Атака винлокера на Windows через Linux, NoScript не установлен, Касперский безмолвствует Опции

Вчера выковыривал винлокера у друга, который подцепил его без выхода в Инет из Windows и без заражённой флэшки.

На его ноуте устроена двойная загрузка из XP SP3 и древней OpenSUSE 10.3. Сетевые адаптеры в венде перекрыты наглухо, и работа с Интернетом идёт исключительно через сусю. Однако у новелла обновления OpenSUSE прекращается через 18 месяцев после выхода версии, так что состав софта зафиксирован на конец 2008 года -- в частности, Firefох версии 2.0.0.21, для которого версии модуля NoScript нет. Отметим это обстоятельство.

Вендовых разделов три, /dev/sda1 (C:, не смонтирован в линуксе), /dev/sda5 (D:, смонтирован стандартно как /windows/D) и /dev/sda6 (E:, смонтирован стандартно как /windows/E).

Винлокер появился в венде, когда хозяин перезагрузился после достаточно длительной работы в Интернете с Google Maps и сайтами по виду спорта, в котором он работает. Значки проводника не появлялись, на рабочем столе были только фон и форма локера (то есть explorer.exe из строки Shell в реестре был удалён). Запуск диспетчера задач по Ctrl+Alt+Del, как обычно, был заблокирован.

При загрузке линукса никаких авторанов на дисках D и E не обнаружено, зато в корне диска D обнаружены два файла vip-porno-NNNNN.exe (N -- цифры), которые были немедленно перемещены в хомовник подальше от венды.

Эти же файлы были обнаружены в списке последних скачанных в файрфоксе, однако журнал посещённых страниц и кэш файрфокса оказались аккуратнейшим образом вычищены.

Ещё одна перезагрузка в венду. Баннера порноблокировщика нет, проводника тоже, диспетчер задач заблокирован. Отлично, значит, кажется, вся зараза exe-шниками и ограничивалась.

Перезагружаюсь с BartBootCD (в данном случае без него ничего не сделать). Краткий взгляд на корень C -- авторанов нет. Запускаю редактор удаленного реестра для PE и через две минуты нахожу строчку D:\vip-porno-NNNNN.exe в ключе Shell в HKCU. Изменяю строку на explorer.exe: пол-дела сделано.

Далее, заглядываю в HKCU\Software\Microsoft\Windows\CurrentVersion\Policies и нахожу там параметр, блокирующий диспетчер задач. Удаляю его. Готово. Перезагружаюсь, венда ОК.

В принципе, локер практически школотой писан, но из венды-то в Интернет не ходили!!! Никогда!!! И нечем ходить -- интерфейсы отключены!!!

Дальше остаётся только строить предположения.

Судя по всему, владелец машины зашёл на вредоносный сайт, на котором сработал не заблокированный из-за отсутсвия NoScript яваскриптовский (или другой скриптовый) код, который выполнил следующее:

1. Определил, из какой ОС зашли на сайт, и нашёл доступные вендовые разделы, монтированные на запись.

2. Загрузил два экземпляра экзешника блокировщика в /windows/D, о чём остались сведения в журнале загрузок файрфокса (почему этот журнал не был вычищен -- мне непонятно).

3. Сгенерировал и записал авторан или folder.htt для блокировщика в тот же /windows/D.

4. Вычистил журнал и кэш обозревателя и самоуничтожился.

Далее, при загрузке венды отработал авторан или folder.htt, блокировщик прописался в реестр и уничтожил авторан.

Это всё не похоже на механизм, который способна написать школота. Или я плохо разбираюсь в школоте.

Перезагружаюсь в линукс, шагом марш на www.virustotal.com и проверяю пойманного червяка. ДрВеб срабатывает (ага, Игорю отсылать его уже не надо), нод32 срабатывает. Касперский, авира, аваст, авг, микрософт и практически все остальные молчат. Как в рот воды набрали.

Тьфу, shit. Это не начало ли очередной разборки между антивирусописателями? :angry: :angry: :angry:

опять птиц порнухи пересмотрел ...

зашёл на гугль мапс, а там порнуха и порновирусы .. ппц просто.

явно заговор гугля с порновирусниками против пользователей винды.

опять батя постов не читает...

Или бурзянский мёд с конопляного поля ещё не кончился...

