Fórum SecSecurity

Implementando Limpeza e Seguranca em seu computador!

Palavras chave

Últimos assuntos

» ResetBrowser ( ... de Nicolas Coolman )
Ter Maio 31, 2016 5:58 am por joram

» herdProtectScan ( ... by herdprotect.com )
Seg Mar 07, 2016 10:58 pm por joram

» Emsisoft Emergency Kit ( ... by Emsisoft.com )
Dom Fev 28, 2016 5:40 am por joram

» Dr.WEB Link Checker ( ... by Doctor Web.Ltd )
Qui Fev 11, 2016 9:51 am por joram

» Computador com erros no navegador
Sab Ago 29, 2015 8:04 pm por joram

» Justiça determina que PSafe retire alertas desleais
Qua Ago 19, 2015 6:58 am por joram

» Google vai fazer buscas offline internas no desktop do seu PC
Ter Ago 18, 2015 8:19 am por joram

» Baidu lança buscador no Brasil!
Seg Ago 17, 2015 12:25 pm por joram

» Kaspersky é acusada de inventar vírus!
Sex Ago 14, 2015 3:32 pm por joram

Dezembro 2016

SegTerQuaQuiSexSabDom
   1234
567891011
12131415161718
19202122232425
262728293031 

Calendário Calendário

Parceiros

Fórum grátis

Os membros mais marcados


    Virus bancário altera o Hosts.

    Compartilhe

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Virus bancário altera o Hosts.

    Mensagem por joram em Seg Out 29, 2012 9:01 am

    Saudações!

    Nova variante de 'vírus' bancário ( banker ),promove escrita ao hosts,alterando-o à cada reinicialização. Não adianta,portanto,executar o HostsXpert na tentativa da sobre-escrita.
    DRV - [2012/10/13 16:57:20 | 000,009,216 | ---- | M] (GAS Tecnologia) [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\Gbpy.sys -- (Gbpy) <- MALWARE!

    DRV - [2012/09/02 14:07:46 | 000,008,448 | ---- | M] (GAS Tecnologia) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\Gbpa.sys -- (Gbpa) <- SUSPEITO!

    |- Há fortes indícios de Gbpa.sys ser outra variante!

    DRV - [2012/10/09 09:29:58 | 000,046,440 | ---- | M] (GAS Tecnologia) [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\gbpkm.sys -- (GbpKm) <- LEGÍTIMO!

    -/-

    -------\Legacy_GBPY
    -------\Service_Gbpy ( Serviço estabelecido pelo malware! )

    |- <1> c:\windows\system32\drivers\Gbpy.sys <- No Windows XP!
    |- <2> C:\Windows\SysWOW64\drivers\Gbpy.sys <- No Windows 7!

    |- Caminho ao driver que deve ser removido!

    < VT_[gbpy.sys] >

    |- Link ao Virus Total,ao ser analizado gbpy.sys.

    < VT_[gbpa.sys] >

    |- Link ao Virus Total,ao ser analizado gbpa.sys.
    |- Ps: As ocorrências indicam pertencerem a GAS Tecnologia,o que vem confundindo ou dificultando sua identificação ao interpretar relatórios.

    ... Outras ocorrências!

    ######
    R0 gbmr;Gbmr;c:\windows\system32\drivers\gbmr.sys [2012-6-30 7680]
    ----
    ----
    2012-06-30 15:08:38 7680 ----a-w- c:\windows\system32\drivers\gbmr.sys
    2012-06-30 15:08:35 -------- d-----w- c:\windows\syswow64

    ######

    |- Nesta ocorrência,exibida pelo DDS,a reescrita ao Hosts ficou ao encargo de gbmr.sys.
    |- Ps: Não vi arquivo(s) na linha de processos,apenas uma pasta de característica suspeita e que foi estabelecida na data em que foi criado o banker. ( gbmr )

    ... Outras ocorrências!

