Diagnostyka: infekcje typu rootkit

[picasso]

Tworzenie raportów z poziomu startującego Windows:

 

 

Raport z GMER nie jest już obowiązkowy od lipca 2017. Program nie jest rozwijany. Ma tylko podstawową zgodność z Windows 10 RTM. Na nowszych wersjach Windows 10 problemy z działaniem.

 

 

 

Czynności przed uruchomieniem skanu anty-rootkit:

• Oprogramowanie emulujące napędy

Lista dodatkowych skanerów anty-rootkit:

• Kaspersky TDSSKiller
• Malwarebytes Anti-Rootkit (MBAR)

Dodatkowe czynności dla systemów XP po ukończeniu skanu GMER:

• Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP)

 

Programy przestarzałe / nierozwijane:

 

 

 

• aswMBR (wersja z 2014, zlikwidowana przez Avast)
• Catchme (rootkity User Mode)
• MBR rootkit detector (zastępują go nowsze aswMBR i GMER)
• MBRCheck (program przestarzały, zastępują go nowsze aswMBR i GMER)
• RootRepeal (program od 2009 nierozwijany, mało wiarygodny w diagnostyce, martwa strona domowa)

 

Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

[picasso]

Oprogramowanie emulujące napędy

 

 

Przy diagnozowaniu systemu pod kątem infekcji rootkit nie powinny istnieć w systemie obiekty, które mogą kolidować z diagnostyką. Do tej kategorii należy oprogramowanie emulujące napędy, które powinno zostać wyeliminowane z systemu poddawanemu sprawdzaniu i ewentualnemu leczeniu (o ile zdiagnozowana infekcja). Oprogramowanie tego typu bazuje na sterownikach i posługuje się elementami para-rootkit. Konkretny rodzaj / nazwy sterowników mogą się różnić, w zależności od wersji aplikacji. Przykładowe oprogramowanie wchodzące w interferencję:

• Active ISO Burner (jeśli wybrano typ instalacji "Complete" i ręcznie zatwierdzono instalację SPTD)
• Alcohol 52% i 120%
• AstroBurn
• DAEMON Tools
• StarBurn (jeśli instalowano emulator)

Oprogramowanie emulujące ma negatywny wpływ na analizę problemu, pracę narzędzi diagnostycznych związanych z detekcją ingerencji rootkit (przede wszystkim GMER), usuwanie infekcji: fałszuje wyniki pracy narzędzi (sugeruje infekcję gdy jej nie ma / zaciemnia obraz gdy ona rzeczywiście jest), może uniemożliwić ich uruchomienie (GMER podczas uruchomienia zwraca błąd lub występuje niebieski ekran śmierci), utrudnić wymianę sterownika rozpoznanego jako zainfekowany czystą kopią. Dlatego przed wygenerowaniem logów z GMER proszę wykonać te kroki:



Preferowana metoda - całkowite usunięcie z systemu oprogramowania tego typu:
 

Kolejność musi być następująca: odinstalowanie danego programu > odinstalowanie sterownika SPTD. Odwrotna spowoduje niemożność deinstalacji programu. Przykładowo Alcohol pozbawiony sterownika SPTD zwróci następujący błąd podczas próby deinstalacji:

 

1. Deinstalacja programu:

Pierwszy krok polega na zwyczajnym odinstalowaniu danego programu poprzez Panel sterowania i aplet usuwania programów. Jeśli nie ma tam wejścia danego programu, deinstalatora szukać w Menu Start lub w katalogu aplikacji w Program Files. Ten proces usuwa podstawowe elementy oprogramowania, ale nie usuwa sterownika SPTD.

 

Programy Alcohol oraz starsze edycje DAEMON Tools nie są wyliczanie w Panelu sterowania, deinstalatory są w Menu Start.

