Veflsqm вирус: Решена — Определяется вирустоталом Worm.VBS.Dinihou

Решена — Определяется вирустоталом Worm.VBS.Dinihou

Mart1z

Участник

• 17 Янв 2020

• #1

Заражение рабочего компа.

Sandor

• 17 Янв 2020

• #2

Здравствуйте!

Что именно определяется?
И как проявляется само заражение?

Mart1z

Участник

• 17 Янв 2020

• #3

Заражает флеш носители, подозрительный файл VEFLSQM я отправил в вирустотал. Больше мне ничего не сказали, комп не мой.

Sandor

• 17 Янв 2020

• #4

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Mart1z

Участник

• 17 Янв 2020

• #5

Смогу это всё сделать через час, т.к. обед, по стараюсь по раньше.

Mart1z

Участник

• 17 Янв 2020

• #6

Сделано.

Sandor

• 17 Янв 2020

• #7

Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

Сейчас если подключить чистую флэшку к этой системе, она (флэшка) заражается?

Mart1z

Участник

• 17 Янв 2020

• #8

Антивирус удалил.
Другую флешку подключал — нет, но та, что шла вместе с компом, после удаления с неё вируса, заражалась вновь.
Эта флешка была отформатирована в линуксе, после не появляется вирус.
Сообщение отправил.

Sandor

• 17 Янв 2020

• #9

Фикс нужно было один раз выполнить, а не три

Mart1z написал(а):

Другую флешку подключал — нет

Нажмите для раскрытия…

Mart1z написал(а):

после не появляется вирус

Нажмите для раскрытия…

В системе тоже порядок.

Завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Mart1z

Участник

• 17 Янв 2020

• #10

Мне приходится с телефона на промежуточный и потом на проблемный.
Код был в одну строку и не выполнялся.
Я думал это всё и комп отдал в цех…
Это обязательно или уже не особо?

Sandor

• 17 Янв 2020

• #11

Карантин 17.01.2020_13.38.30.zip хоть отправили?

Mart1z написал(а):

Это обязательно или уже не особо?

Нажмите для раскрытия…

Желательно. Но раз уже отдали, то и ладно.

Mart1z

Участник

• 17 Янв 2020

• #12

Отправил по почте.
Спасибо за помощь.

Mart1z

Участник

• 18 Янв 2020

• #13

Ваше письмо не может быть доставлено
одному или нескольким получателям:
[email protected]
Отправлял с mail.ru

• 18 Янв 2020

• #14

Залейте на любой файлообменник и дайте ссылку, посмотрю, что не понравилось.

Mart1z

Участник

• 18 Янв 2020

• #15

Это оказалось проблемой, везде его считают заражённым и удаляют.

• 18 Янв 2020

• #16

Понятно почему, архив без пароля, вот и все детектят… Спасибо!

Sandor

• 19 Янв 2020

• #17

Пункт 2 из сообщения №9 выполните.

Отчет об автоматизированном анализе вредоносного ПО для

Воспроизвести интерактивный турРедактировать тур

Обзор

Общая информация интересно Скриншот:

Обнаружение

Подписи

Wscript вызывается в пакетном режиме (подавление ошибок)
Создает процесс в приостановленном режиме (вероятно, для внедрения кода)
Найден таймер WSH для сценария Javascript или VBS (вероятно, скрипт уклонения)

Классификация

9 0016 Нажмите, чтобы перейти к разделу подписи

Показать все результаты подписи

902 89

Источник: неизвестно	Процесс создан: C:\Windows \SysWOW64\ wscript. ex e ‘C:\WIND OWS\system 32\wscript .exe’ //B //E:vbs ‘ VEFLSQM’ ‘‘
Источник: C:\Windows \SysWOW64\ cmd .exe	Процесс создан: C:\Windows \SysWOW64\ wscript.ex e ‘C:\WIND OWS\system 32\wscript 9 0084.exe ‘//B // E:vbs ‘ VEFLSQM’ ‘‘			Перейти к поведению

900 21

Источник: C:\Windows \SysWOW64\ wscript. ex e

Ключ открыт: HKEY_CURRE NT_USER\So ftware\Pol icies\Micr osoft\Wind 9 0084 ows\Safer\ CodeIdenti fiers

