Хотел бы поделиться, как ошибка человеческого фактора позволила заразить компьютер вирусом, который будет запрещать всё что пользователю захочется сделать в системе, а что самое главное в виде бонуса ещё и майнер.

Откуда он появился

Любой пользователь, который когда-либо сталкивался с вирусом в системе, вероятно задавался вопросом: "Откуда он мог появится?"

Исходя из логической цепочки, любой вирус зачастую появляется благодаря фактору, находящемуся напротив монитора. Современные антивирусы достаточно хорошо вооружены чтобы спасать пользователя от несчастных случаев заражения системы, однако, отсутствие антивируса гарантирует высокопроцентные риски заражения. Но и вирусы не отстают в развитии, так например вирус с которым я столкнулся мог просто убить все антивирусы после того, как я запустил его от имени администратора.

И так, мне захотелось поиграть в GTA 2.
Для начала я пошел в Steam, но скачать её там нельзя, поэтому пришлось искать её на просторах интернета. На моё удивление, данная версия игры не особо распространена на торрентах. Поэтому, прищурившись стал искать откуда можно её скачать.
Попался мне один сайт с которого ранее я скачивал какую-то игру многолетней давности, но тогда всё было хорошо.
И вот, 1.1 Гб скачались:

data1.bin был удален антивирусом, но не столь важно
data1.bin был удален антивирусом, но не столь важно

Поскольку после запуска Setup.exe ничего не произошло тогда 4 дня назад, то я удалял скачанное. И чтобы продемонстрировать в статье, скачал снова.

Разберем несколько моментов, которые были тревожными звоночками и которые я благополучно проигнорировал.
1. Смущает наименование - Torrent Game
2. Слишком скромная структура "установщика"

По поводу бинарных файлов, хеш-суммы у всех разные.

День заражения

4 дня назад я запустил этот Setup.exe, вроде ничего не предвещало беды, после запуска никакой установщик не появился, процесса установки не было.
Подумал я, что такое может быть, но тогда я хорошо запомнил этот момент и подумал, что он будет первым подозреваемым если у меня что-то пойдет не так в системе. И честно говоря, никогда не возникало подобных мыслей, но здесь это насторожило.

И эти 4 дня ничего не происходило. Компьютер я не выключаю, а оставляю в спящем режиме. Всё работало штатно и вот я решил перезагрузить компьютер (делаю это периодически), после включения поведение компьютера сильно изменилось.

У меня всегда на втором мониторе запущена Speccy в которой я мониторю состояние компьютера в градусах. После запуска системы внезапно процессор стал грузиться в 72 градуса, а через небольшое количество времени начала видеокарта.
Стал разбираться, открываю диспетчер задач и вижу как системные прерывания напрягают процессор в 100%.

Но, как выяснилось позже, этот момент стал началом заражения. Также перед этим, я проверял драйвера через "LatencyMon", так как подумал, вдруг Nvidia снова чудит с драйверами.

Система заражена

Это я понял, когда при попытке зайти на любой сайт, меня бросало с ошибкой сертификата:

Скрин из интернета, но суть точно такая же
Скрин из интернета, но суть точно такая же

После того как вы попытаетесь зайти на какой-либо сайт, увидев это, вирус записывает в hosts (который лежит в C:\Windows\System32\drivers\etc\hosts) все эти сайты и направляет в 8.8.8.8


И при попытке зайти на любой сайт из этого списка будет так:

А в диспетчере несколько подозрительных процессов запущенных под видом звукого драйвера ReaItek лежащие не в System32, а в ProgramData

Потеря прав администратора и управления над системой

Дальше веселее.
Вирус отбирает админку, теперь что-либо сделать "от имени администратора" не получится, совсем. При попытке зайти в любой браузер - он закрывается либо мгновенно либо через N секунд. Огромное большинство системного функционала - закрывается сразу. К примеру, в msconfig я не смог попасть чтобы оказаться в "безопасном режиме".
Контроль над системой потерян.