 

2. Deinstalacja sterownika SPTD:

Uzupełniający krok to wyeliminowanie z systemu sterownika SPTD (SCSI Pass Through Direct) przy udziale narzędzia SPTDinst, które pełni równocześnie funkcje instalatora i deinstalatora. Narzędzie jest od czasu do czasu aktualizowane, kieruję do ogólnej strony skąd zawsze są dostępne aktualne wersje:

 

http://www.duplexsecure.com/downloads

Są dwie linie sterownika i należy pobrać plik pasujący do danego systemu:

Sterownik SPTD 2.x w Windows 10 - Dla systemów 32-bit SPTD2inst-v2...-x86.exe, zaś dla systemów 64-bit SPTD2inst-v2...-x64.exe.


 

Sterownik SPTD 1.x w Windows XP, Vista, Windows 7, Windows 8/8.1 - Dla systemów 32-bit SPTDinst-v1...-x86.exe, zaś dla systemów 64-bit SPTDinst-v1...-x64.exe.

Pobrane narzędzie uruchamiamy przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:

 

 

Błąd "nie jest prawidłową aplikacją systemu win32" podczas próby uruchomienia oznacza niekompletne pobranie pliku. Notowalna prawidłowość z przeglądarką Internet Explorer. Należy ponowić pobieranie pliku do skutku lub użyć innej przeglądarki.

 

Jeśli narzędzie wykryje sterownik, zostanie uaktywniona opcja Uninstall, którą należy wykorzystać:

 

Pojawi się dialog potwierdzania operacji:



A następnie komunikat o konieczności zresetowania komputera (co należy wykonać):



3. Samo działanie sterownika zostało zdjęte i jego typ startu jest przekonfigurowany na wyłączony, więc użytkownik może przejść do wytwarzania logów. W/w procedura nie usuwa klucza tego sterownika z rejestru. W tematach i tak zajmuję się usuwaniem tego w specjalnych skryptach, więc proszę się nie martwić tym.

 

 

 

Ewentualnie użytkownicy, którzy czują się na siłach, mogą dokończyć czyszczenie ręcznie via regedit. Należy wyszukać jeden z poniższych kluczy i skasować:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd2

Przy czym, najnowsze wersje nie wydają się być blokowane, ale próba usuwania starszych wersji "sptd" zwróci Odmowę dostępu, gdyż brak uprawnień, zniknie ewentualnie tylko część zawartości.



By dokasować całość, należy zresetować uprawnienia dla klucza odgórnego sptd i jego podklucza cfg na swoją korzyść, bazując na poniższym instrukcjach. Na różnych systemach liczba koniecznych kroków w resetowaniu uprawnień może wyglądać ciut odmiennie.

 

Nieusuwalne klucze rejestru - Metody usuwania kluczy pozbawionych uprawnień
 

Jeśli zaistnieje problem przy wykonaniu powyższych poleceń, tzn. nie można odinstalować z jakiś względów programu emulującego a deinstaller SPTD nie wykrywa takiego sterownika (służy on do usuwania tego konkretnego obiektu a nie innych sterowników oprogramowania emulującego, a może się też zdarzyć jakiś problem detekcji), należy mimo wszystko wykonać obowiązkowe logi i zgłosić się na forum z prośbą o pomoc.



Alternatywna przestarzała metoda - tymczasowe wyłączenie sterowników:
 

Instrukcja przesunięta do spoilera. Narzędzie jest stare i nie adresuje nowych wersji aplikacji oraz najnowszej wersji sterownika SPTD 2.x w Windows 10. Na tym systemie sterownik nie zostanie wykryty, więc proszę skorzystać z poprzedniej metody.

 

 

 

Metoda o mniejszej skuteczności polegająca na tymczasowym usunięciu wartości startowych i wyłączeniu sterowników oprogramowania przy pomocy narzędzia Defogger.
 

https://www.bleepingcomputer.com/download/defogger/

Narzędzie pobieramy z powyższego linka i dla wygody zapisujemy np. na Pulpicie.



Uruchamiamy narzędzie. Na systemach Vista do Windows 8 należy potwierdzić dialog UAC.

Pierwszy ekran udostępnia opcję Disable (wyłączenie) + Re-enable (włączenie, o ile wcześniej wykonywano deaktywację). Wybieramy tę pierwszą:



Pojawi się prośba o kontynuowanie przez zatwierdzenie:



Po chwili narzędzie zawiadomi o ukończeniu procesu:



Otrzymamy komunikat o konieczności zrestartowania komputera, który zatwierdzamy. Narzędzie powinno wykonać automatyczny restart, ale jeśli tak się nie stanie, należy go wymusić ręcznie.



Narzędzie tworzy log w katalogu, z którego było uruchamiane.



Jeśli skorzystano z tego narzędzia, proszę dołączyć do posta ów log (tym bardziej, jeśli pojawił się jakiś błąd procesu). Przykład jak wygląda raport:

defogger_disable by jpshortstuff (28.11.09.2)

Log created at 04:01 on 29/11/2009 (Aretuza)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:AlcoholAutomount -> Removed

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

 

Przywracanie oprogramowania po ukończeniu czyszczenia systemu:
 

Uwaga: zagrożenie instalacjami adware/PUP, rozwiń spoiler poniżej. Więcej informacji: Portale z oprogramowaniem / Instalatory - na co uważać.

 

 

 

Jeśli ktoś koniecznie musi korzystać z takich inwazyjnych programów, to po wyczyszczeniu systemu może zainstalować programy ponownie. Proszę jednak bardzo uważać - instalatory Alcohol i DAEMON Tools to siedlisko adware. Należy wykazać się ogromną czujnością. Na temat Alcohola:

Pierwszy problem to pobieranie bezpośrednio ze strony producenta, zarówno wersji trial, jak i darmowych. Linki kierują do serwisu Filefacts.net, który używa downloadera ze sponsorami i nie ma w ogóle linków bezpośrednich do instalatorów zasadniczych. "Zgadzam się" oznacza instalację sponsorów, należy oczywiście wybrać opcję Pomiń wszystkie.








Drugi problem to instalator właściwy Alcoholi, który ma zintegrowany bardzo niepożądany program Smart File Advisor (przejmujący skojarzenia plików) maskowany jako "komponent programu". W wersji trial jest możliwe jego odznaczenie. Większym problemem są edycje darmowe, w których komponent jest zszarzony i niemożliwy do wykluczenia, bo sponsor jest warunkiem pozyskania programu. A po jego zainstalowaniu nie można go odinstalować, gdyż deinstalacja jest sprzężona i usuwa także właściwy Alcohol.



W tym przypadku proszę instalować darmowy Alcohol przy całkowicie odciętym połączeniu sieciowym (przed i po restarcie wymaganym podczas instalacji Alcohola), co uniemożliwi instalację tego śmiecia.

 

 

Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

[picasso]

Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba)

 

 

 

GMER

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 RTM 32-bit i 64-bit

Strona domowa

Proszę wybrać link numer jeden:
 

http://www2.gmer.net/download.php
http://www2.gmer.net/gmer.zip

Każdorazowy klik generuje plik EXE o innej nazwie. Jest to zalecana wersja o charakterystyce losowej. Proszę mieć na uwadze, że obecnie są infekcje reagujące na słowo "gmer" i skutecznie blokujące pobranie i uruchomienie programu. Niestety nie da się tego uniknąć, musiałyby zostać usunięte wszystkie hasła "gmer" i odnośniki. Proszę nie pobierać wersji wynalezionych gdzieś na Google, czy linkowanych w portalach oprogramowania.

 

Przygotowanie prawidłowego podłoża do uruchomienia programu:

Sterownik + procedury skanujące wywoływane przez aplikację mogą wejść w kolizję z innym oprogramowaniem, które stosuje techniki niskopoziomowego dostępu / wykazuje aktywność rootkit-podobną. Widocznym znakiem może być: zawieszenie programu, jego natychmiastowe zamykanie się z błędem, fatalny niebieski ekran śmierci (na komputerach z zaznaczoną opcją auto-resetu BSOD zostanie przykryty samoresetem komputera).

Wirtualne napędy (Alcohol / DAEMON i podobne): Ten typ albo całkowicie uniemożliwia uruchomienie GMER, a jeśli nawet zdoła on wykonać zadanie, wynikowy log jest zaciemniony i prawdziwa infekcja może być ukryta "pod" działaniem tego softu. Niezbędnym jest usunięcie tego na czas diagnostyki. Szczegółowy opis eliminacji jest zlokalizowany w powyżej. Niezależnie od tego co się danemu użytkownikowi wydaje, powinien sprawdzić dokładnie czy przypadkiem nie ma w systemie czynnej emulacji. Znam takich, którzy zapewniali, że odmontowali lub nie posiadają wcale. Logi wykazały coś wręcz przeciwnego. Należy zwrócić uwagę, że prosta deinstalacja danego oprogramowania nie usuwa sterownika SPTD i może pozostać on w formie czynnej, zresztą sterownik ten to nie jedyna możliwość w obszarze sterowników emulacji.

Należy maksymalnie zredukować liczbę pracujących w tle procesów, w tym wyłączyć oprogramowanie zabezpieczające typu antywirus / firewall etc. Wprawdzie te akcje nie zdejmą określonych aktywności w sposób całkowity, ale w tym przypadku trudno jest namawiać użytkownika, by deinstalował wszystko z systemu.



Pierwsze uruchomienie / konfiguracja programu / zapis raportu:

1. Pobrany wcześniej plik EXE uruchamiamy przez dwuklik.



Windows 10 - Vista: wymagany tryb administracyjny i potwierdzenie dialogu UAC.



2. Aplikacja otwiera się automatycznie w karcie Rootkit/Malware. Inicjuje się automatycznie pre-skanowanie, o formie skróconej. Proszę cierpliwie przeczekać ten etap. Niezależnie od tego czy okno finałowe będzie puste, czy pojawi się w nim określony odczyt, czy będzie zgłoszenie o rootkicie, należy wywołać kompletne skanowanie systemu - patrz na punkt 3. Wielu użytkowników na forum zakańcza zadanie z GMER na tym etapie, silnie zasugerowanych, że pojawiło się coś w oknie, ergo jest to wynik końcowy. Wyniki z wstępnego skanowania mogą być rozbieżne od wyników skanowania pełnego.

 

 

Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane!

 

3. Przed uruchomieniem skanu pełnego należy zweryfikować ustawienia skanera (patrz na powyższy obrazek). Proszę zostawić wszystko na domyślnej konfiguracji i nie zmieniać układu proponowanego domyślnie. Tzn.:

• Wszystkie boxy od pozycji "System" do "Pliki" + "ADS" powinny być zaptaszkowane. Opcja "Pokaż wszystko" powinna pozostać odptaszkowana i zszarzona w takiej konfiguracji.
• W sekcji dysków twardych domyślnie będzie zaznaczony tylko dysk systemowy (tu w przykładzie C:). Przy obecności większej ilości dysków pozostałe są odptaszkowane i proszę ich nie nie zaznaczać. Interesuje nas tylko partycja systemowa. Zaznaczenie wszystkich dysków spowoduje też potworne wydłużenie się skanowania, bez widocznych benefitów w "rozszerzonym raporcie".

4. Po upewnieniu się w kwestii prawidłowości ustawień należy kliknąć w buttonik Szukaj. Rozpocznie się skanowanie właściwe zobrazowane przez zmieniające się lokalizacje na spodzie okna GMER i zamianę buttonika Szukaj w Stop:



W zależności od dostępnych zasobów systemowych, rozległości skanowanego dysku, oraz innych czynników skanowanie może długo trwać (nawet kilka godzin). Proszę cierpliwie czekać, zostawić system "na bezczynności" dopóki GMER wykazuje objawy życia. Znakiem ukończenia skanowania jest zmiana buttonika "Stop" w "Szukaj". Wynikowa zawartość okna może być znacznie szersza niż z początkowego pre-skanowania:



Jeżeli wśród obiektów wystąpi zjawisko rootkit, korespondujące wyniki zostaną zamalowane na czerwono, a GMER w osobnym okienku to ogłosi:

 

 

Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane!

 

4. Po ukończeniu skanu należy wybrać buttonik Kopiuj. Pojawi się poniższy komunikat. Log jest w schowku. CTRL+V do Notatnika (lub posta), by zachować / wkleić wyniki.

 

 

Wielu użytkowników nie czyta tego fragmentu i się dziwi, że nie może dołączyć raportu (błąd załączników "Nie masz uprawnień..."). Jest dobrana opcja Kopiuj i ręczny zapis do pliku *.TXT a nie Zapisz tworząca plik o rozszerzeniu *.LOG zabroniony w załącznikach forum.

 

 

 

 

W przypadku wystąpienia trudności:

1. Jeżeli GMER przechodzi pomyślnie preskan, ale nie jest możliwe wykonanie skanowania pełnego, proszę umieścić w poście skopiowane wyniki preskanu, o ile wynik jest inny niż puste okno.

2. Na okoliczność zawieszeń programu / wystąpień błędów / BSOD pomocna może się okazać redukcja procesów, to znaczy próba uruchomienia programu z poziomu Trybu awaryjnego Windows. Należy jednak zwrócić uwagę, że raport powstały z poziomu Trybu awaryjnego może nie wykazać wszystkich aktywności rootkit (to zależy jeszcze od typu infekcji).

Kilku użytkowników zgłosiło mi problem obciętego okna GMER w Trybie awaryjnym (obrazek). Nie udało mi się zreprodukować tego efektu (zapewne coś do rzeczy ma określona rozdzielczość ekranowa), ale było to dawno temu już raz przeze mnie rozwiązywane. Powinna metoda działać i dziś. Należy posłużyć się narzędziem ResizeEnable i za jego pomocą wymusić rozciągnięcie okna GMER, by uwidocznić buttoniki. Zmiana jest sesyjna, zachodzi tylko podczas działania narzędzia ResizeEnable.

3. Jeżeli w ogóle jest niemożliwe uruchomienie GMER, dobierzemy alternatywę.

W temacie z prośbą o pomoc należy dokładnie opisać wszelkie dewiacje / trudności w uruchamianiu GMER.



Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

[picasso]

Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP):

 

Podczas skanu zbyt długa odpowiedź kontrolera dysku może doprowadzić do przypadkowego obniżenia szybkości transferu dysku z DMA do PIO. Skutkiem ubocznym PIO jest bardzo powolny start (nawet do kilku minut!) i praca systemu, wysokie obciążenie mimo braku widocznych procesów konsumujących zasoby oraz "trzeszczenie dźwięku". Jak sprawdzić tryb transferu dysku i skorygować go z PIO do DMA:

Start > Uruchom > devmgmt.msc

W menu Widok wybierz opcję Urządzenia według połączeń. W nowo posortowanym menedżerze rozwiń gałęzie zaczynając od "Komputer PC..." w dół szukając kontrolera IDE z Podstawowym i Pomocniczym kanałem IDE. Na jednym z nich jest zlokalizowany dysk twardy (napędy CD/DVD-ROM oraz kanały puste nas nie interesują). Zwykle, choć nie zawsze, będzie to Podstawowy kanał IDE.

Prawoklik na kanał IDE > Właściwości > karta Ustawienia zaawansowane > zweryfikuj linię Bieżący tryb transferu:



By naprawić usterkę, wystarczy z prawokliku odinstalować kanał na którym wykryto PIO i zresetować system.


Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.