у нас нет конопляных полей. Тут не афган и даже не Узбекистан.

Кажется, Орлуша написал сценарий ужастика, который может поспорить с легендарной "потерей партбилета"

P.S. Вывод: в антивирусном смысле, устаревший линь хуже свежей венды.

Одна загрузка с WinPE мне бы понадобилась, а то и загрузка в безопасном режиме.
Но так как наша местная бабушка-Орлуша из принципа должна использовать Линукс, то в статье много раз говорится про линукс. За идею можно и потрахаться с перезагрузками
Так же дополню, что работать под администратором пользователям не умеющим блюсти простые правила безопасности нельзя, ССЗБ. Зачем Орлуша нацарапал эту снету текста - не понятно, так редко занимается "починкой" что описанная ситуация ему показалась важной, а труды, которые он приложил к исправлению - геройскими?

Это всё не похоже на механизм, который способна написать школота. Или я плохо разбираюсь в школоте.

Это так, ты плохо разбираешься.

antonn
> Это так, ты плохо разбираешься.
просто у птицы ломаются ложные стереотипы о неуязвимости линя.
а школота, которая таки получила "СПО" в школы ... уже спела их взломать...
сколько прошло с 1го сентября? Неделя? :lol:
вот вам и "защищённый линух" :lol:

любой шолкьник его ломает от силы за неделю

Журнал мог и юзер почистить заметая следы ;)

любой шолкьник его ломает от силы за неделю

Ну вы у нас не школьник, хотите я вам дам машину с Linux, скажу её IP и порт ssh и дам вам, скажем месяц - взломаете? Я вам даже обещаю, что там не будет последних обновок и далеко не последнее ядро.

Ну вы у нас не школьник, хотите я вам дам машину с Linux, скажу её IP и порт ssh и дам вам, скажем месяц - взломаете?

а ломать обязательно нужно "из вне"?
а "ломать" может означать "привести в нерабочее состояние"?

Konwin

Ну вы у нас не школьник, хотите я вам дам машину с Linux, скажу её IP и порт ssh и дам вам, скажем месяц - взломаете? Я вам даже обещаю, что там не будет последних обновок и далеко не последнее ядро.

imho
если надо, то в течении недельки к Вам зайдут и поламают... все, включая Линь - это только вопрос необходимости =)))

а ломать обязательно нужно "из вне"?

А всё что не из вне - это не ломать, это выкрутить руки владельцу и выбить пароль.....

а "ломать" может означать "привести в нерабочее состояние"?

Ну ДДоСить домашнюю машину - это не спортивно, ибо забить канал мне смогут легко, это не интересно. А вот скажем что-нибудь испортить, пробравшись в саму ОС, это уже интересно.

Konwin
можно попросить еще раз перечитать мои вопросы? Уточню, что речь идет о школе, об общественном компьютере, непосредственно на котором работают школьники. Думаю после этого уточнения слово "ломать" может принять несколько иной смысл нежели "хакнуть по сети"?

Konwin
можно попросить еще раз перечитать мои вопросы? Уточню, что речь идет о школе, об общественном компьютере, непосредственно на котором работают школьники. Думаю после этого уточнения слово "ломать" может принять несколько иной смысл нежели "хакнуть по сети"?

А какой смысл его ломать не из вне? У Linux смена рутового пароля при физическом доступе и отсутствии пароля на загрузчике - штатная и общеизвестная процедура .

Одна загрузка с WinPE мне бы понадобилась, а то и загрузка в безопасном режиме.

Забыл сказать -- в безопасном режиме и безопасном режиме с поддержкой командной строки машина уходила в BSOD. Так что номер без PE не прокатывал.

Но так как наша местная бабушка-Орлуша из принципа должна использовать Линукс, то в статье много раз говорится про линукс. За идею можно и потрахаться с перезагрузками

Повторю специально для Тоши: локер залетел не через венду.

Так же дополню, что работать под администратором пользователям не умеющим блюсти простые правила безопасности нельзя, ССЗБ. Зачем Орлуша нацарапал эту снету текста - не понятно, так редко занимается "починкой" что описанная ситуация ему показалась важной, а труды, которые он приложил к исправлению - геройскими?

Тош, тут на форуме не только тоши, но и чайники, а вытертый локером Shell я видел в первый раз. Однако это не важно. Лечение здесь тривиальное абсолютно (за исключанием необходимости PE), но это тоже не важно.