Как остановить майнер временно

Всё просто, я отключил интернет на компьютере, майнер перестал действовать. Но, вирус ещё продолжал функционировать и запрещать любые действия.

Победа над вирусом. Удаление

Конечно же, я пошел в интернеты чтобы найти ответ на мой случай по ключевым словам. Одну полезную статью я нашел так: "Вирус закрывает диспетчер задач и браузер".
НО! Решение отличалось от того, что мне удалось найти.

  1. Открываем и редактируем файл hosts.
    Переходим в C:\Windows\System32\drivers\etс\hosts, выбираем любую программу кроме блокнота с помощью которой можно отредактировать файл, у меня был Notepad++, его вирус не закрывает и поэтому можно спокойно редактировать.

    Удаляем всё кроме комментариев (обозначены как #) и оставляем:
    127.0.0.1 localhost
    ::1 localhost

    Там примерно 20-30 сайтов и доменные имена с DNS 8.8.8.8 (ниже пример что удалять)

  2. Вирус закрывает любые браузеры, поэтому найдите способ скачать две программы и передать их на компьютер: "Антивирусная утилита AVZ" и "Kaspersky Virus Removal Tool". У меня был установлен telegram на компьютере, поэтому, я скачал две программы на телефон, оттуда отправил себе в "избранное" и на компьютере сохранил

  3. Нужно попасть в безопасный режим. Для этого зажимаем левый Shift и нажимаем в Пуск'е пункт "перезагрузка".
    Дальше, "Поиск и устранение неисправностей" -> "Параметры загрузки" -> "Перезагрузить" -> после перезагрузки выбрать 4 пункт.

  4. В безопасном режиме запускаем AVZ.
    Нажимаем "Файл" -> "Выполнить скрипт".


    Вводим:
    begin
    ExecuteRepair(6);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    end.

    Дальше, "Запустить". Ошибок быть не должно.
    Так мы вернули права администратора.

  5. Запускаем KVRT.exe. По итогу у меня отобразились вирусы, нашлись они быстро:

    Я поставил отметку "Удалить" на всём, советую сделать также. Только самый первый пункт требовал лечения.
    По поводу удаления process hacker - он не запускался, подозреваю что вирус сломал мне его.

    Продолжить -> Удаление с перезагрузкой.

  6. После перезагрузки проверьте ещё раз на вирусы.

Реверсим вирус поверхностно

Когда вирус ещё продолжал руководить моим компьютером, я быстренько снял дамп процесса, чтобы хотя бы поверхностно посмотреть что находится внутри.

Первым делом после удаления вируса пошел проверять этот загадочный Setup.exe на VirusTotal. Впечатляющий результат:

Так как это не установщик, который как минимум мог бы быть сделан с помощью Nullsoft Scriptable Install System, поэтому при попытке его "распаковать" у меня сыпались ошибки. Тогда с помощью Detect is Easy мне удалось узнать это:

А давно ли у нас установщики делаются в Visual Studio, да ещё и по страшному упаковываются используя Themida ?

Копаем дальше, нахожу распаковщик Themida (в образовательных целях)

В результате получается распакованный Setup.exe внутри которого теперь имеется список импорта обычных WinAPI функций. Строк нет от слова совсем, но они есть в дампе.

Так например удалось найти некоторые наименования процессов которые вирусом триггерятся:

Находил информацию о том, что вирус имеет несколько версий. Мне наверно немного даже повезло, так как есть другая версия, которая создает ещё и удаленное подключение к зараженному ПК. Но, кто им управляет, куда это направляется, неизвестно.

В дампе нашлось очень много доменов, но для чего они, так и осталось загадкой. Некоторые из них - свободные и продаются.

Также нашлись отсылки на использование OneCoreUAP который позволяет обеспечить совместимость со многими устройствами на базе Windows. Это говорит о том, что вирус может практически без проблем запуститься на любом устройстве Windows.

