Virus bancário altera o Hosts.

Saudações!

Nova variante de 'vírus' bancário ( banker ),promove escrita ao hosts,alterando-o à cada reinicialização. Não adianta,portanto,executar o HostsXpert na tentativa da sobre-escrita.

DRV - [2012/10/13 16:57:20 | 000,009,216 | ---- | M] (GAS Tecnologia) [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\Gbpy.sys -- (Gbpy) <- MALWARE!

DRV - [2012/09/02 14:07:46 | 000,008,448 | ---- | M] (GAS Tecnologia) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\Gbpa.sys -- (Gbpa) <- SUSPEITO!

|- Há fortes indícios de Gbpa.sys ser outra variante!

DRV - [2012/10/09 09:29:58 | 000,046,440 | ---- | M] (GAS Tecnologia) [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\gbpkm.sys -- (GbpKm) <- LEGÍTIMO!

-/-

-------\Legacy_GBPY
-------\Service_Gbpy ( Serviço estabelecido pelo malware! )

|- <1> c:\windows\system32\drivers\Gbpy.sys <- No Windows XP!
|- <2> C:\Windows\SysWOW64\drivers\Gbpy.sys <- No Windows 7!

|- Caminho ao driver que deve ser removido!

< VT_[gbpy.sys] >

|- Link ao Virus Total,ao ser analizado gbpy.sys.

< VT_[gbpa.sys] >

|- Link ao Virus Total,ao ser analizado gbpa.sys.
|- Ps: As ocorrências indicam pertencerem a GAS Tecnologia,o que vem confundindo ou dificultando sua identificação ao interpretar relatórios.

... Outras ocorrências!

######
R0 gbmr;Gbmr;c:\windows\system32\drivers\gbmr.sys [2012-6-30 7680]
----
----
2012-06-30 15:08:38 7680 ----a-w- c:\windows\system32\drivers\gbmr.sys
2012-06-30 15:08:35 -------- d-----w- c:\windows\syswow64
######

|- Nesta ocorrência,exibida pelo DDS,a reescrita ao Hosts ficou ao encargo de gbmr.sys.
|- Ps: Não vi arquivo(s) na linha de processos,apenas uma pasta de característica suspeita e que foi estabelecida na data em que foi criado o banker. ( gbmr )

... Outras ocorrências!

< c:\windows\system32\drivers\gbpdisrd.sys >

|- A investigação em Sophos.com,indica ser malware o driver em destaque. ( Mal/Bancos-BU )

######
DRV - [2012/03/23 09:22:18 | 000,028,880 | ---- | M] (GAS Tecnologia) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\GbpNdisrd.sys -- (NdisrdMP)
DRV - [2012/03/23 09:22:18 | 000,028,880 | ---- | M] (GAS Tecnologia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\GbpNdisrd.sys -- (Ndisrd)
######

|- Este driver (GbpNdisrd.sys) é legítimo!
|- Ps: Reparem o detalhe da letra "N",que o distingue do malicioso. ( gbpdisrd.sys )

######
DRV - [2012/07/11 14:23:01 | 000,005,120 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\MouseUSB.sys -- (MouseUSB)
DRV - [2012/04/05 09:34:04 | 000,046,408 | ---- | M] (GAS Tecnologia) [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\gbpkm.sys -- (GbpKm)
DRV - [2011/07/29 13:54:56 | 000,014,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\epmntdrv.sys -- (epmntdrv)
DRV - [2011/07/29 13:54:56 | 000,008,456 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\EuGdiDrv.sys -- (EuGdiDrv)
DRV - [2009/07/13 22:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
######

|- Neste caso,o driver que edita o hosts é "MouseUSB.sys".
|- Ps: Achei este interessante,já que alterou sua nomenclatura e não indicou pertencer a "GAS Tecnologia".

######
[2012/07/11 14:23:12 | 000,000,237 | ---- | M] () -- C:\Windows\SysWow64\hc.cfg <- Suspeito!
[2012/07/11 14:23:11 | 000,740,352 | ---- | M] () -- C:\Windows\SysWow64\GoogleUpdt.exe <- Suspeito!
[2012/07/11 14:23:11 | 000,008,192 | ---- | M] () -- C:\Windows\SysWow64\monitor.exe <- Suspeito!
[2012/07/11 14:23:01 | 000,719,872 | ---- | M] () -- C:\Windows\SysWow64\GoS-Util.dll <- Suspeito!
[2012/07/11 14:23:01 | 000,005,120 | ---- | M] () -- C:\Windows\SysWow64\drivers\MouseUSB.sys
######

|- Ps: Devido as datas,relacionadas no log da OTL,devem ser investigadas todas essas ocorrências suspeitas,principalmente "GoS-Util.dll".

