Проблема решена.
Это троян.
Win32/Morto.I
Также известны модификация Win32/Morto.A .
Информация про этот троян.
Для начала механизм установки в системе:
При запуске файла происходит создание следующих файлов:
c:\windows\clb.dll – md5: ca95c398b5122d2aacbe02802f138ede - Virustotal
c:\windows\clb.dll.bak
c:\windows\temp\ntshrui.dll – md5: 61a7456af35ee58f095857a4a6ddd8ed – Virustotal
c:\windows\sens32.dll
c:\windows\offline web pages\cache.txt md5: 825fee2698ab6ce107a2de48772994d8 – Virustotal - вредоносная библиотека, не обращайте внимания на расширение
Файлы постоянно удаляются и создаются заново, иногда с отличающимися md5 суммами, довольно трудно проводить тщательный анализ, когда происходит столь бурная активность.
Собственного процесса у вредоноса нету, работа выполняется за счет внедрения библиотек в легитимный процесс svchost.exe.
Так же в инфицированную систему скачивается шифрованный исполняемый файл в директорию c:\WINDOWS\Temp\
Имена генерируются случайно.
Так же производится запись в реестр:В ключе: HKLM\SYSTEM\Wpa
Добавляются Параметры:
it
id
sn
ie
md
sr
В ключе: HKLM\SYSTEM\CurrentControlSet\Control\Windows
Параметр: «NoPopUpsOnBoot»
Создаваемое значение: «1″
В ключе: HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters
Параметр: «ServiceDll»
Создаваемое значение: «%windir%\temp\ntshrui.dll»
В ключе: HKLM\SYSTEM\CurrentControlSet\Services\6to4
Параметр: «Description»
Создаваемое значение: «0″
В ключе: HKLM\SYSTEM\CurrentControlSet\Services\Sens
Параметр: «DependOnService»
Создаваемое значение: «0″
В ключе: HKLM\SYSTEM\CurrentControlSet\Services\Sens\Parameters
Параметр: «ServiceDll»
Создаваемое значение: «<system folder>\sens32.dll»
Червь Worm:Win32/Morto.A предположительно имеет функционал ддоса, об этом можно судить по создаваемым в инфицированных системах в папке c:\WINDOWS\Offline Web Pages\ файлам вида 1.40_TestDdos и различным строкам в трафике, недвусмысленно намекающим на наличие этой атакующей направленности. Ниже скриншоты тестовой атаки гугла:
Morto.A производит сканировнаие диапазона локальной сети на предмет открытыго порта службы RDP – tcp/3389. Затем методом перебора по словарю происходит буртфорс-атака на целевые машины.
В случае удачного подключения в скомпрометированную систему с помощью монтирования удаленного диска \\tsclient\a копируется файл clb.dll, который переименовывается в a.dll, а так же создается reg-файл с коммандой на повышение привилегий до администратора .
Лечение инфекции Morto.A
Для лечения будем использовать AVZ (
http://onthar.in/files/avz/.).
Откроем программу, войдем (Файл -> Выполнить скрипт) в режим запуска скриптов и выполним этот код morto_remover_avz.txt (
http://onthar.in/repo/morto_remover_avz.txt).
Содержимое файла:
begin
SearchRootkit(true, true);
ClearQuarantine;
DeleteFile('c:\windows\clb.dll');
DeleteFile('c:\windows\clb.dll.bak');
DeleteFile('c:\windows\temp\ntshrui.dll');
DeleteFile('c:\windows\sens32.dll');
DeleteFile('c:\windows\offline web pages\cache.txt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Wpa','it');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Wpa','id');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Wpa','sn');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Wpa','ie');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Wpa','md');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Wpa','sr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\Wpa','rmd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4','Description');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Sens','DependOnService');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Sens\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Внимание. После выполнения скрипта компьютер перезагрузится.