И под конец узнал, что майнился Monero, так как нашел такие домены:

moneropool.com
mine.moneropool.com
xmr.cryptopool.org
pool.monero.org
minexmr.com
monero.crypto-pool.fr

Итог

Используйте проверенные надежные антивирусы и сайты.

Не доверяйте всему что можно скачать.
Даже на проверенных источниках могут быть вирусы.

Спасибо большое «Лаборатория Касперского» за Kaspersky Virus Removal Tool, злобный вирус был быстро уничтожен!

Комментарии (22)


  1. poro_ku
    07.12.2024 04:28

    Итог

    Если уж решились украсть игру то воруйте в приличных местах. На рутрекере оно есть, 90 раздающих прямо сейчас.


    1. Tirarex
      07.12.2024 04:28

      И даже взяв ее с приличного места - отправь все exe файлы на virustotal.


      1. Yohohori-san
        07.12.2024 04:28

        и в итоге не поиграть, ибо "таблетки" обычно вшиты в ехе и определяются как вирусные фрагменты :))


    1. Andrusha
      07.12.2024 04:28

      Она даже на вебархиве есть.


  1. d00m911
    07.12.2024 04:28

    С одной стороны, не хочется обижать автора, с другой... лучше промолчу.


  1. AliceKwangweith
    07.12.2024 04:28

    А вы не пробовали скачать SandBoxie, которая сейчас уже разрабатывается другим сольным разработчиком, и запускать всё "непотребное" в ней? Мне уже 10 лет как помогает, и игрушки и программы левые, тоже в ней запускаю, убивает двух зайцев - и систему не сорит, и настройки с файлами в одной куче хранятся

    Ну тут статья похоже чисто для юмора, прямо вспомнился 2007 с первыми троянами в сети, когда еще DDOS, простите, через командную строку.exe практиковали


  1. nerudo
    07.12.2024 04:28

    Когда искал что-то, обратил внимание, что на рутрекере многие древние игры есть в раздачах, созданных буквально год-два-три назад. Старых раздач нет. И это сразу навевает подозрительные мысли.


    1. knstqq
      07.12.2024 04:28

      c патчами для Windows 11, я бы предположил. Вполне могли что-то сломать за 5 мажорных версий Windows


  1. RoasterToaster
    07.12.2024 04:28

    Но hosts нельзя отредактировать без прав администратора, если что


    1. j_larkin
      07.12.2024 04:28

      Да даже и с правами администратора, напрямую редактировать, скорее всего не получится. По крайней мере стандартными средствами ОС.


      1. RoasterToaster
        07.12.2024 04:28

        Фшмисле? Cmd run as adm - notepad и алга. Его же все кому не лень редактируют, этот способ самый удобный.


  1. GennPen
    07.12.2024 04:28

    Поймал вирус впервые за 8 лет отсутствия антивируса в системе.

    data1.bin был удален антивирусом, но не столь важно

    Так был антивирус или вы Windows Defender не считаете за антивирус?

    Ну и нужно взять в привычку запускать сомнительное сначала в песочнице. В винду есть встроенная, но она требует Pro лицензии. Ну, или через VMware накатить виртуалку.


  1. Pochemuk
    07.12.2024 04:28

    Хм ...

    Если я просто в поисковой строке Оперы наберу "Антивирусная утилита AVZ", то этот браузер закрывается.

    Не переход на сайт, а просто поиск!

    В Хроме и Яндекс-браузере поиск не вылетает. Но все ссылки не рабочие. Либо пишет, что сертификат сайта недействителен, либо тоже браузер закрывается.

    С чего бы это?

    Других странностей нет.


    1. dartraiden
      07.12.2024 04:28

      Я бы сказал, что это с того, что система заражена.

      Если вы заглянете в hosts (и если вам дадут вообще это сделать), то весьма вероятно обнаружите там причину проблемы с сертификатами.

      Всю эту скомпрометированную систему стоит переустановить начисто (не поверх) с оригинального образа и больше не тащить в неё всякое дерьмо из интернетов.


      1. Pochemuk
        07.12.2024 04:28

        Ха! И в самом деле там полно подмен адресов сайтов на 8.8.8.8.

