Wacatac ninja z Mu Online

[wojtron]

Witam serdecznie, moim problemem jest prawdopodobnie infekcja na temat ktorej bardzo ciezko znalezc przydatne informacje w internecie - mianowicie stosunkowo nowa/rzadka odmiana trojana wacatac.
 

Podejrzenie to pada ze względu na to iz infekcja daje subtelne znaki od momentu uruchomienia pliku wykonywalnego gry wyjątkowo atrakcyjnego serwera w pewnej leciwej grze online (teraz juz wiem dlaczego  tak wiele zainwestowałi w serwer) ktory to plik main.exe prawdopodobnie ze wzgledu na swoją budowę peexe opartą o  zawarte w tym samym folderze biblioteki posiadające drobne wyniki po kilka wykryc na virustotal, zaś głowna biblioteka IGC.dll wykorzystywana przez program posiada 8 wykryć (IGC.dll ktore bylo z zainfekowanym plikiem wykonywalnym):
 

https://www.virustotal.com/gui/file/7dd1528b7dcb7784c835a54d335b8cd3fe4fab4ddddc4e68bbd2338561e70659/detection
 

Ku sporemu zaskoczeniu mimo iż plik wykonywalny poniżej z którego pochodzi infekcja na dwóch moich komputerach jest wykrywany na virustotal przez 13 antywirusów:
 

https://www.virustotal.com/gui/file/2c593c5a632d4f015d7c0cff4edafc6438f4fbe58e642a9a228913158fedad79/detection
 

To w momencie uruchomienia nie został on wykryty jako podejrzany przez zaktualizowaną wersję Nortona, co dużo ciekawsze jednak po kilku dniach użytkowania Norton usunął plik po którym w tamtym miejscu ani histori nie ma śladu (chyba że ewentualnie sam się jakoś usunął) jednakże nie pozostawiając żadnego śladu w dzienniku histori antywirusa co jest naprawdę bardzo dziwne.
 

Pierwszymi objawami było zauważalne wydłużenie zarówno czasu wyłączenia jak i uruchomienia systemu co odrazu zwróciło moją uwagę. Kolejnym z objawów było co pewien  czas występujące minimalizowanie aplikacji z trybu pelnoekranowego (zarowno VLC w trakcie odtwarzania filmu jak i roznorakie gry - nie tylko na origin ale i battle.net co wczesniej nigdy sie nie zdarzało) mało tego wyglądające jak wręcz wysmiewający timestamp pod print screena ponieważ za każdym razem przesuwając kursor nad kalendarz obok prawego dolnego rogu wysuwając windowsowy bialy dymek z data i dniem tygodnia co jednak nie zdarzaloby sie gdyby kursor uciekal calkowicie w róg - gdyz wtedy rzucający się w oczy dymek sie nie ukaze- kursor byl  celowo tam pozycjonowany.
 

Konkurencyjne serwery niemal tej samej wersji gry dla analogicznego pliku main.exe (choć ten również ma wyniki na virustotal)  uzywaja np. tylko 4 bibliotek mianowicie
 

COMCTL32.dll
IMM32.dll
KERNEL32.dll
USER32.dll
 

podczas gdy owy feralny korzysta aż z :
 

IPHLPAPI.DLL
advapi32.dll
awesomium.dll
crypt32.dll
dbghelp.dll
fmodex.dll
gdi32.dll
glew32.dll
glu32.dll
imm32.dll
kernel32.dll
netapi32.dll
ole32.dll
oleaut32.dll
opengl32.dll
shell32.dll
shlwapi.dll
urlmon.dll
user32.dll
version.dll
wininet.dll
winmm.dll
ws2_32.dll
 

Gdzie wiele z nich nie jest potrzebna grze na porównywalnych klientach gry i sugerujące ewentualne zagrożenie biblioteki takie jak wininet.dll z ktorym mialem ciężkie batalie jeszcze na Windows XP czy mocno podejrzane dla tego pliku  advapi32.dll czy crypt32.dll
Kolejnym znakiem infekcji są zmodyfikowne systemowe pliki user32.dll ktorych data modyfikacji obu  egzemplarzy pliku jest taka sama dla danego komputera  oraz nie posiada zgodnej sygnatury co wskazuje FRST.