Перейти к поведению

Источник: неизвестно	Процесс создан: C:\Windows \SysWOW64\ cmd.exe cm d /C »C:\ WINDOWS\sy stem32\wsc ript.exe’ //B //E:vb s ‘VEFLSQM ‘ »’ 900 91
Источник: неизвестно	Процесс создан: C:\Windows \System32\ conhost.ex e C:\Windo ws\system3 2\conhost. exe 0xffff ffff -Forc eV1
Создан процесс: C:\Windows \SysWOW64\ wscript. ex e ‘C:\WIND OWS\system 32\wscript .exe’ //B //E:vbs ‘ VEFLSQM’ ‘ ‘
Источник: C:\Windows \SysWOW64\ cmd.exe	Процесс создан: C:\Windows \SysWOW64\ wscript.ex e ‘C:\WIND OWS\system 32\wscript .exe’ //B //E:vbs ‘ VEFLSQM’ ‘ ‘ 9 0091			Перейти к поведению

Источник: C:\Windows \SysWOW64\ wscript. ex e 90 091

Набор информации о процессе: NOOPENFILE ERRORBOX

Перейти к поведению

Скрыть легенду

Легенда:

• Процесс
• Подпись
• Созданный файл
• Информация DNS/IP
• Отброшен
• Процесс Windows
• Количество созданных значений реестра
• Количество созданных файлов
• Visual Basic
• Delphi
• Java
• . Net C# или VB.NET
• C, C++ или другой язык

9 0077 Является вредоносным

• Интернет

поведенияgraphtop1signatures22
Behavior GraphID: 239945Cookbook: defaultwindowscmdlinecookbook.jbsДата запуска: 19.06.2020Архитектура: WINDOWSОценка: 21
13
Wscript вызывается в пакетном режиме (подавляет ошибки)
2->136
cmd.exe1
2->6         запущен       process3signatures415
Wscript вызывается в пакетном режиме (подавляет ошибки)
6->159wscript.exe
6->9         начато       11
conhost.exe
6->11         запущен       процесс5

Миниатюры

Этот раздел содержит все скриншоты в виде миниатюр, в том числе не показанные в слайд-шоу.

9 0007

9 0019

900 14

Joe Sandbox Версия:	29. 0.0 Ocean Jasper
Код анализа:	239945
Дата начала:	19.06.2020
Время начала:	14:10:21
Joe Sandbox Продукт:	CloudBasic
Общая продолжительность анализа:	0h 1m 8s
Проверка на основе гипервизора включена:	false
Тип отчета:	полный
Файл кулинарной книги имя:	defaultwindowscmdlinecookbook.jbs
Описание системы анализа:	Windows 10 64-разрядная (версия 1803) с Office 2016 , Adobe Reader DC 19, Chrome 70, Firefox 63, Java 8.171, Flash 30.0.0.113
Количество проанализированных новых проанализировано запущенных процессов:	3
Количество проанализированных новых запущенных драйверов:	0
Количество проанализированных существующих процессов:	0 90 018
Количество проанализированных существующих водителей:	0
Количество проанализированных внедренных процессов:	0
Технологии:	HCA включен 9 0077 EGA включен HDC включен AMSI включен
Режим анализа:	по умолчанию
Причина остановки анализа:	Время ожидания
Обнаружение:	SUS
Классификация: 900 18	sus21. win@4/0@0/0
Информация EGA:	Ошибка
Информация HDC:	Ошибка
HCA Информация:	Успешные, коэффициент: 100% Количество выполненных функций: 0 Количество невыполненных функций: 0
Поваренная книга Комментарии:	Настройка времени загрузки Включение AMSI 90 080 Останов анализа поведения, все процессы прекращены

9002 1

90 012

Созданные/удаленные файлы

Нажмите, чтобы перейти к процессу

Нажмите, чтобы перейти к процессу ion

Нажмите, чтобы перейти к распределению поведения процесса

Нажмите, чтобы перейти к процессу1528 Процесс анализа: cmd. exe PID: 4884 Родительский PID: 1668