        Будет чем заняться долгими зимними вечерами. Переустанавливать ОСь буду в крайнем случае. Сначала попытаюсь вылечить.


        1. knstqq
          07.12.2024 04:28

          в случае если ваша ОС скомпроментирована однажды и какой-то процесс получил администратора или произошла установка служба/драйвера который вы не устанавливали, то она скомпроментирована с концами.

          Подчистив очевидные места, вы возможно остановите часть вредоносной активности, но там вполне может остаться руткит для удалённого доступа или что-нибудь ещё, что вы не найдёте даже сравнив все хэшсуммы каждого исполняемого файла (запуская изнутри ОС).

          Нужно как минимум загружаться с liveCD/liveUSB, и если вы не можете завалидировать каждый исполняемый файл на системном разделе и каждый конфиг (что теоретически возможно с некоторыми дистрибутивами linux), то ваша система всё ещё остаётся потенциально скомпрометированной.

          лучше переустановите для личного спокойствия и умиротворения.


      1. Pochemuk
        07.12.2024 04:28

        Обнаружил, что в папке загрузок, находятся две папки "AutoLogger" и "AV_block_remover", с датой, соответствующей дате изменения файла hosts.

        Папки не открываются. Поиск в Инете по их названиям приводит к тому, что браузер закрывается. Похоже, что зловред так реагирует на найденные ссылки.

        Чистка файла hosts не помогла.

        Ты бач, яка зараза ...


  1. NeoCode
    07.12.2024 04:28

    Все скачанные exe проверяю на virustotal, пока этого хватает. Но на всякий случай: какие есть утилиты для однократной проверки на вирусы, т.е. не в фоне с перехватом всего, как классические антивирусы, а именно отдельные утилиты которые работают только когда их явно запустишь? Знаю несколько - упомянутые AVZ, KVRT, еще вроде Dr.Web CureIt. А что еще, в том числе нероссийских разработчиков?


    1. dartraiden
      07.12.2024 04:28

      Защитник Windows групповыми политиками можно довести до такого состояния, что он не будет мониторить в фоне, но сохранит способность вызова проверки по требованию.


  1. Pochemuk
    07.12.2024 04:28

    Эх ... хорошая статья :)

    Благодаря ей я обнаружил, что мой комп заражен.

    Прочитав её, я решил скачать утилиту AVZ. Когда-то я ею активно пользовался для изничтожения руткитов и прочих неизвестных науке зверей.

    Но при заходе на страницу AVZ браузер внезапно закрылся. И другой браузер тоже закрылся. И третий.

    В фале hosts обнаружилась куча записей на IP=8.8.8.8. По дате изменения этого фала были обнаружены папки, которые невозможно открыть. При попытке поиска информации по названиям этих папок браузеры тоже закрывались.

    При этом повышенной нагрузки ни на процессор, ни на видеокарту или диск не было.

    Решил полечить комп. Но страница KVRT тоже закрывала браузеры.

    Зашел удаленно на рабочий комп, скачал AVZ и KVRT. Но по почте переслать их не смог - большие, почта не пропускает.

    Скачал опять через удаленный доступ.

    Запустил комп в безопасном режиме, восстановил административный доступ, полечил и удалил найденные при помощи KVRT зловреды.

    Перезагрузил комп ... Больше ОСь не загружается. Черный экран с курсором, после чего перезагрузка. И так несколько раз. Потом сообщение, что система не смогла загрузиться корректно. Восстановление не помогает.

    Придется переустанавливать систему :D

    Спасибо за отличный материал :D :D :D


    1. VadimBoev Автор
      07.12.2024 04:28

      ох.. тяжелый случай однако, надеюсь важные файлы не были потеряны


    1. knstqq
      07.12.2024 04:28

      сделайте liveCD (или liveUSB) и попробуйте загрузить антивирус и выполнить процесс лечения с него. Хорошие шансы восстановить систему, если вы не поймали крипто-шифровальщик конечно