Анализ особых видов заражений с помощью Check Browsers’ LNK

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,814
Реакции
6,593
____________
Это дополнение в виде 2-й части статьи: Классификация ярлыков Windows и виды их заражения
Право на перепубликацию оставляю за собой.

(прим. ред. – изначальную статью по причинам секретности мы сократили,
поэтому название темы может слегка не совпадать с ее содержанием).

____________​

В этой статье будет рассмотрено несколько спорных моментов и редких случаев заражений, которые можно увидеть в логах программы Check Browsers' LNK.


1. Пометки [modified]

Периодически в логах можно увидеть префикс [modified]. В целях конфиденциальности мы ранее вообще не раскрывали, что он значит и как определяется.
И если с вот такой строкой ни у кого вопросов не возникало:
>>> [modified][RO][MASK] "C:\Users\172646\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk" -> ["C:\launcher.bat" =>> "hxxp://searchriap.ru" ]
то в последнее время очень часто с этим префиксом попадаются с точки зрения большинства хелперов легитимные ярлыки, но это не совсем так.


1.1. Случаи НЕ ложного срабатывания на признак модификации

Следует уделить особенное внимание случаям, если отчет по ярлыкам получен в момент, когда вирус все еще активен. Это могут быть ситуации, когда:

1) запрашиваются отчеты сразу нескольких программ (как в AutoLogger-е);
2) даются одновременно несколько инструкций, а пользователь их выполняет в неверном порядке;
3) не удается найти тело вируса с первого раза.

В качестве примера: недавно мы столкнулись с вредоносной службой HPDefender.

HPDef_Service.png


Отличительная особенность этой программы – это слежение за файловыми операциями. Служба повторно заражает ярлыки сразу же, как только пользователь или какая-то сторонняя программа (вроде, самого сканера ярлыков) получает к ним доступ.
При первом сканировании ярлык выглядит в отчете якобы легитимным. И складывается впечатление, будто сканер ошибся, выводя в отчет чистые строки:
>>> [modified] "D:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"]
>>> [modified] "D:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Панель запуска приложений Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>> [modified] "D:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\онлайн помощь по яндекс.бару для firefox.lnk" -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.exe"]
>>> [modified] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk" -> ["C:\Program Files (x86)\Mozilla Firefox\firefox.exe"]

Check Browsers’ LNK способен в некоторых случаях опознавать признак того, что ярлык ранее уже заражался и был вручную исправлен пользователем. В этом случае строке лога будет присвоен префикс [modified]. Соответственно, такой файл будет иметь повышенную вероятность повторного заражения вирусом, если он все еще не удален из системы.

Несмотря на с виду легитимную строку, подобные ярлыки я в любом случае рекомендовал бы брать в карантин и сразу отправлять на лечение с обязательным запросом отчета контрольной проверки.

В нашем случае в карантин попали уже зараженные семплы, хотя первый отчет и показывал, что путь к объекту (цели) легитимный.

Проверка карантина:
>>> "g:\Qr\VI\HPDefender.a\2016-03-18\Unpacked\Internet Explorer (No Add-ons).lnk" -> ["C:\ProgramData\VCNpvL\OKPwRpIm5.exe"]
>>> "g:\Qr\VI\HPDefender.a\2016-03-18\Unpacked\онлайн помощь по яндекс.бару для firefox.lnk" -> ["C:\ProgramData\zlgwAzNA\SxMiGz4.exe"]
>>> "g:\Qr\VI\HPDefender.a\2016-03-18\Unpacked\Панель запуска приложений Chrome.lnk" -> ["C:\ProgramData\VimHyKifQW\MRrsyAMM0.exe"]
>>> "g:\Qr\VI\HPDefender.a\2016-03-18\Unpacked\Mozilla Firefox.lnk" -> ["C:\ProgramData\zlgwAzNA\SxMiGz4.exe"]


1.2. Случайные «закладки» в модифицированных ярлыках + вирусные хвосты

У ярлыков с пометкой [modified] есть и другие опасные свойства. Если удалить объект, на который он ссылается, а затем запустить такой ярлык, то может сработать системный метод IShellLink::Resolve. Этот метод отвечает за восстановление пути к объекту на основе метаданных (дата, размер и путь к файлу из альтернативных секций файла ярлыка).

