERVICEPLATFORM deldirex %SystemDrive%\PROGRAM FILES (X86)\THUNDER NETWORK\THUNDER deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\THUNDER NETWORK\TP\VER1\1.1.2.251_1111 deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\THUNDER NETWORK\USERAGENT deldirex %SystemDrive%\USERS\PUBLIC\THUNDER NETWORK\APLAYER deldirex %SystemDrive%\USERS\PUBLIC\THUNDER NETWORK\KANKAN\PUSHER deldirex %SystemDrive%\USERS\PUBLIC\THUNDER NETWORK\KANKAN\REGHELPER deldirex %SystemDrive%\USERS\PUBLIC\THUNDER NETWORK\THUNDERPLATFORM\THUNDERPLATFORM_1.1.2.251_1111_A\COMPONENTS\DOWNLOADLIBDLL\MD_P_1.0.259 deltmp delnfr restart

Что такое Виртуальные папки?

Виртуальная папка - это специальная папка, которая показывает выборку сообщений, которые соответсвуют вашим предустановленным критериям поиска. Виртуальные папки - отличный способ сэкономить время, потому что вместо ввода или пересоздания наиболее частых поисковых запросов снова и снова, вы можете просто получить мгновенно результаты в реальном времени, посмотрев в свою Виртуальную папку.

TB102-saved-search-folder-message-list

Когда вы создаёте Виртуальную папку, вы можете выбрать такие критерии как адреса электронной почты, ключевые слова и даты. Вы можете даже выбрать другие папки-источники из нескольких учётных записей. Затем Thunderbird создаёт папку, в которой отображаются только соответствующие сообщения. Действия над сообщениями, отображаемыми в Виртуальной папке, будут применяться напрямую к вашим исходным сообщениям в папках-источниках. Новые соответствующие сообщения из определённых папок-источников будут автоматически показаны в Виртуальной папке.

Например, вам может понадобиться просмотреть все сообщения от ваших школьных друзей в специальной их папке с названием "Школа". Просто добавьте их адреса электронной почты в Виртуальную папку и их сообщения будут автоматически отображаться в папке "Школа" по мере поступления. Тем не менее, те же сообщения будут также отображаться в папках-источниках, например, в папке Входящие.

ПРИМЕЧАНИЕ: Виртуальные папки отображают актуальные соответствующие сообщения папок-источников, не копии этих сообщений. Удаление сообщений из Виртуальной папки удалит их из Thunderbird полностью и, как правило, также с сервера вашего почтового провайдера. Однако удаление самой Виртуальной папки из списка папок не удалит исходные сообщения, которые в ней показывались. Так что вы можете удалить любую Виртуальную папку, в которой больше нет необходимости, не беспокоясь об утере сообщений.

Как создать виртуальную папку

  1. В меню Файл щёлкните Создать , а затем в подменю Виртуальную папку . Появится диалоговое окно Новая виртуальная папка.

TB102-new-saved-search-folder-jane

  • Измените Имя на желаемое для вашей Виртуальной папки, которое будет отображаться в списке папок. Папка, которая была выбрана, когда вы открыли диалоговое окно Новая виртуальная папка на шаге 1, будет отображаться как имя и расположение по умолчанию.
  • Нажмите на выпадающий список Создать как вложенную папку, если хотите изменить родительскую папку.
  • Чтобы выбрать папки для поиска, щёлкните по кнопке Выбрать . Отобразится диалоговое окно, содержащее иерархический вид всех почтовых папок во всех ваших учётных записях. Отметьте флажок рядом с каждой папкой, которую хотите включить в поиск.

    TB102-saved-search-folder-select-folders

    Совет: Если вы хотите включить несколько папок, расположенных рядом в списке, нажмите на строку первой папки (не по флажку), затем зажмите Shift и щёлкните по последней папке. Затем нажмите Пробел , чтобы установить флажок во всех выделенных папках (повторное нажание Пробела снимает все флажки).

    Примечание: Вы можете включить столько папок в виртуальную папку, сколько необходимо, но каждая папка, которую вы добавляете, делает поиск дольше. Выделяйте только те папки, которые необходимы.

    СОВЕТ: В большинстве случаев в поиске онлайн нет необходимости, и он замедляет поиск. Оффлайн-поиск производится локально на вашем компьютере, тогда как онлайн-поиск использует для поиска ваш почтовый сервер. Оффлайн-поиск намного быстрее, и механизм автоматической синхронизации поддерживает актуальность ваших папок.

