Author Topic: Nedetekovaný malware,worm  (Read 5615 times)

0 Members and 1 Guest are viewing this topic.

Jakub213

  • Guest
Nedetekovaný malware,worm
« on: June 19, 2013, 10:27:34 PM »
Dobrý den, nedávno jsem si stáhl jednu aplikaci, ovšem hned po spuštění mi bylo jasné, že zde něco nehraje. Program nefungoval a avast mi našel 1 vir. Nějak jsem to neřešil a druhý den po zapnutí avast našel zase ten samý vir. Bohužel počas dne se mi z ničeho nic zapnul procer winnit.exe (http://www.file.net/process/wininit.exe.html)   který měl podnázev microsoft operation system ( + název aplikace byl "bitch please").  Jakožto "aiták" mi bylo jasné, že něco takového nemůže být možné. nechal jsem avast přejet celý počítač i složku, kde proces měl svůj soubor (%appdata%/Roaming/winnit.exe) bohužel bez úspěchu.

Dnes jsem našel webovou stránku (viz výše odkaz) kde jsem si stáhl přímo proti tomuto program, který odhlalil worma v daném souboru a okamžitě to odstranil + dalších 11 hrozeb v počítači.  (myslím, že to není zase nic slabého, aby to avast ignoroval)

Bohužel jsem velmi zklamaný z toho, že avast tuto velikou hrozbu nenašel ani po přesném zadání složky kde worm byl. DOčetl jsem se, že způsobeno to bylo tím, že ho zmátl název microsoft operation system, čímž ho avast detekoval jako neškodným.

Detailní data o nějaké akci kdyžtak mohu zaslat. (V aplikaci avast je možnost poslat soubor do laboratoře, ovšem soubor byl již smazán tak jsem chtěl upozornit zde)

Offline Milos

  • Avast team
  • Super Poster
  • *
  • Posts: 2293
Re: Nedetekovaný malware,worm
« Reply #1 on: June 20, 2013, 09:23:57 AM »
Dobry den,
bohuzel bez souboru, ktery bychom mohli analyzovat, nemame podle ceho udelat detekci.

BTW: nazev "microsoft operation system" nemuze zpusobit "zmateni" avastu. Takove funkce si nejsem vedom ;-)

Muzete na poslat link na aplikaci, kterou jste si stahl, u ktere vam bylo po spusteni jasne, ze neco nehraje?

Milos

Jakub213

  • Guest
Re: Nedetekovaný malware,worm
« Reply #2 on: June 20, 2013, 01:37:12 PM »
hxtp://forza.console2pc.info/   zde je odkaz na stežení toho souboru, po kliknutí na download by se měla zobrazit ještě jedna stránka kde jsou "jakoby analýzy" tohoto souboru přes více jak 20 antivirů. Soubor se dá stáhnout kliknutím pod jeden název (soubor je neviditelný, jen se m tam čirou náhodou povedlo kliknout a stáhlo to ten soubor, který mělo akorát s virem)

Jinak ohledně toho názvu nevím co je na tom zapravdy, jen jsem to někde přečetl :)
« Last Edit: June 21, 2013, 10:23:03 AM by Milos »

Jakub213

  • Guest
Re: Nedetekovaný malware,worm
« Reply #3 on: June 20, 2013, 08:57:04 PM »
Dobře, dnes jsem zjistil, že vir se zřejmě dokáže sám regenerovat nebo jak bych to mohl nazvat. Opět mi zde skáče a našel jsem soubor, který to způsobe a je umístněn  v Appdata/local/temp  pod názevm wininit.exe

Otázka je, zdali mohu soubor smazat a nebude to mít na nic vliv, a nebo se s tím něco stane popř jestli má někdě třeba zase jiný soubor, který obnoví tento 1.

Offline Milos

  • Avast team
  • Super Poster
  • *
  • Posts: 2293
Re: Nedetekovaný malware,worm
« Reply #4 on: June 21, 2013, 10:22:48 AM »
Jo mate pravdu, je to malware:
"ForzaHorizonPC.exe" (https://www.virustotal.com/en/file/6c9424ef5584a008d7393edb27f85f02c63c14abb5282f6b5cf68654393aaab1/analysis/1371806910/)
a stahne to do Windows adresare (napr.: c:\Windows\) soubory:
"wininit.exe" (https://www.virustotal.com/en/file/dcbcfd7940a6c2d2029f07ade84b9e10281d2c4236f65a3ac36e4da7eac7f8b3/analysis/1371802126/)
"javaw.exe" (https://www.virustotal.com/en/file/0b2cb0a1f6b4083f987563081cba20a6a9b3344a53ab26305566e320ca9f2b0a/analysis/1371802142/).
Pokud pak kliknete na "Launch Game", tak se ty stazene soubory spusti.

Budete mi v "Start Menu\Programs\Startup\Skype.lnk" takze se tam vzdy po nabehnuti PC znovu spusti ten malware -- kouknete se do tohoto zastupce, kam vede a to je ten malware (bude tam neco jako "<user_dir>\Application Data\WindowsLogonSS\usft_ext.exe.vbs" /Arguments:Shortcut").
V adresari "<user_dir>\Application Data\dclogs\" vypada, ze je zaznam nejakeho keyloggeru
V adresari "<user_dir>\Application Data\WindowsLogonSS\" je ten malware (keylogger, bitcoinminer)
a jeste jeden kousek je taky v "<user_dir>\Local Settings\Temp\wininit.exe".

Ty stazene soubory by se mely jiz detekovat, URL pridam do blokace.

Milos
« Last Edit: June 21, 2013, 11:31:29 AM by Milos »

Jakub213

  • Guest
Re: Nedetekovaný malware,worm
« Reply #5 on: June 22, 2013, 11:43:36 AM »
Je možné, že to zaznamenává hesla? jelikož jsem našel soubor s kompletně všema mýma heslama, na hry, které jsem se registnul. Bphužel začínam radši všude měnit hesla protože toto se mi nelíbí. Jsou tam zaznamenáná kompletně všechna hesla a jména od dob stažení souboru
« Last Edit: June 22, 2013, 11:46:39 AM by Jakub213 »

Offline Milos

  • Avast team
  • Super Poster
  • *
  • Posts: 2293
Re: Nedetekovaný malware,worm
« Reply #6 on: June 24, 2013, 02:04:37 PM »
Je možné, že to zaznamenává hesla?
Ano.

Milos