В случае, если не были уничтожены все файлы вируса, есть шанс повторного заражения из-за вручную запущенного тела, на которое ранее не было ссылок или других улик, позволяющих увидеть его в логах стандартного инструментария.

Тоже самое касается ярлыков из секции отчета «Цель не существует». Хотя мы обычно не занимаемся чисткой таких LNK, существует шанс заражения при запуске подобного ярлыка, который изначально (судя по отчету) ведет на несуществующую цель.


2. Заражения файловых ассоциаций и протоколов

Есть один хитрый вид заражения, который в последнее время все чаще стал появляться в логах в темах лечения и я ранее не находил инструментов, которые показывают его.

В строку запуска для файлов с расширениями .htm, .html, а также протоколов http / https / ftp и пр. помещается командная строка для подгрузки вредоносного плагина (расширения) браузера. Пример:
________________ Браузер по-умолчанию _______________
- http = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension="C:\Program Files (x86)\Common Files\{E93F2CFC-2F9E-4AB0-ACE6-B6012AB99B31}\0.8" -- "%1" (Google Chrome)
- https = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension="C:\Program Files (x86)\Common Files\{E93F2CFC-2F9E-4AB0-ACE6-B6012AB99B31}\0.8" -- "%1" (Google Chrome)
- ftp = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension="C:\Program Files (x86)\Common Files\{E93F2CFC-2F9E-4AB0-ACE6-B6012AB99B31}\0.8" -- "%1" (Google Chrome)
- .htm = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension="C:\Program Files (x86)\Common Files\{E93F2CFC-2F9E-4AB0-ACE6-B6012AB99B31}\0.8" -- "%1" (Google Chrome)
- .html = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension="C:\Program Files (x86)\Common Files\{E93F2CFC-2F9E-4AB0-ACE6-B6012AB99B31}\0.8" -- "%1" (Google Chrome)

Обычно хелпер сперва удаляет папку с вредоносным расширением и в большинстве случаев этого будет достаточно. По крайней мере, Chrome не будет ругаться на отсутствующую папку, указанную в его командной строке, приведенной выше (поведение других браузеров я не проверял).

Если Вы пожелаете исправить ассоциацию, то верным способом, как может показаться, будет:

1) заново назначить браузер по-умолчанию в его настройках​
либо
2) переустановить браузер полностью, отметив при установке галочку «Назначить по умолчанию».​

С 1-ым вариантом могут быть проблемы, т.к. при таком заражении кнопка в браузере «Восстановить по-умолчанию» может оказаться неактивной (браузер может не заметить подмену и посчитать, что он уже установлен по-умолчанию).

А с вариантом № 2 нужно быть повнимательнее, т.к. могут возникнуть сложности на новых системах (Win 8 и выше).
[article]
Начиная с ОС Windows 8, Майкрософт ввела дополнительный уровень безопасности, запрещающий программам автоматически переназначать ассоциации для типов файлов, которым уже назначена программа для запуска, в том числе:
  1. Автоматически назначать браузер используемым по-умолчанию.
  2. Проверять, является ли он таковым.
[/article]
На деле происходит вот что: к примеру, хелпер дает рекомендацию переустановить браузер. А браузер после установки предлагает пользователю вручную назначить ассоциации, используя панель управления (некоторые браузеры вообще не открывают окно «Выбор программ по умолчанию»). Но неподготовленному пользователю будет сложно разобраться, что делать дальше.

Изменить ассоциацию под Win8 не могут пока и такие программы, как например, FileTypesMan v.1.82. К счастью, на текущем уровне развития, вредоносное ПО также не умеет изменять интернет-ассоциации, защищенные хешем:

html-UserChoice.jpg


Вместо этого, подменяется строка запуска для ProgID конкретного браузера, уже связанного с расширением и/или протоколом:

ChromeHTML-LoadExtension.jpg



Для решения этой проблемы в системах ОС Windows 8/8.1/10 я могу порекомендовать вариант № 1 (сброс ассоциаций стандартными инструментами):

1) Восстановление ассоциации через меню «Задать программу по-умолчанию»:

1.1. Войдите в апплет «Программы по-умолчанию» Панели управления.