    Как установить критерии поиска

    1. Выберите один из следующих режимов поиска:
      • Выполнении всех условий: Он создаёт запрос "и", когда все перечисленные правила должны быть применимы к сообщению, чтобы оно отобразилось в папке.
      • Выполнении любого из условий: Он создаёт запрос "или", когда в случае, если любое из перечисленных правил подходит к сообщению, оно будет отображаться в папке.
      • Без каких-либо условий: Это означает, что у вас нет критерия поиска, и виртуальная папка использутся только для комбинирования контента, расположенного во множестве папок, и отображения их в виде единой папки.
    2. Выберите критерии.
      Все критерии фильтра, также известные как "правила", состоят из трёх частей:
      • Свойство, например, "От"
      • Критерий, например, "содержит"
      • Значение, например, “HighSchoolDude@example.com”

    Примеры поиска

    Виртуальные папки особенно полезны, если вы регулярно получаете большое число сообщений, и у вас существует постоянная потребность быстро отделять те из них, которые представляют для вас особый интерес.

    • Пример 1: Вы регулярно получаете сообщения от коллег по работе, содержащие важные рабочие документы в виде вложений. Вы можете создать такой поиск:

    attachments example for saved searches

    Ваша новая виртуальная папка "Непрочитанные вложения по работе" будет отображать все сообщения, которые не прочитаны, содержат вложения и были отправлены из домена "MyWorkplace". Все будущие сообщения, удовлетворяющие всем трём критериям, будут также отображаться в вашей новой папке.

    • Пример 2: Вы хотите отфильтровывать низкоприоритетные сообщения, чтобы уменьшить хаос. Например, вы можете хотите получать уведомления от компаний, чьим клиентом вы являетесь, но желаете быстро читать и избавляться от таких сообщений. Вы можете создать такую виртуальную папку:

    promotions example for saved searches

    Ваша новая виртуальная папка "Реклама" будет отображать все сообщения, у которых исходящий адрес “sales@software.biz”, ИЛИ которые имеют слово "скидка" в теме, ИЛИ которые имеют слово "customer" ("покупатель") где-то в адресе или отображаемом имени (“customer.service”, “Customer Support” и т.д.). После быстрого прочтения вы можете затем удалить эти сообщения в индивидуальном порядке.

    Свойства

    Наиболее часто используемые свойства описаны ниже.

    Properties dropdown for saved searches

    Следующие свойства относятся к "заголовкам" почтовых сообщений (в отличие от контента, содержащегося в теле сообщения):

    • От
    • Кому
    • Копия
    • "Кому" или "Копия"
    • От, кому, копия, скрытая копия

    Свойства отправителя и получателя могут содержать один или более почтовых адресов, а иногда также отображаемое имя. В примере "John Doe" : "John Doe" - отображаемое имя, а "johndoe@example.com" - почтовый адрес. Когда вы вводите значение для поиска, Thunderbird будет искать по значению и отображаемого имени, и почтового адреса. Например, если ваш фильтр такой:

    От | совпадает с | "johndoe@example.com"

    Thunderbird проверяет, совпадает ли отображаемое имя "John Doe" с "johndoe@example.com" (не совпадает), а также совпадает ли почтовый адрес с "johndoe@example.com" (совпадает).

    Совет: Использование почтового адреса в фильтре - более точный вариант, чем использование отображаемого имени. Автор письма указывает отображаемое имя, но иногда отображаемое имя бывает опущено или будет отличаться от адреса.

    Поиск не зависит от регистра, так что регистр не имеет значения. Если отправитель сообщения использует "JohnDoe@Example.com", то будет зафиксировано совпадение, если будет сравниваться с нашим значением критерия "johndoe@example.com". Поиск по отображаемым именам также регистронезависим.

    Совет: В дополнение к проверке сообщений на отдельных людей, вы можете также использовать этот фильтр, чтобы увидеть, включен ли человек в списке рассылки в вашу адресную книгу или нет. Используйте "в моей адресной книге" / "не в моей адресной книге" для критерия, а затем укажите адресную книгу в качестве значения. Если вы создаёте собственную адресную книгу с важными именами, вы можете использовать это для определения группы людей в виртуальной папке без добавления их по отдельности.

    Метки

    Метки используются для отметки сообщений специальным знаком или выделения цветом. Thunderbird предлагает метки Важное, Рабочее, Личное, К исполнению и Отложено. Также существует возможность создания собственных меток.

    Содержит : Срабатывает, если метка присутствует в сообщении.

    Не содержит : Срабатывает тогда, когда метка не присутствует в сообщении.

    совпадает с : Срабатывает, если сообщение содержит только определённую метку. Так что если ваш фильтр Метка | совпадает с | Важное , сообщение с меткой "Важное" и "Рабочее" не соответствует ему, пока не будет удалена метка "Рабочее".