Важно, что вирус залетел через другую ОС через исключительно грамотно написанную скриптовую часть на странице. И важно то, что ИМХО на вымогателей это не похоже: слишком специфична целевая аудитория этого механизма -- использующие двойную загрузку. На PoC -- похоже.

Это всё не похоже на механизм, который способна написать школота. Или я плохо разбираюсь в школоте.

Это так, ты плохо разбираешься.

Охотно верю.

Журнал мог и юзер почистить заметая следы ;)

Не в данном случае. Я слишком хорошо знаю этого человека.

orlusha Самое важное в Вашей истории - это то, что вирь залез через "безопасный" Линукс - и смог записать себя на диск. Это очень большой камень в огород тех, кто кричит о "неуязвимости" Линуха.

Konwin

А какой смысл его ломать не из вне?

А какой смысл маленькому ребенку ломать новую машинку? Причем замечу, что ломает он ее ниразу не "по сети", странно да?
Я удивляюсь столь узкому кругозору...

orlusha

а вытертый локером Shell я видел в первый раз.

нуб. Создавай каждый раз новую тему, как что-то увидишь первый раз

вирус залетел через другую ОС через исключительно грамотно написанную скриптовую часть на странице

можно увидеть исходник "исключительно грамотно написанную скриптовую часть страницы"?

orlusha Самое важное в Вашей истории - это то, что вирь залез через "безопасный" Линукс - и смог записать себя на диск. Это очень большой камень в огород тех, кто кричит о "неуязвимости" Линуха.

Через файрфокс, причём очень старой версии. С отсутствующим NoScript -- так категорически не рекомендуется работать!!! ИМХО на любой другой ОС скриптовая страница тоже смогла бы записать червя на диск -- антивирус-то не срабатывал....

К сожалению, мне не проверить вредоносную страничку на других версиях файрфокса и других обозревателях.

Можно ли заразить подобным образом линукс? -- Похоже, что да. Вечером проведу опыт на стенде (естественно, без скриптовой части, которой у меня нет). Ботсеть организовать можно. Однако руткит посадить нельзя.

orlusha

а вытертый локером Shell я видел в первый раз.

нуб. Создавай каждый раз новую тему, как что-то увидишь первый раз

В третий раз повторяю: тема не ради этого создавалась. Пожалуйста, читай посты внимательно и не хами, если не дочитал (а даже и если дочитал -- всё равно не хами, здесь это неуместно).

вирус залетел через другую ОС через исключительно грамотно написанную скриптовую часть на странице

можно увидеть исходник "исключительно грамотно написанную скриптовую часть страницы"?

Поймаю -- пришлю. Но сначала Данилову.

Да ничего вы там не заразите - за рамки доступного пользователю вы выйти не сможете, а атаки на повышение привилегий - высокий полёт доступный единицам программистов в мире..... Тут вся уязвимость сработала на то, что линуксовыми средствами вы не можете организовать контроль доступа на смонтированные виндовые диски, ибо закрытая ФС, и соответственно можете её поломать. Вот и всё, остальное вторично. Версию ОС и отсутствие NoScript выявить легко. Вот найти нужные разделы - это интересно, скрипт как-то вышел на системный шел и смог его выполнить. Дальше - опять же всё просто. Тут можно посоветовать простое решение. Вендовые разделы - только на чтение, а обмен данными - через ext3 линуксовый раздел, который можно читать/писать из виндов с помощью существующих программ и драйверов.

Поймаю -- пришлю.

Понятно, как это получилось ты не знаешь, но зато с понтом и очень умно сформулировал: "через исключительно грамотно написанную скриптовую часть на странице".
Некоторые мои начальники строят такие же витиеватые, наполненные умными словами, фразы без какой либо конкретики, при этом слабо разбираясь в предмете. Ну типа чтобы казаться умными. Отличный показатель такого словоблудия вот эта твоя фраза:

ИМХО на любой другой ОС скриптовая страница тоже смогла бы записать червя на диск -- антивирус-то не срабатывал....

В третий раз повторяю: тема не ради этого создавалась.

Ты в первый раз видишь чтобы из под одной ОС ставилась программа на другую?
Или врущих юзеров, отмазывающихся "нет, она сама!!!"?