    < c:\windows\system32\drivers\gbpdisrd.sys >

    |- A investigação em Sophos.com,indica ser malware o driver em destaque. ( Mal/Bancos-BU )

    ######
    DRV - [2012/03/23 09:22:18 | 000,028,880 | ---- | M] (GAS Tecnologia) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\GbpNdisrd.sys -- (NdisrdMP)
    DRV - [2012/03/23 09:22:18 | 000,028,880 | ---- | M] (GAS Tecnologia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\GbpNdisrd.sys -- (Ndisrd)
    ######

    |- Este driver (GbpNdisrd.sys) é legítimo!
    |- Ps: Reparem o detalhe da letra "N",que o distingue do malicioso. ( gbpdisrd.sys )

    ######
    DRV - [2012/07/11 14:23:01 | 000,005,120 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\MouseUSB.sys -- (MouseUSB)
    DRV - [2012/04/05 09:34:04 | 000,046,408 | ---- | M] (GAS Tecnologia) [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\gbpkm.sys -- (GbpKm)
    DRV - [2011/07/29 13:54:56 | 000,014,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\epmntdrv.sys -- (epmntdrv)
    DRV - [2011/07/29 13:54:56 | 000,008,456 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\EuGdiDrv.sys -- (EuGdiDrv)
    DRV - [2009/07/13 22:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
    ######

    |- Neste caso,o driver que edita o hosts é "MouseUSB.sys".
    |- Ps: Achei este interessante,já que alterou sua nomenclatura e não indicou pertencer a "GAS Tecnologia".

    ######
    [2012/07/11 14:23:12 | 000,000,237 | ---- | M] () -- C:\Windows\SysWow64\hc.cfg <- Suspeito!
    [2012/07/11 14:23:11 | 000,740,352 | ---- | M] () -- C:\Windows\SysWow64\GoogleUpdt.exe <- Suspeito!
    [2012/07/11 14:23:11 | 000,008,192 | ---- | M] () -- C:\Windows\SysWow64\monitor.exe <- Suspeito!
    [2012/07/11 14:23:01 | 000,719,872 | ---- | M] () -- C:\Windows\SysWow64\GoS-Util.dll <- Suspeito!
    [2012/07/11 14:23:01 | 000,005,120 | ---- | M] () -- C:\Windows\SysWow64\drivers\MouseUSB.sys
    ######

    |- Ps: Devido as datas,relacionadas no log da OTL,devem ser investigadas todas essas ocorrências suspeitas,principalmente "GoS-Util.dll".

    ######
    2012-10-18 17:06 . 2012-10-18 17:06 8192 ----a-w- c:\windows\SysWow64\monitor.exe
    2012-10-18 17:06 . 2012-10-18 17:06 1092096 ----a-w- c:\windows\SysWow64\rpcnet.exe
    2012-10-18 17:06 . 2012-10-18 17:06 10240 ----a-w- c:\windows\SysWow64\net.dll
    2012-10-18 17:06 . 2012-10-18 17:06 5120 ----a-w- c:\windows\SysWow64\drivers\MouseUSB.sys

    ######

    |- Relatório do ComboFix onde MouseUSB.sys e arquivos,causam impedimentos no acesso ao Santander.

    ============= SERVICES / DRIVERS ===============
    .
    R0 MouseUSB;MouseUSB;c:\windows\system32\drivers\MouseUSB.sys [2012-7-10 3968]
    ---------
    ---------
    S2 gupdate;Google Update Service (gupdate);c:\arquivos de programas\google\update\GoogleUpdate.exe [2010-6-13 136176]
    S2 OracleSvc;OracleSvc;c:\windows\system32\GoogleUpdt.exe [2012-7-10 738816]
    ---------
    S3 gupdatem;Serviço do Google Update (gupdatem);c:\arquivos de programas\google\update\GoogleUpdate.exe [2010-6-13 136176]
    =============== Created Last 30 ================
    .
    ---------
    ---------
    2012-07-10 18:19:24 8192 ----a-w- c:\windows\system32\monitor.exe
    2012-07-10 18:19:23 738816 ----a-w- c:\windows\system32\GoogleUpdt.exe
    2012-07-10 18:19:22 3968 ----a-w- c:\windows\system32\drivers\MouseUSB.sys
    2012-07-10 18:19:21 719872 ----a-w- c:\windows\system32\GoS-Util.dll

    ---------
    ---------
    ######

    |- Ao pesquisar o serviço malicioso (MouseUSB),em outros relatórios,pude constatar que o mesmo veio infectar o computador 'disfarçado' de atualização da Google. Reparem que "OracleSvc",estabelece uma 'cortina de fumaça' para enganar uma análise menos detalhista. Pois quem a lê tem a impressão de ser algum serviço relacionado ao Java.

