Jump to content

Λύκος (της στέπας) με προβιά αρνιού - Security


Recommended Posts

Όλα ξεκίνησαν με ένα email από τον Α :


About 15 mins ago (~12.35), the system started acting very weird and slow and eventually had to be restarted. One of the first symptoms was that Outlook would not respond and the screen was not being completely drawn. For example, the text in the main frame of an email would not show, though other bits would; or on the task monitor in “performance” view, as below, the graphs were there, but none of the text was. Everything was also going very slowly.

Interestingly, the performance monitor didn’t show anything unusual: none of CPU, ethernet, memory, or disk usage had spiked (though CPU usage was around 50%) . xxxxxxxxxxx (Tool) show occasional ROP exploit attempts being prevented.


Ο Α, CEO μιας εταιρείας του χρηματοπιστωτικού κλάδου, advanced user, με 99,9 επαγγελματική χρήση του υπολογιστή του γραφείου του.


Θεωρώντας τον high risk target του είχα προτείνει, όπως και σε άλλους αντίστοιχους users, την εγκατάσταση ενός Anti -exploit Tool ως συμπληρωματικό στα υπόλοιπα μέτρα προστασίας του Πληροφοριακού τους Συστήματος. Δέχτηκε αμέσως και όπως φάνηκε στη συνέχεια έκανε μια άριστη επιλογή.


Σήκωμα μανίκια και πάμε να βγάλουμε άκρη. Το Antivirus γνωστό, αναγνωρισμένο και αξιόπιστο, κανένα Log. Πάμε στο Tool. Το user περιβάλλον όντως δείχνει στα logs απόπειρες exploitation.


Άνοιγμα Administrator Console για deep view.




Αρχίσαμεεεεεε……. Full System scan με το AV και με άλλα δύο διαφορετικών σοβαρών κατασκευαστών. Τίποτα!


Επανεκκίνηση υπολογιστή, check processes , τίποτα, άνοιγμα Word – Excel – Chrome τίποτα, άνοιγμα outlook, ΜΠΑΜ! -> Exploit prevented.


Check processes -> internet explorer (προβατάκι) ανοιχτός από το πουθενά (όχι πάντως από μένα). Οι φίλοι στα δύσκολα φαίνονται και εδώ ξέρω ότι με περιμένει ένα εργαλείο σούπερ, για να πάμε να δούμε τι έχει γράψει (άραγε έχει γράψει????)




Α το σατανά, λέω από μέσα μου, ρε συ αυτό δουλεύει, πάω πάρα μέσα




Αμάν…. Και άλλο μέσα








Άντε ψάξε 1352 artifacts να βρεις τι έχει γίνει….. αλλά είπαμε…. έχω φίλο, πατάω μαγικό κουμπί καιαιαι…









Και τώρα λίγη δουλειά, λίγα κλικ εδώ, λίγα εκεί και το τοπίο επιτέλους ξεκαθαρίζει αρκετά. Τώρα ξέρω από πού προήλθε, ξέρω τι έχει επηρεάσει, ξέρω με ποιον επικοινωνεί αλλά δε ξέρω ακόμα Ποιος Είναι!

Δείγμα από τον μολυσμένο πληθυσμό, c:\program files\internet explorer\iexplore.exe & c:\program files (x86)\internet explorer\iexplore.exe και αποστολή για έλεγχο στο Virus Total



Το πρώτο καθαρό (rename για να ξεχωρίζει)










Και το δεύτερο σε πρώτη ανάγνωση καθαρό…. Αλλά αν δεις λίγο πιο προσεκτικά κάτι έτρεξε στο sandbox










Τώρα μάλιστα, είχα κοντέψει να ξεχάσω αυτά που ξέρω





Και λίγο παραμέσα… βρες καλώς το, το ρώσικο καμάρι, παλιός γνωστός – νέα μέθοδος







Η συνέχεια γνωστή στους έμπειρους συναδέλφους.


Τι αποκόμισα από αυτή την εμπειρία:

  • Ότι δε βλέπουμε δε σημαίνει και ότι δεν υπάρχει
  • Ακόμα και υποψιασμένοι – διαβασμένοι  χρήστες μπορούν να τη πατήσουν
  • Εξελιγμένες τεχνικές πια επιτρέπουν το bypass ή την εξουδετέρωση των AV και άλλων κλασικών μεθόδων προστασίας (Firewalls, WebFiltering κλπ).
  • Παλιές απειλές μεταλλάσσονται και εμφανίζονται με νέο πρόσωπο
  • Υπάρχουν εργαλεία που κάνουν ότι υπόσχονται και θα προφυλάξουν τους πελάτες μας από καταστροφές και εμάς από πολύωρη εργασία.

Για την πληροφόρηση όσων δε το έχουν ξανασυναντήσει στο τέλος ακολουθεί μια περιγραφή του ''ρωσικού λύκου''.


Υ.Γ. Λόγω του Exploit Prevention που ‘’έκοβε’’ άμεσα, η μόλυνση δεν είχε προχωρήσει πέραν του code injection στο 32bit iexplore.exe. Τίποτα από τα υπόλοιπα παρακάτω τρομερά που κάνει ο Neshta δε συνέβη και η εκκαθάριση δε πήρε πάνω από 30 λεπτά. Επίσης αν δεν υπήρχε το εργαλείο δε ξέρω για πόσο καιρό θα έτρεχαν διάφορα εκεί μέχρι να το πάρουμε είδηση.




What is Win32.Neshta.a

Win32.Neshta.a is a found to lethal and heuristic Trojan infection. It is a brutal computer virus that can stealthily intrude any Windows PC. This nasty malware infection can get into your machine without permission and causes several problems. It can start different malicious process and activities into your system background that will downgrade your system performance and speed. This notorious PC threat will also disable your anti-virus program and block the Firewall security after invading your computer. This nasty Win32.Neshta.a virus will also crate its several copies and spread into different system files. This cunning malware infection is capable to use rootkit technology to hide deep into your computer system.

How Win32.Neshta.a Invade Your PC

This nasty Win32.Neshta.a can use several deceptive and lucrative methods to get installed on your system. It normally infect the unharmed computer through these ways :

  • It can get inside your machine through freeware programs.
  • Win32.Neshta.a virus can get spread via spam emails.
  • You can get this virus from malicious websites.
  • It can get spread through infected USB drives.
  • Can get dropped into your system through drive by downloads.


Risk Associated with Win32.Neshta.a

This perilous Trojan virus can bring several risk to your computer. Some of the most common evil doings of this nasty virus are :

  • Corruption of your system files and programs.
  • Injection of malicious codes into your PC.
  • Disable your anti-virus and firewall programs.
  • Block the access to legitimate programs and application.
  • Disable Control Panel, Task Manager, Registry Editor etc.
  • Steal your personal information and banking details.
  • Share your secret details with remote cyber crooks.
  • Allow hackers to remotely access your computer.


Πηγή: https://www.pcmalwaresecurity.com/trojan/remove-win32-neshta-virus-completely-windows-pc/


Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Create New...