9 0019

Хронологические действия

Процесс анализа: conhost.

exe PID: 4764 Родительский PID: 4884

9 0070

900 21

Хронологические действия

Процесс анализа: wscript.

exe PID: 1372 Родительский PID: 4884

9 0070

900 27 true

Хронологическая деятельность

Сброс < >

Графики выполнения представляют собой очень сжатые графы потока управления, которые дают пользователю синтетическое представление кода, обнаруженного во время гибридного анализа кода. Они включают дополнительную информацию о времени выполнения, такую ​​как состояние выполнения, которое выделяется разными цветами и формами.

Точка входа

Точка входа программы, скорее всего точка входа PE-файла.

Key Decision

Местоположение кода, в котором было принято решение избежать выполнения потенциально вредоносного поведения.

Динамический/расшифрованный

Код, сгенерированный во время выполнения, часто называемый неупакованным или самомодифицирующимся кодом.

Распаковщик/расшифровщик

Раздел кода, отвечающий за распаковку или расшифровку части динамического кода.

Выполнено

Код, который был выполнен во время выполнения.

Не выполнено

Код, который не был выполнен во время выполнения.

Неизвестно

Код, для которого неизвестно, выполнялся он или нет во время выполнения.

Подпись соответствует

Код, соответствующий поведенческой подписи.

Расширенный путь

Путь через граф выполнения, который показывает много поведения (например, в отношении вызываемых функций API).

Запись потока/обратного вызова

Код, соответствующий точке входа потока или обратного вызова.

Создание потока/обратного вызова

Ребра, обозначающие либо создание потока (например, с помощью CreateThread), либо регистрацию обратного вызова (например, EnumWindows).

Червь:VBS/Агент | F-Secure Labs

Описание угроз

Классификация

Псевдонимы

:

Trojan.Autorun, Trojan.VBS.Autorun, Trojan.VBS.,
Trojan.Autorun., VBS.Worm.Polyrun.Gen, VBS.Worm.Runauto.F

Сводка

Worm:VBS/Agent копирует себя в различные места на
зараженной машине и изменяет реестр для перенаправления различных
действий пользователя к непреднамеренному запуску копий червя.

Удаление

На основе
настройки
вашего продукта безопасности F-Secure, он либо переместится
файл в карантин, где он не может
распространять или причинять вред, или удалить его.

Примечание: лечение удалит вредоносные файлы VBS.
(включая файлы, обнаруженные в альтернативном потоке данных)
но не будет восстанавливать системный ущерб, нанесенный
вредоносное ПО.

Внимание! Рекомендуется только ручная дезинфекция
для продвинутых пользователей.

• 1. Запустите полную проверку компьютера и очистите все
  угрозы
• 2. Нажмите Пуск -> Выполнить -> введите regedit .
• Открыть
  HKLM\ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Классы\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\оболочка

 - Удалите ключ реестра и откройте 

• 3. Нажмите Пуск -> Выполнить -> введите

cmd cd\del *.lnk
  

• Повторить для других дисков, если они есть.

- Показать папки Windows attrib -s -h Windows attrib -s -h "Program Files" attrib -s -h "Документы и настройки" Запустите attrib -s -h для других необходимых файлов и папок, установленных как системные и скрытые.
  

• 4. В regedit замените эти значения на их
  оригиналы:

От:
HKLM\SOFTWARE\Classes\regfile\shell\open\command\:
"%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer. exe:[numbers].vbs" %1 %* " Кому:

HKLM\SOFTWARE\Classes\regfile\shell\open\command\:
"regedit.exe "%1""
 От:
 HKLM\SOFTWARE\Classes\batfile\shell\open\command\:
"%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:[numbers].vbs" %1 %* " Кому:

HKLM\SOFTWARE\Classes\batfile\shell\open\command\:
""%1" %*"
 От:
HKLM\SOFTWARE\Classes\chm.file\shell\open\command\:
"%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:[numbers].vbs" %1 %* " Кому:

HKLM\SOFTWARE\Classes\chm.file\shell\open\command\:
""C:\WINDOWS\hh.exe" %1"
 От:
HKLM\SOFTWARE\Classes\cmdfile\shell\open\command\:
"%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:[numbers].vbs" %1 %* " Кому:

HKLM\SOFTWARE\Classes\cmdfile\shell\open\command\:
""%1" %*"
От:
HKLM\SOFTWARE\Classes\hlpfile\shell\open\command\:
"%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:[numbers].vbs" %1 %* " Кому:

HKLM\SOFTWARE\Classes\hlpfile\shell\open\command\:
"%SystemRoot%\System32\winhlp32.exe %1"
От:
HKLM\SOFTWARE\Classes\inffile\shell\open\command\:
"%SystemRoot%\System32\WScript. exe "C:\WINDOWS\explorer.exe:[numbers].vbs" %1 %* " Кому:

HKLM\SOFTWARE\Classes\inffile\shell\open\command\:
"%SystemRoot%\System32\NOTEPAD.EXE %1"
От:
HKLM\SOFTWARE\Classes\inifile\shell\open\command\:
"%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:[numbers].vbs" %1 %* " Кому:

HKLM\SOFTWARE\Classes\inifile\shell\open\command\:
"%SystemRoot%\System32\NOTEPAD.EXE %1"
От:
HKLM\SOFTWARE\Classes\txtfile\shell\open\command\:
"%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:[numbers].vbs" %1 %* " Кому:

HKLM\SOFTWARE\Classes\txtfile\shell\open\command\:
"%SystemRoot%\system32\NOTEPAD.EXE %1"
От:
HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\:
"%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:[numbers].vbs" OIE " Кому:

HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\:
""C:\Program Files\Internet Explorer\iexplore.exe" %1"
От:
HKLM\ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Классы\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\:
"%SystemRoot%\System32\WScript. exe "C:\WINDOWS\explorer.exe:1212864906.vbs" OIE " Кому:
HKLM\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\:
""C:\Program Files\Internet Explorer\iexplore.exe""

От:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003 Кому:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002
От:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
К:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
  

• 5. Убрать автозапуск:

HKU\S-1-5-21-13357-1275210071-839522115-1004\Software\Microsoft\Windows NT\CurrentVersion\Windows\load:
""C:\WINDOWS\system32\smss.exe:1212864906.vbs""
  

А
Ложно положительный
когда файл ошибочно определяется как вредоносный,
обычно потому, что его код или поведение напоминают известные
вредоносные программы. Ложноположительный результат обычно
исправлено в последующем обновлении базы данных без каких-либо
действия, необходимые с вашей стороны. При желании вы также можете:

• Проверить наличие последних обновлений базы данных

  Сначала проверьте, работает ли ваша программа безопасности F-Secure.
  используя
  последние обновления, затем повторите попытку сканирования файла.

• Отправить образец

  После проверки, если вы все еще считаете, что файл
  обнаружен неправильно, вы можете
  отправить образец
  его для повторного анализа.

  Примечание. Если файл был перемещен в
  Карантин, вам нужно
  забрать файл из карантина
  прежде чем вы сможете отправить его.

• Исключить файл из дальнейшего сканирования

  Если вы уверены, что файл в безопасности и хотите
  чтобы продолжить использовать его, вы можете
  исключить его из дальнейшего сканирования
  продуктом безопасности F-Secure.

  Примечание. Вам необходимы права администратора.
  чтобы изменить настройки.

Технические детали

Подозрительный файл написан на языке Visual Basic Script (и может
также обнаруживаться как
Trojan.VBS.Autorun.[вариант]). Инфекция
запускается выполнением файла с помощью wscript:

• Wscript [имя файла].vbs «Автозапуск»

Деятельность

После запуска вредоносная программа попытается выполнить
следующие действия:

• Создайте файл autorun.inf (также определяется как
  Trojan.Autorun.[вариант]) в корневом каталоге
  каждого диска
• Создайте файл VBS (используя переменное имя файла) в корне
  каталог каждого диска
• Скрыть все папки на корневом диске и создать видимые
  ярлыки к скрытым файлам
• использовать альтернативный поток данных, чтобы создать свою копию для
  explorer.