######
2012-10-18 17:06 . 2012-10-18 17:06 8192 ----a-w- c:\windows\SysWow64\monitor.exe
2012-10-18 17:06 . 2012-10-18 17:06 1092096 ----a-w- c:\windows\SysWow64\rpcnet.exe
2012-10-18 17:06 . 2012-10-18 17:06 10240 ----a-w- c:\windows\SysWow64\net.dll
2012-10-18 17:06 . 2012-10-18 17:06 5120 ----a-w- c:\windows\SysWow64\drivers\MouseUSB.sys
######

|- Relatório do ComboFix onde MouseUSB.sys e arquivos,causam impedimentos no acesso ao Santander.

============= SERVICES / DRIVERS ===============
.
R0 MouseUSB;MouseUSB;c:\windows\system32\drivers\MouseUSB.sys [2012-7-10 3968]
---------
---------
S2 gupdate;Google Update Service (gupdate);c:\arquivos de programas\google\update\GoogleUpdate.exe [2010-6-13 136176]
S2 OracleSvc;OracleSvc;c:\windows\system32\GoogleUpdt.exe [2012-7-10 738816]
---------
S3 gupdatem;Serviço do Google Update (gupdatem);c:\arquivos de programas\google\update\GoogleUpdate.exe [2010-6-13 136176]
=============== Created Last 30 ================
.
---------
---------
2012-07-10 18:19:24 8192 ----a-w- c:\windows\system32\monitor.exe
2012-07-10 18:19:23 738816 ----a-w- c:\windows\system32\GoogleUpdt.exe
2012-07-10 18:19:22 3968 ----a-w- c:\windows\system32\drivers\MouseUSB.sys
2012-07-10 18:19:21 719872 ----a-w- c:\windows\system32\GoS-Util.dll
---------
---------
######

|- Ao pesquisar o serviço malicioso (MouseUSB),em outros relatórios,pude constatar que o mesmo veio infectar o computador 'disfarçado' de atualização da Google. Reparem que "OracleSvc",estabelece uma 'cortina de fumaça' para enganar uma análise menos detalhista. Pois quem a lê tem a impressão de ser algum serviço relacionado ao Java.

######
O1 - Hosts: 88.80.12.21 aapj.bb.com.br
O1 - Hosts: 88.80.12.22 bankline.itau.com.br
O1 - Hosts: 88.80.12.23 www.santandernet.com.br
O1 - Hosts: 186.202.166.75 www2.infoseg.gov.br
######

|- Típica alteração ao Hosts,executado por monitor.exe e mantida por MouseUSB.sys.

######
DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\KBUSB.sys -- (KBUSB4)
DRV - [2012/07/10 15:05:43 | 000,003,968 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\MouseUSB.sys -- (MouseUSB)
O4 - HKLM..\Run: [monitor] C:\WINDOWS\system32\monitor.exe ()
----
----
[2012/07/10 15:05:43 | 000,008,192 | ---- | M] () -- C:\WINDOWS\System32\monitor.exe
[2012/07/10 15:05:43 | 000,003,968 | ---- | M] () -- C:\WINDOWS\System32\drivers\MouseUSB.sys
[2012/07/10 15:05:43 | 000,000,237 | ---- | M] () -- C:\WINDOWS\System32\hc.cfg
----
----
[2011/06/22 11:57:01 | 000,014,848 | ---- | C] () -- C:\WINDOWS\System32\CertUtilFF.exe
######

|- Há casos,mais antigos,em que encontramos o driver KBUSB.sys associado ao processo CertUtilFF.exe ou CertUtilIE.exe,em analogia à monitor.exe que depende de MouseUSB.sys.

######
R0 KBUSB2;KBUSB2;c:\windows\system32\drivers\KBUSB.sys [2011-10-28 5120]
----
----
[2011/06/22 11:57:01 | 000,014,848 | ---- | C] () -- C:\WINDOWS\System32\CertUtilFF.exe
----
----
2011-10-28 11:50:21 59152 ----a-w- c:\windows\system32\CertUtilIE.exe
2011-10-28 11:50:20 5120 ----a-w- c:\windows\system32\drivers\KBUSB.sys
2011-10-28 11:50:19 -------- d-----w- c:\windows\system32\1318997871 << Pasta!
######

|- Exemplificando o mesmo caso,com o relatório da ferramenta DDS.