А) Чтобы войти в это меню в любой версии ОС (от Vista и выше) достаточно нажать Win + R и ввести в окно Выполнить:
Код:
%windir%\system32\control.exe /name Microsoft.DefaultPrograms

Б) Через графическое меню это делается так:​

в Windows Vista/7:
Нажмите Пуск > Программы по умолчанию > Задание программ по умолчанию

в Windows 8:
Переместите указатель мыши в правый нижний угол > Параметры > Панель управления > Программы > Программы по умолчанию > Задание программ по умолчанию

в Windows 8.1:
Нажмите Пуск > Стрелку вниз > Программы по умолчанию > Задание программ по умолчанию

в Windows 10:
Нажмите Пуск > Параметры > Система > Приложения по умолчанию > Задать значения по умолчанию по приложению​

1.2. Далее выберите программу Internet Explorer и нажмите кнопку «Использовать эту программу по умолчанию».


UseBrowserByDefault.jpg


Internet Explorer будет назначен в качестве программы, открывающей по умолчанию следующие типы файлов и протоколы:

IE_Default_Ext_And_Protocols.jpg


1.3. Далее выберите браузер, который Вы желаете установить по умолчанию на постоянной основе, и нажмите кнопку «Использовать эту программу по умолчанию».

(именно в таком порядке. См. примечание ниже, почему.)

Для Windows XP все будет немного отличаться:
- зайдите в Пуск > Выбор программ по умолчанию > Выберите пункт «Другая» и нажмите стрелочку справа. В развернувшемся перечне выберите Internet Explorer и нажмите ОК, затем выполните те же действие для желаемого браузера.

XP_Def_Set.jpg


Важное замечание:

Некоторые браузеры регистрируются только для ограниченного числа расширений и протоколов. Например, с помощью описанных выше действий нельзя установить Google Chrome, Mozilla Firefox, Opera … браузером по-умолчанию для открытия расширения .url. Именно поэтому мы выполнили 2 этапа: сначала назначение IE, а затем другого браузера. Иначе, ассоциация для .url не будет сброшена.


Вариант № 2 Переустановка браузера.

(подойдет для систем Windows 7 и ниже)

Переустанавливать нужно именно тот из браузеров, что был назначен для интернет расширений и протоколов, которые отображаются в логе как зараженные. Например:
- http = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension="C:\Program Files (x86)\Common Files\{E93F2CFC-2F9E-4AB0-ACE6-B6012AB99B31}\0.8" -- "%1" (Google Chrome)
- [OK] .htm = C:\Program Files\Opera\launcher.exe -noautoupdate -- "%1" (Opera Internet Browser)
- [OK] .html = C:\Program Files\Opera\launcher.exe -noautoupdate -- "%1" (Opera Internet Browser)

Другой браузер не сможет перезаписать значения чужого ProgID. И конечно же переустановить браузер не получится, если по-умолчанию установлен Internet Explorer или Microsoft Edge, но кто знает, может, Вы и сумеете такое проделать ;)


Выводы.
  1. Любые ярлыки с пометками [modified] рекомендуется брать в карантин и отправлять на лечение, кроме случаев, где я лично подтверждал ложное срабатывание.
  2. Зараженные записи реестра, которые задают ассоциации для интернет протоколов и типов файлов .url, .htm, .html и прочих, рекомендуется лечить с помощью функции восстановления ассоциаций «Панели управления» в 2 этапа либо переустановкой браузера (в зависимости от версии ОС и рассмотренных выше обстоятельств).

Спасибо Вам за чтение и успехов в лечении!



Благодарности.

Выражаю благодарность regist за ценные советы, поддержку и за то, что держишь в курсе последних событий, по которым и написана данная статья, а также за ревизию 1-й версии этой статьи.
Спасибо Koza Nozdri за предоставленную универсальную командную строку.

Использованные материалы и вспомогательное программное обеспечение:
MSDN. Best Practices for File Associations
MSDN. IShellLink::Resolve method
MSDN. File type and URI associations model
MSDN. Default Programs
VirusTotal – Free Online Virus, Malware and URL Scanner
AVZ by Oleg Zaitsev
Check Browsers’ LNK by Dragokas & regist
FileTypesMan by Nir Sofer
______________________________
15.04.2016. Stanislav Polshyn.
 
Последнее редактирование:
Назад
Сверху Снизу