 

Pojawiły się również dziwne zachowania i przywieszki explorera czy duzo rzadziej rzadziej innych aplikacji, komputer nieraz przesadnie się przegrzewa i dużo pracuje gdy nie był tak mocno obciążany, pojawiły się sporadyczne crashe roznych aplikacji choć w przypadku pewnej aktualnej aplikacji kazdorazowo przy probie uruchomienia crash, zaś w rozwinieciu  tresci błędu modułem odpowiedzialnym za  crash był... kernelbase.dll

 

 

Drogą dedukcji podejrzewałem o to infekcję gdzie dość szybko znalazłem inną analizę innego pliku niż wysłane przezemnie zawartą na virustotal która również posiada sygnaturę wacatac która jak się nie mylilem - według analizy full report na virustotal.com większość operacji przeprowadza właśnie z użyciem owej  biblioteki kernelbase.dll  :

https://www.virustotal.com/gui/file/e061ffaa0f358d0a9590b20f9ee07962896f42f43ce67a5bcdc6e28f25d97a78/behavior/VirusTotal Jujubox

 

Ostatecznym problemem podkreślającym możliwą skalę i powagę aktywności infekcji okazała się początkowo nie kojarzona przezemnie z infekcją sprawa wychodzenia Origin w tryb offline następująca jednoczesnie na dwoch komputerach zainfekowanych w podobnym czasie owym feralnym plikiem, gdzie na obu jest najnowszy norton oraz origin i czasem na zmiane jeden z nich lub oba przechodzą w tryb offline na origin lub gdy origin jest offline gry działają lub gry przechodzą w offline gdy origin działa – i to w danym momencie na tym samym komputerze.

 

 

Wczoraj gdy taka sytuacja miała miejsce wyjątkowo intensywnie przez ponad pół godziny w tym samym momencie obserwując znaczny spadek wolnej przepustowości łącza ze stałych 10 Mb

na 2,6 Mb w aplikacji na oddzielnym urządzeniu – telefonie gdzie pomiar na speedtest dokonywany jest blisko mnie u mojego dostawcy który udostępnia serwer pomiaru (niestety nie sprawdziłem w tej sytuacji zużycia sieci w tamtym momencie a jedynie speedtest jednakże wyniki były przez ten czasnon stop 2-4 2,6 mb). Jak się okazało w tym samym momencie wielu użytkowników Origin ale również zupełnie  innej firmy tj Riot Games ale tylko w Polsce zgłaszało problemy z dostępem do serwerów co widac na wykresie
 

https://i.imgur.com/87HI4EB.png
 

Jednakże nie tyczyło to jednego serwera końcowego jednej firmy lecz wielu firm jednak na ograniczonym obszarze co samo sugeruje problem dzielonego elementu w sieci dla obu połączeń.
Znaczny normalnie nigdy nie zdarzający się spadek ze stałych zapewnianych 10 mb na 2,6, dosłowne wariowanie origin na obu komputerach na raz i na zmiane przez ponad pol godziny oraz tysiące przypadkow u innych osob w tym samym momencie szybko uswiadomily mi ze to prawdopodobnie nie z tyle z samymi serwerami po drodze jest problem lecz najzwyczajniej w świecie infrastruktura została potraktowana DDoS – co gorsza definitywnie wyglądało to jak by oba zainfekowane komputery (trzeci komputer w domu w tym momencie bez zadnych problemów korzystając z internetu na nim i telefonie na wifi, na każdym komputerze staly ping rzedu 20-30 ms) wygląda ze zainfekowane ostatnio robiace naprawde dziwne rzeczy komputery były jednymi z elementów botnetu który tego ataku w danym momencie dokonał.

Oba komputery od momentu zainfekowania feralnym plikiem co jakis czas nieraz dwa razy w ciagu 5 min minimalizują do pulpitu z fullscreena, początkowo tylko zarażony jako pierwszy później głównie drugi, ten zarażony później. Oba mają zmienione sygnatury systemowych plików user32.dll i oba mają w ostatnim czasie modyfikowane owe pliki – na jednym komputerze oba systemowe pliki user32.dll modyfikowane o tej samej godzinie i minucie dnia 10.01.2020 zas na drugim komputerze oba modyfikowane w tym samym momencie i minucie dnia 14.01.2020. I to wszystko pod nosem obu systemów Windows 7 Ultimate zaopatrzonych w najnowsze wersje Nortona z uruchomionymi wszystkimi modułami – plik z infekcją wciąż uznawany jest jako czysty (ale nie na virustotal)

Po wielu godzinach bezinwazyjnego poszukiwania śladów infekcji np.  w rejestrach i analiz różnych odmian wacatac przeskanowanych na virustotal szukając u siebie zauważalnych zmian rejestru czy tworzonych plików przez nie oraz analizach logów FRST dotarłem do punktu w którym nie udaje mi sie odszukać wyraźnie rzucających się w oczy śladów, co w sumie mnie nie dziwi patrząc na konstrukcję i wyrafinowanie przy konstrukcji tego pliku wykonywalnego i kończą mi się pomysły na bezinwazyjne metody odnalezienia śladów konkretniejszych niż np znalezione zamienienie nazwy klucza z iexplore.exe na explorer.exe w obu systemach dla wpisu o ilosci dozwolonych maksymalnie połączeń czy pewności co do pewnych wpisów w logach oraz pomysłu na jakiekolwiek dalsze pewne skuteczne działania biorąc pod uwagę metody jakimi kamufluje sie ta dopracowana wersja wacatac.

W związku z powyższym zwracam się do doświadczonych będących na bieżąco w takich sprawach specjalistów z prośbą o pomoc.

Załączam logi z komputera który został zainfekowany jako pierwszy 1_ oraz komputera który ucierpiał drugi 2_ i obecnie częściej dokazuje (choć w pierwszym napis zapraszamy czy zamykanie pozwalają na naprawdę dobry sen w porównaniu do stanu sprzed infekcji początkowo i dalej nierzadko trwające tyle iż pół żartem przywodzi na myśl konieczność oczekiwania - aż dane się wyślą.
 

1_Addition.txt 1_FRST.txt 1_Shortcut.txt 2_Addition.txt 2_FRST.txt 2_Shortcut.txt

[jessica]

KOMPUTER 1:

1) Odinstaluj niepotrzebny do niczego program:

Akamai NetSession Interface (HKU\S-1-5-21-922897428-1530232081-1820824115-1000\...\Akamai) (Version:  - Akamai Technologies, Inc)

 

2) Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-922897428-1530232081-1820824115-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-922897428-1530232081-1820824115-1000\...\Policies\Explorer: []
Task: {0355DFB0-20D3-4802-86B8-5D0674B52035} - System32\Tasks\{755F93A9-E18A-41C8-A836-FE12917E7F14} => C:\Windows\system32\pcalua.exe -a "D:\Instalki\gry\Gothic2 NK\Gothic2.Noc.Kruka.PL\Setup.exe" -d "D:\Instalki\gry\Gothic2 NK\Gothic2.Noc.Kruka.PL"
Task: {03B25FA9-D3BC-402B-AB28-0BD4503AD254} - System32\Tasks\{C3B06B71-4E37-400E-8BBB-C9835D43F9F1} => C:\Windows\system32\pcalua.exe -a D:\Gry\G2Online\Gothic2\drugigothic2_playerkit-2.6f.exe -d D:\Gry\G2Online\Gothic2
Task: {2B7C0A28-048C-46F0-9F97-E1A72454191F} - System32\Tasks\{FC5D5416-3664-4439-B121-9438E314DE32} => C:\Windows\system32\pcalua.exe -a "D:\Gry\Riot Games\Riot Client\RiotClientServices.exe" -c --uninstall-product=league_of_legends --uninstall-patchline=pbe
Task: {BDBE59D1-6131-4D0F-B005-A2383AED5DFD} - System32\Tasks\{826C527A-7EC1-4BD7-AA14-F13CEA60B02F} => C:\Windows\system32\pcalua.exe -a D:\serwery\mu_online_2\server\SQLServer2017-SSEI-Expr.exe -d D:\serwery\mu_online_2\server
Task: {D73BD743-FC51-4CBF-B63E-AF5E0C5C8411} - System32\Tasks\{6C813326-88C2-4EFB-AA1E-EBE1079E887F} => C:\Windows\system32\pcalua.exe -a D:\serwery\mu_online_2\server\MSDE2000A.exe -d D:\serwery\mu_online_2\server
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-922897428-1530232081-1820824115-1000 -> {AFBCB7E0-F91A-4951-9F31-58FEE57A25C4} URL = &gct=sb&qsrc=2869
FF user.js: detected! => C:\Users\Wojtron\AppData\Roaming\Mozilla - Kopia\Firefox\Profiles\utw3105q.default\user.js [2017-11-30]
FF Session Restore: Mozilla - Kopia\Firefox\Profiles\utw3105q.default -> is enabled.
FF user.js: detected! => C:\Users\Wojtron\AppData\Roaming\Mozilla\Firefox\Profiles\utw3105q.default\user.js [2017-11-30]
S4 postgresql-x64-12; "D:\serwery\postgresql\bin\pg_ctl.exe" runservice -N "postgresql-x64-12" -D "D:\serwery\postgresql\data" -w
S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S3 GPU-Z; \??\C:\Users\Wojtron\AppData\Local\Temp\GPU-Z.sys [X] <==== ATTENTION
S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
S3 NAVENG; \??\C:\Program Files (x86)\Norton 360\NortonData\22.5.4.24\Definitions\VirusDefs\20160704.001\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton 360\NortonData\22.5.4.24\Definitions\VirusDefs\20160704.001\EX64.SYS [X]
S3 NTLiveGuardN64; \??\D:\Gry\Mu\mysticalmu\LiveGuard\NTLiveGuardN64.sys [X]
S3 SliceDisk5; \??\C:\Users\Wojtron\AppData\Local\Temp\FindAndMount\slicedisk-x64.sys [X] <==== ATTENTION
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 XFDriver64; \??\D:\Programy\Xfire2\XFDriver64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Wojtron\AppData\Local\Akamai\netsession_win.exe"
C:\Users\Wojtron\AppData\Local\Akamai\netsession_win.exe
C:\Users\Wojtron\Desktop\7 SEM\projekt oswietlenie\oswietlenie — skrót.lnk
C:\Users\Wojtron\Desktop\6 sem\ses_6\awaryjnosc2\Awaryjnosc — skrót.lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

------------------------------

KOMPUTER 2:

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

Cytat

user32.dll

kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[wojtron]

Kolejnym z objawow ktore pojawily sie wraz z infekcja o ktorych zapomnialem bylo to, ze po zaladowaniu systemu przy wczytywaniu pulpitu znikaly wszystkie ikony tzn. byly ale biale te standardowe obrazki i dopiero stopniowo po kolei sie wczytywaly, przed infekcja takie cos nie mialo miejsca przez wiele lat uzytkowania systemu jak juz to bardzo sporadycznie kilka razy w ciagu kilku lat, od czasu infekcji przez pewien czas przy kazdym uruchomieniu komputera. Ostatnio rzadziej ale teraz po uzyciu fixa komputer sie zrestartowal  (FRST tak chcial) i znow sie tak zrobilo.

Duzo bardziej jednak zastanawia mnie to co stalo sie (a wlasciwie pojawilo) w okienku moj komputer po uzyciu fixa i restarcie systemu sugerowanym przez FRST a dokladnie chodzi o 4 dyski wymienne od K do N, poczatkowo myslalem ze to wylaczone dyski wirtualne daemon toolsa ale one wcale nie zniknely i byly rodzaju bddisk i dalej są a te się pojawily widze je pierwszy raz i mają nieznany system plikow i rozmiar.

 

https://i.imgur.com/Kxft6Lj.png

 

Log z pierwszego komputera gdzie pojawily sie owe magiczne dyski Fixlog.txt

oraz log z drugiego komputera Search.txt

Pozdrawiam serdecznie

 

 

Fixlog.txt Search.txt

[jessica]

KOMPUTER I:

Cytat

Drive c: (Lindols) (Fixed) (Total:244.04 GB) (Free:18.47 GB) NTFS ==>[drive with boot components (obtained from BCD)]
Drive d: (Stary D) (Fixed) (Total:1618.78 GB) (Free:93.47 GB) NTFS
Drive g: (200801171455) (CDROM) (Total:0.48 GB) (Free:0 GB) CDFS
Drive j: (Nowy D) (Fixed) (Total:1975.12 GB) (Free:960.49 GB) NTFS
Drive o: (Buziam Olcie) (Fixed) (Total:819.2 GB) (Free:42.91 GB) NTFS

Załóż temat w dziale https://www.fixitpc.pl/forum/43-hardware/

Może tam znajdzie się ktoś potrafiący rozwiązać ten problem?

 

-----

KOMPUTER II:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Replace: C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll C:\Windows\SysWOW64\user32.dll
Replace: C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll C:\Windows\System32\user32.dll
Reboot:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[wojtron]

Komputer 2:

Zauwazylem teraz kolejny dziwny objaw mianowicie folder C:\Users posiadal status udostepnionego z pelnym dostepem mimo tego iz nikt korzystający z komputera tego nie ustawil.

 

Podmianka user32.dll jako naprawa skutkow, ale co z lokalizacją przyczyny takiego stanu rzeczy ? Skoro norton nie widzial problemow ciezko mi czuc sie pewnym likwidacji zrodla tymbardziej biorąc pod uwagę powyższe.

Fixlog,txt w zalaczniku z komputera 2

Komputer 1:

 

Wszystkie partycje poza tymi bez systemu plikow byly wczesniej i dzialaja jak nalezy. Moim zdaniem szukanie przyczyny powstania owych dyskow/partycji w dziale hardware nie bardzo ma sens bo ani nie jest to zbyt aktywny dzial ani moim zdaniem nie ma zadnych podstaw by go tam kierowac jako że pochodzenie problemu wyglada na typowo softwarowe.

 

Skoro ich ujawnienie/pojawienie sie stało się w trakcie wykonywania podanych tutaj w tym temacie polecen i uzyciu ich wedlug podanych tutaj w tym temacie instrukcji w FRST.  Rozmiar 0 bajtow rowniez nie wskazuje na podloze inne niz softwarowe ?
Ponadto skoro pojawily sie jako skutek polecen w tym temacie to czemu ktos w innym dziale w innym temacie mialby wogole chciec sie podjąć kontynuacji tego tematu.

Dziękuję za pomoc i podkreślam, iż zdaję sobię sprawę iż mój przypadek jest wymagający, dlatego zglosiłem się właśnie do was na wasze forum ktore cenie i uwazam za najlepsze tego typu, mając w pamięci geneze i moment jego powstania i jeszcze dawne czasy skutecznego przebudowywania całego systemu obslugi sieci w WinXP z pomocą picasso jeszcze na searchengines gdy poziom ingerencji infekcji i stan systemu wtedy byly naprawde beznadziejne a osiagnelismy pelny sukces.

Pozdrawiam serdecznie i liczę na dalszą pomoc :)
 

Fixlog.txt

[jessica]

Cytat

 

Moim zdaniem szukanie przyczyny powstania owych dyskow/partycji w dziale hardware nie bardzo ma sens bo ani nie jest to zbyt aktywny dzial ani moim zdaniem nie ma zadnych podstaw by go tam kierowac jako że pochodzenie problemu wyglada na typowo softwarowe.

 

Skoro ich ujawnienie/pojawienie sie stało się w trakcie wykonywania podanych tutaj w tym temacie polecen i uzyciu ich wedlug podanych tutaj w tym temacie instrukcji w FRST.  Rozmiar 0 bajtow rowniez nie wskazuje na podloze inne niz softwarowe ?
Ponadto skoro pojawily sie jako skutek polecen w tym temacie ...

 

Wiem, że dział "hardware" jest prawie nieaktywny, ale co innego mogę doradzić?

Dział "wirusowy" też jest prawie nieaktywny, bo Moderator od 1 września ubiegłego roku jest nieobecny - a ja tylko próbuję pomagać w najbardziej prostych sprawach.

 

FRST nigdy nie powoduje powstania takich dysków, one musiały już być wcześniej, a FRST tylko je odkrył, bo pewnie były ukryte.

 

Spróbujemy je usunąć przy pomocy FRST:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

RemoveDirectory: K:
RemoveDirectory: L:
RemoveDirectory: M:
RemoveDirectory: N:
Reboot:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Nie wiem, czy to zadziała.

 

jessi

[Krzesimierz]

Dyski już były wcześniej, kiedy podłączasz dysk zewnętrzny to jest mu przypisywana kolejna literka, co widać logu z pierwszego posta 

Drive o: (Buziam Olcie) (Fixed) (Total:819.2 GB) (Free:42.91 GB) NTFS

Wygląda na to, że masz w komputerze czytnik kart. Aby ukryć jego dyski wykonaj Opcje folderów > Widok > Ukryj puste stacje w folderze Komputerze

[wojtron]

Czytnik kart był zamontowany to prawda ale nie działał od początku i został odpiety dawno