    ######
    O1 - Hosts: 88.80.12.21 aapj.bb.com.br
    O1 - Hosts: 88.80.12.22 bankline.itau.com.br
    O1 - Hosts: 88.80.12.23 www.santandernet.com.br
    O1 - Hosts: 186.202.166.75 www2.infoseg.gov.br

    ######

    |- Típica alteração ao Hosts,executado por monitor.exe e mantida por MouseUSB.sys.

    ######
    DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\KBUSB.sys -- (KBUSB4)
    DRV - [2012/07/10 15:05:43 | 000,003,968 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\MouseUSB.sys -- (MouseUSB)
    O4 - HKLM..\Run: [monitor] C:\WINDOWS\system32\monitor.exe ()
    ----
    ----
    [2012/07/10 15:05:43 | 000,008,192 | ---- | M] () -- C:\WINDOWS\System32\monitor.exe
    [2012/07/10 15:05:43 | 000,003,968 | ---- | M] () -- C:\WINDOWS\System32\drivers\MouseUSB.sys
    [2012/07/10 15:05:43 | 000,000,237 | ---- | M] () -- C:\WINDOWS\System32\hc.cfg
    ----
    ----
    [2011/06/22 11:57:01 | 000,014,848 | ---- | C] () -- C:\WINDOWS\System32\CertUtilFF.exe

    ######

    |- Há casos,mais antigos,em que encontramos o driver KBUSB.sys associado ao processo CertUtilFF.exe ou CertUtilIE.exe,em analogia à monitor.exe que depende de MouseUSB.sys.

    ######
    R0 KBUSB2;KBUSB2;c:\windows\system32\drivers\KBUSB.sys [2011-10-28 5120]
    ----
    ----
    [2011/06/22 11:57:01 | 000,014,848 | ---- | C] () -- C:\WINDOWS\System32\CertUtilFF.exe
    ----
    ----

    2011-10-28 11:50:21 59152 ----a-w- c:\windows\system32\CertUtilIE.exe
    2011-10-28 11:50:20 5120 ----a-w- c:\windows\system32\drivers\KBUSB.sys
    2011-10-28 11:50:19 -------- d-----w- c:\windows\system32\1318997871 << Pasta!

    ######

    |- Exemplificando o mesmo caso,com o relatório da ferramenta DDS.

    ANÁLISE AOS FICHEIROS SUSPEITOS ( Virus Total )

    < GoogleUpdt.exe >

    SHA256:14da4bd3d5901395510bd7c2fb345ed844ebe5f0cd6 da3117fc29b7848a76d0f
    SHA1: c3a229809ac04c2644867ffd9d77ad8919f7054d
    MD5: 06c26e219f7cc105cb3627effb988f00
    File size: 721.5 KB ( 738816 bytes )
    File name: GoogleUpdt.exe
    File type: Win32 EXE Detection ratio: 8 / 41
    Analysis date: 2012-07-26 02:31:54 UTC ( 0 minuto ago )

    BitDefender Gen:Trojan.Heur.GM.0004430100 20120726
    Emsisoft Win32.SuspectCrc!IK 20120726
    F-Secure Gen:Trojan.Heur.GM.0004430100 20120726
    GData Gen:Trojan.Heur.GM.0004430100 20120726
    Ikarus Win32.SuspectCrc 20120726
    McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.F 20120725

    --------
    --------

    |- Para GoogleUpdt.exe,8 antivírus detectaram problemas!

    < MouseUSB.sys >

    HA256:31463055820050c3a0ec0a96bf4caef4a5fd8ce1394c 59c6c8170c57d1eed24f
    SHA1: cadee2f280ac0eb6cf93bf6b313163cc8540264c
    MD5: fdd31840e99aee99cd24c50058168edc
    File size: 3.9 KB ( 3968 bytes )
    File name: MouseUSB.sys
    File type: Win32 EXE
    Detection ratio: 0 / 41
    Analysis date: 2012-07-26 02:45:59 UTC ( 0 minuto ago )
    --------
    --------

    |- No período,nenhum dos engenhos detectou ser malware MouseUSB.sys. Mas...já sabemos tratar-se de um Trojan.Banker.

    << Link!

    |- A análise em VirSCAN.org,também,não detectou problemas!

    < GoS-Util.dll >

    HA256:1ee0210b4a7a56957c9db4055cc00124c6525e32a234 d2558fb2e2baef9c6c8e
    SHA1: dfa9cfa567ec8f63bc681d963c214a3554ad17b9
    MD5: 72bbda2f4ba1ae0edb79b2c4fa622d6e
    File size: 703.0 KB ( 719872 bytes )
    File name: GoS-Util.dll
    File type: Win32 DLL
    Detection ratio: 7 / 41
    Analysis date: 2012-07-26 02:52:40 UTC ( 0 minuto ago )

    BitDefender Gen:Trojan.Heur.GM.0000432100 20120726
    F-Secure Gen:Trojan.Heur.GM.0000432100 20120726
    Fortinet - 20120726 GData Gen:Trojan.Heur.GM.0000432100 20120726
    Symantec Trojan.Gen.2 20120726
    TrendMicro-HouseCall TROJ_GEN.RCBH1GO 20120726 VBA32 Hoax.Birele.pxt 20120725

    --------
    --------

    |- Para GoS-Util.dll,7 antivírus detectaram problemas!

    < Monitor.exe >

    SHA256:72f8f7206f6cbd6d9312630d6ba13e2f0804add3099 0a9f3f13f5d693c02bbd8
    SHA1: 97940d845f1daafa985d24a9389227cba599453f
    MD5: 555ec932024867b090810a7c9c52aff5
    File size: 8.0 KB ( 8192 bytes )
    File name: monitor.exe
    File type: Win32 EXE
    Detection ratio: 5 / 41
    Analysis date: 2012-07-26 02:57:52 UTC ( 0 minuto ago )

    BitDefender Gen:Trojan.Heur.RP.auW@aWy2gWk 20120726
    F-Secure Gen:Trojan.Heur.RP.auW@aWy2gWk 20120726
    GData Gen:Trojan.Heur.RP.auW@aWy2gWk 20120726
    TrendMicro BKDR_TDSS.SMD4 20120726
    TrendMicro-HouseCall BKDR_TDSS.SMD4 20120726


    |- Para Monitor.exe,5 antivírus detectaram problemas!

    ######
    [2012/10/18 16:40:10 | 000,000,022 | ---- | M] () -- C:\Windows\SysWow64\1346214271
    [2012/10/18 16:40:04 | 000,010,240 | ---- | M] () -- C:\Windows\SysWow64\net.dll
    [2012/10/18 16:40:01 | 000,008,192 | ---- | M] () -- C:\Windows\SysWow64\monitor.exe
    [2012/10/18 16:40:01 | 000,000,344 | ---- | M] () -- C:\Windows\SysWow64\hc.cfg

    [2012/10/18 16:40:00 | 001,092,096 | ---- | M] () -- C:\Windows\SysWow64\rpcnet.exe
    [2012/10/18 16:39:48 | 000,005,120 | ---- | M] () -- C:\Windows\SysWow64\drivers\MouseUSB.sys
    ######

    |- Outra ocorrência com "MouseUSB.sys",onde podemos reparar a presença de "monitor.exe" e "hc.cfg" ao comparar-mos relatórios.
    |- Aqui encontrei um caso sui generis,onde a remoção de "monitor.exe" e "MouseUSB.sys" não solucionou a escrita ao hosts. Desconfio de outro processo que faz-se passar por legítimo e pertencente à Intel. ( igfxsrvc.exe )
    |- Se o procedimento em Eset nada detectar,o arquivo deve ser analizado no Virus Total.
    |- Aprofundando pesquisas ao caso,descobri que não existem outros sinais de infecção. A usuária,simplesmente,não executou o Hosts-perm e mantendo a escrita ao Hosts.

    ######
    DRV:64bit: - [2010/04/16 15:07:28 | 000,013,832 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\TurboB.sys -- (TurboB)

    O23 - Service: Intel® Turbo Boost Technology Monitor (TurboBoost) - Intel® Corporation - C:\Program Files\Intel\TurboBoost\TurboBoost.exe
    ######

    |- Neste caso a solução não ocorreu e suspeitei de "TurboB.sys",mas não vi escrita ao hosts. Apenas a reclamação de que o acesso ao Banco,pelo Google Chrome,solicitava ao correntista digitar senha imprópria. ( 4 dígitos! )



    |- A minha desconfiança deveu-se ao fato da análise em "System Explorer",não indicar a companhia Intel® Corporation ligada ao driver "TurboB.sys". Mas,sua assinatura digital aponta a Intel(R) como detentora do ficheiro.
    |- Ps: Não encontrei,como desejaria,verificação do mesmo ao Virus Total.

    < VT_[TurboB.sys] >

    |- Foi efetuada a verificação,há 6 dias,e nenhum dos engenhos detectou malignidade.
    |- Ps: Em "Tipo de Arquivo",não temos indicação. (..??? )



    |- Quanto a pesquisa realizada ao arquivo "turboboost.exe",ela foi favorável e apontou legitimidade. Onde TurboB.sys parece ser Trojan.Banker,devido ao fato de não termos maiores informes sobre o ficheiro e a ocorrência estar em PCs sem alterações ao Hosts.



    |- Ps: Aprofundando minhas pesquisas,encontrei antiga análise que foi efetuada ao ficheiro "TurboB.sys",ao VT,e que difere da mais recente exibindo o tipo de arquivo ( Win32 EXE ). Além de outros detalhes,que sublinhei.



    |- Comparem com a mais recente,que ocorre em computadores sem estar o Hosts alterado.

    < TurboB.sys >



    |- Confirmado que TurboB.sys é suspeito para o hashMD5
    FD24F98D2898BE093FE926604BE7DB99,onde os outros são legítimos. ( Size 13,5 KB )

    ######
    R2 TurboB;Turbo Boost UI Monitor driver;C:\Windows\System32\drivers\TurboB.sys [2009-11-2 13784]
    ######

    |- Portanto,não se preocupem ao encontrarem "TurboB.sys" com este tamanho ( 13784 bytes ou 13,784 KB ou 13,5 KB ).



    |- Após as remoções das entradas do malware e serviço,deveremos editar o Hosts que está protegido e/ou marcado como arquivo do sistema. Não adianta,portanto,clicar em "Restore MS Hosts File" ao utilizar o HostsXpert sem 'quebrar' essa proteção que bloqueia a escrita.



    |- Tentem,primeiramente,colocar como somente leitura e caso não funcione,acionem o Hosts-perm.



    |- Estas são as condições corretas para editar o Hosts,que teve suas permissões liberadas para que fosse alterado pelo HostsXpert.



    |- Os mesmos resultados podem ser obtidos com a ferramenta Runscanner.



    |- Ps: O mesmo com a ferramenta Re-Enable.
    |- Ps: Quebrem essa proteção,com o Hosts-perm e,à seguir,utilizem um dos métodos propostos para editar o Hosts.
    |- Ps: Essa proteção à escrita pode,também,ser 'quebrada' com o GrantPerms.
    |- Baixe: < GrantPerms.zip > ( ... x86 ) (Windows XP)

    |- Ou: < > ( ... by Farbar )

    |- Baixe: < GrantPerms64.zip > ( ... x64 ) (Windows 7,64bits)
    |- Descompacte-o para o disco local! ( C;D;etc... )
    |- Execute: GrantPerms.exe ou GrantPerms64.exe



    |- Copie e cole no campo,estas informações: C:\Windows\System32\drivers\etc\Hosts
    |- Clique "Unlock" e,ao concluir,clique OK.
    |- À seguir,clique "List Permissions".
    |- Poste o relatório: C:\GrantPerms\Perms.txt <<

    ... Fica em aberto,para novas introduções!


      Data/hora atual: Sex Dez 02, 2016 12:56 pm