ANÁLISE AOS FICHEIROS SUSPEITOS ( Virus Total )

< GoogleUpdt.exe >

SHA256:14da4bd3d5901395510bd7c2fb345ed844ebe5f0cd6 da3117fc29b7848a76d0f
SHA1: c3a229809ac04c2644867ffd9d77ad8919f7054d
MD5: 06c26e219f7cc105cb3627effb988f00
File size: 721.5 KB ( 738816 bytes )
File name: GoogleUpdt.exe
File type: Win32 EXE Detection ratio: 8 / 41
Analysis date: 2012-07-26 02:31:54 UTC ( 0 minuto ago )

BitDefender Gen:Trojan.Heur.GM.0004430100 20120726
Emsisoft Win32.SuspectCrc!IK 20120726
F-Secure Gen:Trojan.Heur.GM.0004430100 20120726
GData Gen:Trojan.Heur.GM.0004430100 20120726
Ikarus Win32.SuspectCrc 20120726
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.F 20120725
--------
--------

|- Para GoogleUpdt.exe,8 antivírus detectaram problemas!

< MouseUSB.sys >

HA256:31463055820050c3a0ec0a96bf4caef4a5fd8ce1394c 59c6c8170c57d1eed24f
SHA1: cadee2f280ac0eb6cf93bf6b313163cc8540264c
MD5: fdd31840e99aee99cd24c50058168edc
File size: 3.9 KB ( 3968 bytes )
File name: MouseUSB.sys
File type: Win32 EXE
Detection ratio: 0 / 41
Analysis date: 2012-07-26 02:45:59 UTC ( 0 minuto ago )
--------
--------

|- No período,nenhum dos engenhos detectou ser malware MouseUSB.sys. Mas...já sabemos tratar-se de um Trojan.Banker.

<< Link!

|- A análise em VirSCAN.org,também,não detectou problemas!

< GoS-Util.dll >

HA256:1ee0210b4a7a56957c9db4055cc00124c6525e32a234 d2558fb2e2baef9c6c8e
SHA1: dfa9cfa567ec8f63bc681d963c214a3554ad17b9
MD5: 72bbda2f4ba1ae0edb79b2c4fa622d6e
File size: 703.0 KB ( 719872 bytes )
File name: GoS-Util.dll
File type: Win32 DLL
Detection ratio: 7 / 41
Analysis date: 2012-07-26 02:52:40 UTC ( 0 minuto ago )

BitDefender Gen:Trojan.Heur.GM.0000432100 20120726
F-Secure Gen:Trojan.Heur.GM.0000432100 20120726
Fortinet - 20120726 GData Gen:Trojan.Heur.GM.0000432100 20120726
Symantec Trojan.Gen.2 20120726
TrendMicro-HouseCall TROJ_GEN.RCBH1GO 20120726 VBA32 Hoax.Birele.pxt 20120725
--------
--------

|- Para GoS-Util.dll,7 antivírus detectaram problemas!

< Monitor.exe >

SHA256:72f8f7206f6cbd6d9312630d6ba13e2f0804add3099 0a9f3f13f5d693c02bbd8
SHA1: 97940d845f1daafa985d24a9389227cba599453f
MD5: 555ec932024867b090810a7c9c52aff5
File size: 8.0 KB ( 8192 bytes )
File name: monitor.exe
File type: Win32 EXE
Detection ratio: 5 / 41
Analysis date: 2012-07-26 02:57:52 UTC ( 0 minuto ago )

BitDefender Gen:Trojan.Heur.RP.auW@aWy2gWk 20120726
F-Secure Gen:Trojan.Heur.RP.auW@aWy2gWk 20120726
GData Gen:Trojan.Heur.RP.auW@aWy2gWk 20120726
TrendMicro BKDR_TDSS.SMD4 20120726
TrendMicro-HouseCall BKDR_TDSS.SMD4 20120726

|- Para Monitor.exe,5 antivírus detectaram problemas!

######
[2012/10/18 16:40:10 | 000,000,022 | ---- | M] () -- C:\Windows\SysWow64\1346214271
[2012/10/18 16:40:04 | 000,010,240 | ---- | M] () -- C:\Windows\SysWow64\net.dll
[2012/10/18 16:40:01 | 000,008,192 | ---- | M] () -- C:\Windows\SysWow64\monitor.exe
[2012/10/18 16:40:01 | 000,000,344 | ---- | M] () -- C:\Windows\SysWow64\hc.cfg
[2012/10/18 16:40:00 | 001,092,096 | ---- | M] () -- C:\Windows\SysWow64\rpcnet.exe
[2012/10/18 16:39:48 | 000,005,120 | ---- | M] () -- C:\Windows\SysWow64\drivers\MouseUSB.sys
######

|- Outra ocorrência com "MouseUSB.sys",onde podemos reparar a presença de "monitor.exe" e "hc.cfg" ao comparar-mos relatórios.
|- Aqui encontrei um caso sui generis,onde a remoção de "monitor.exe" e "MouseUSB.sys" não solucionou a escrita ao hosts. Desconfio de outro processo que faz-se passar por legítimo e pertencente à Intel. ( igfxsrvc.exe )
|- Se o procedimento em Eset nada detectar,o arquivo deve ser analizado no Virus Total.
|- Aprofundando pesquisas ao caso,descobri que não existem outros sinais de infecção. A usuária,simplesmente,não executou o Hosts-perm e mantendo a escrita ao Hosts.

######
DRV:64bit: - [2010/04/16 15:07:28 | 000,013,832 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\TurboB.sys -- (TurboB)

O23 - Service: Intel® Turbo Boost Technology Monitor (TurboBoost) - Intel® Corporation - C:\Program Files\Intel\TurboBoost\TurboBoost.exe
######

|- Neste caso a solução não ocorreu e suspeitei de "TurboB.sys",mas não vi escrita ao hosts. Apenas a reclamação de que o acesso ao Banco,pelo Google Chrome,solicitava ao correntista digitar senha imprópria. ( 4 dígitos! )



|- A minha desconfiança deveu-se ao fato da análise em "System Explorer",não indicar a companhia Intel® Corporation ligada ao driver "TurboB.sys". Mas,sua assinatura digital aponta a Intel(R) como detentora do ficheiro.
|- Ps: Não encontrei,como desejaria,verificação do mesmo ao Virus Total.

< VT_[TurboB.sys] >

|- Foi efetuada a verificação,há 6 dias,e nenhum dos engenhos detectou malignidade.
|- Ps: Em "Tipo de Arquivo",não temos indicação. (..??? )



|- Quanto a pesquisa realizada ao arquivo "turboboost.exe",ela foi favorável e apontou legitimidade. Onde TurboB.sys parece ser Trojan.Banker,devido ao fato de não termos maiores informes sobre o ficheiro e a ocorrência estar em PCs sem alterações ao Hosts.



|- Ps: Aprofundando minhas pesquisas,encontrei antiga análise que foi efetuada ao ficheiro "TurboB.sys",ao VT,e que difere da mais recente exibindo o tipo de arquivo ( Win32 EXE ). Além de outros detalhes,que sublinhei.



|- Comparem com a mais recente,que ocorre em computadores sem estar o Hosts alterado.

< TurboB.sys >



|- Confirmado que TurboB.sys é suspeito para o hashMD5
FD24F98D2898BE093FE926604BE7DB99,onde os outros são legítimos. ( Size 13,5 KB )

######
R2 TurboB;Turbo Boost UI Monitor driver;C:\Windows\System32\drivers\TurboB.sys [2009-11-2 13784]
######

|- Portanto,não se preocupem ao encontrarem "TurboB.sys" com este tamanho ( 13784 bytes ou 13,784 KB ou 13,5 KB ).



|- Após as remoções das entradas do malware e serviço,deveremos editar o Hosts que está protegido e/ou marcado como arquivo do sistema. Não adianta,portanto,clicar em "Restore MS Hosts File" ao utilizar o HostsXpert sem 'quebrar' essa proteção que bloqueia a escrita.



|- Tentem,primeiramente,colocar como somente leitura e caso não funcione,acionem o Hosts-perm.



|- Estas são as condições corretas para editar o Hosts,que teve suas permissões liberadas para que fosse alterado pelo HostsXpert.



|- Os mesmos resultados podem ser obtidos com a ferramenta Runscanner.



|- Ps: O mesmo com a ferramenta Re-Enable.
|- Ps: Quebrem essa proteção,com o Hosts-perm e,à seguir,utilizem um dos métodos propostos para editar o Hosts.
|- Ps: Essa proteção à escrita pode,também,ser 'quebrada' com o GrantPerms.
|- Baixe: < GrantPerms.zip > ( ... x86 ) (Windows XP)

|- Ou: < > ( ... by Farbar )

|- Baixe: < GrantPerms64.zip > ( ... x64 ) (Windows 7,64bits)
|- Descompacte-o para o disco local! ( C;D;etc... )
|- Execute: GrantPerms.exe ou GrantPerms64.exe



|- Copie e cole no campo,estas informações: C:\Windows\System32\drivers\etc\Hosts
|- Clique "Unlock" e,ao concluir,clique OK.
|- À seguir,clique "List Permissions".
|- Poste o relatório: C:\GrantPerms\Perms.txt <<

... Fica em aberto,para novas introduções!