    не совпадает с : Не срабатывает, если сообщение содержит только определённую метку. Так что если ваш фильтр Метка | не совпадает с | Важное , то сообщение с меткой "Важное" и "Работа" будет ему соответствовать, пока не будет удалена метка "Рабочее", и тогда оно не будет ему соответствовать.

    Отсутствуют : Срабатывает, если к сообщению не применены метки.

    Присутствуют : Срабатывает, если сообщение имеет какие-либо применённые метки.

    Примечание: Сообщения, отмеченные и не отмеченные звёздочкой, проверяются добавлением фильтра Состояние | совпадает с (или не совпадает с) | Отмечено звёздочкой .

    Тема

    Позволяет вам проверять тему сообщения. Она будет включать префикс "Re: ", если он есть, но игнорирует регистр.

    Тело

    Позволяет вам осуществлять проверку на присутствие слова или фразы в теле сообщения. Такой поиск имеет некоторые важные ограничения:

    • Виртуальные папки не поддерживают морфологию - функциональность, которая удаляет или изменяет суффиксы, так что все различные варианты слова будут совпадать. Например, "бегун", "бегает" и "бег" имеют один корень ("бег"), но в виртуальных папках будет совпадать только конкретное слово. (Глобальный поиск Thunderbird поддерживает морфологию).
    • Виртуальные папки не будут искать по обрывам строки в сообщениях. Например, если вы хотите искать фразу "ай-да на вечеринку!", она будет совпадать только тогда, когда целая фраза содержится в одной строке сообщения.
    • Поиск по телу сообщения может занимать значительное время. Thunderbird должен прочитать содержимое сообщения с жёсткого диска.

    Дата и Возраст в днях

    Свойство Дата позволяет вам сравнивать дату сообщения (проставленную автором сообщения, не тогда когда вы его получили) с определённой датой, которую вы предоставите в качестве значения.

    Свойство Возраст в днях позволяет вам сравнивать возраст сообщения (используя дату, проставленную автором сообщения, а не ту, когда вы его получили). Возраст всегда вычисляется на тот момент, когда сообщение проверяется на совпадение.

    Наличие вложения

    Свойство Наличие вложения позволяет вам проверять, есть ли у сообщения вложения (с помощью Совпадает с | С вложениями ) или нет (с помощью Не совпадает с | С вложениями ).

    Примечание: Если ваша виртуальная папка включает сообщения, хранящиеся на удалённом сервере, т.е. не на вашей локальной системе, Thunderbird может такой анализ проводить неточно. Программное обеспечение не знает специфических деталей о сообщениях, пока сообщения не загружены, что происходит, когда вы щёлкаете по сообщению.

    Критерии и значения

    Совпадает с / не совпадает с : Проверяет, совпадает ли отображаемое имя или почтовый адрес со значением в фильтре, игнорируя отличия в регистре. Используйте его, чтобы сравнивать отдельные почтовые адреса.

    В моей адресной книге / не в моей адресной книге : Используйте его, чтобы сравнивать множество почтовых адресов, а возможно и как условное обозначение людей, сообщения от которых важны для вас. В качестве значения выберайте между Личная адресная книга и Собранные адреса:

    • Личная адресная книга создана из адресов, которые добавляются, когда вы щёлкаете по звёздочке рядом с именем отправителя в просмотре сообщения.
    • Собранные адреса создаются из всех людей, которым вы отправляли сообщения на компьютере, который сейчас используете. Thunderbird поддерживает этот список автоматически.

    Примечание: На Mac OS X также показывается системная адресная книга.

    Заканчивается на : Проверяет, заканчивается ли отображаемое имя или почтовый адрес на предложенное значение, игнорируя различия в регистре. Вы можете использовать, например, что-то похожее на "@example.com", чтобы находить все почтовые адреса из одного домена.

    Начинается с : Проверяет, начинается ли отображаемое имя или почтовый адрес с предложенного значения, игнорируя различия в регистре. Вы можете использовать, например, что-то похожее на "webmaster@", чтобы находить письма, обращённые к вебмастеру, по множеству доменов.

    Содержит / не содержит : Проверяет, может ли быть найдено предложенное значение где-либо в отображаемом имени или почтовом адресе, игнорируя различия в регистре. Используйте этот критерий осторожно, потому что часто он может находить вещи, которые вы на самом деле не хотите отсеивать. Рассмотрите вместо этого использование "совпадает с" или "не совпадает с".

    Читайте также

    Эти прекрасные люди помогли написать эту статью:

  • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *