Wmassrv dll что это

Русские Блоги

Отчет об анализе атак варианта майнинг-червя WannaMine

Недавно продукт Jingwei Xinan «Gujiang» перехватил атаку варианта интеллектуального червя интрасети, анализ выглядит следующим образом:

Обзор образца

По способу распространения тела троянского коня в образце и программным характеристикам функции майнинга образец можно классифицировать как вариант семейства WannaMine WannaMine2.0.

Этот вариант используется для заражения компьютеров Windows уязвимостями MS17-010 с использованием инструментов Eternalblue и DoublePulsar, утечка которых осуществляется АНБ. После успешной атаки уязвимостей инструмента Eternalblue бэкдор DoublePulsar используется в качестве инжектора кода и отвечает за внедрение полезной нагрузки в атакуемую систему в виде dll. Внутри; после выполнения полезной нагрузки (x86.dll / x64.dll) он отвечает за получение зашифрованной программы и файла ресурсов EnrollCertXaml.dll, отправленных зараженным хостом, и расшифровку файла, чтобы запустить wmassrv.dll путем регистрации службы; после запуска основной полезной нагрузки Откройте службу майнинга и создайте программу функции распространения уязвимости spoolsv.exe после изменения времени файла, чтобы открыть процесс эксплуатации уязвимости, атаки проникновения и распространения, а также откройте веб-службу мангуста для мониторинга ресурсов передачи порта.

Рис.1.Процесс атаки и доставка файлов ресурсов

Рисунок 2 Подробный процесс атаки (подчеркивает детали ослабления, распространения и обновления атаки)

Связанные документы

* Добавить суффикс (n) в случае повторяющегося имени

Детальный анализ

Было проведено множество анализов вариантов семейства WannaMine, поэтому в этом отчете основное внимание уделяется деталям технологии маскировки и информации об отпечатках пальцев для атак Lalon, которые не упоминаются подробно в других отчетах.

1. Замаскируйте временную метку файла с технологией изменения.

После того, как сгенерированные файлы попадают (за исключением файлов набора инструментов NSA в каталог C: \ Windows \ SpeechsTracing \ Microsoft), образец сначала получает метку времени файла systeminfo в каталоге того же уровня и устанавливает информацию о метке времени сгенерированного файла в соответствии с ней.

Источник

Как удалить wmassrv.dll вредоносных программ?

wmassrv.dll относится к потенциально нежелательному программному обеспечению, которое является нежелательным, чтобы быть в системе. Пользователи часто обнаружить процесс благодаря папке System32 своих компьютеров. Task Manager открывает содержащую папку с помощью щелчка правой кнопки мыши на нем.

wmassrv.dll процесс может быть не обнаружен вашей текущей анти-вируса, некоторые из вредоносных приложений остаются неизвестными программного обеспечения с не обновляется или старые базы данных. Пользователь может наблюдать постоянные редиректы для всех видов сайтов третьих лиц без прямого умысла.

wmassrv.dll процесс обычно происходит с системами с плохой или слабой безопасностью. В случае, когда владелец ПК часто ведет бессмысленную установку, такие опасные элементы имеют все возможности, чтобы появиться. Потратьте время, чтобы всегда тщательно прочитайте инструкции по установке, связанные с бесплатными программами, которые вы хотите включить в вашем компьютере. wmassrv.dll будет не проблема, если у вас есть анти-сканер вредоносных программ для удаления распространенных компьютерных угроз.

Другими словами wmassrv.dll процесс нуждается в вашей немедленной реакции. Выполните действия, описанные ниже, чтобы знать, как бороться с угрозой без проблем. Будьте внимательны со всеми онлайн действий в будущем, использовать только проверенные ресурсы для установки.

Скачать надежный инструмент для удаления wmassrv.dll:

Подробная инструкция о том, как удалить wmassrv.dll инфекции.

Профилактические советы для вашего ПК от быть с wmassrv.dll повторного заражения в будущем:

GridinSoft Anti-Malware предлагает отличное решение, которое может помочь предотвратить заражение вашей системы вредоносным программным обеспечением в будущем. Эта функция называется “On-run Protection”. По умолчанию, она отключена после установки программного обеспечения. Чтобы включить её, пожалуйста, нажмите на “Защищать (Protect)” и нажмите на кнопку “Начать (Start)“

Эта полезная функция может позволить людям предотвратить установку вредоносного программного обеспечения. Это означает, когда вы будете пытаться установить некоторые подозрительные приложения, «On-run Protection» будет блокировать эту попытку установки. ПРИМЕЧАНИЕ! Если пользователи хотят, чтобы потенциально опасные программы были установлены, Кнопка они могут выбрать «Игнорировать всегда». В случае, если вы хотите заблокировать вредоносную программу, вы должны выбрать «Блокировать всегда (Block always)».

Источник

Wmassrv.dll Virus

Wmassrv.dll

This page aims to help you remove Wmassrv.dll Virus. Our removal instructions work for Chrome, Firefox and Internet Explorer, as well as every version of Windows.

Wmassrv.dll Virus is a piece of software, which is usually related to an aggressive ad-generating activity. It operates as an adware and tends to expose the web users to numerous pop-ups, ads, banners and sponsored sites in their Chrome, Firefox, IE or any other browser that they might be using. If you have detected Wmassrv.dll Virus on your system, you might be interested in learning how you can deal with it and remove the annoying ads streaming in your favorite browsing program. That’s why, in the text below, we have prepared a detailed Removal Guide and some useful information about the nature of this adware. We believe that with its help, you will be able to understand the specifics and the issues that Wmassrv.dll Virus may cause and eventually uninstall it from your machine.

What may Wmassrv.dll do while on your machine?

Adware is a very common source of browsing disturbance which a lot of users mistake for a virus. However, this type of software is legitimate and operates on the basis of ads-generation and page redirection. It certainly cannot be as harmful as a Trojan horse or a Ransomware virus simply because it does not typically contain malicious code. What is more, it is programmed to display different commercials and not to cause harm to your system. Therefore, referring to this adware program as a virus is not accurate.

A more appropriate term that can be used to describe a typical adware app is PUP (potentially unwanted program). And this is not because adware apps have some actual harmful abilities but because they use some aggressive advertising methods which usually cause browsing disturbance to the users. A program like Wmassrv.dll Virus, for instance, may not only integrate with your default browser without being authorized to do so but it may also launch some unauthorized page redirects and flood the users’ screen with various sponsored ads, pop-ups, banners and new tabs, which can be really difficult to get rid of. This is, generally, an online marketing approach which different companies and online-based businesses often employ in order to generate traffic and clicks for their sites and the law does not see anything malicious in it.

The cyber society, however, is a bit skeptical about the activities of programs like Wmassrv.dll Virus and the content they may generate. Most users are also generally unhappy with the effects of the adware on their browser. Therefore, it is not surprising why people generally want to uninstall it. The adware may not only be a source of annoying ads interruptions and page redirects, but there is also a risk that such software may be used for indirect malicious purposes. What we refer to is the reliability of the ads, pop-ups and links that the adware may display on your screen. It is not excluded that some of the intrusive blinking boxes could be infected with viruses as nasty as Trojans or Ransomware. In fact, even if one insecure link or an ad manages to somehow sneak into the stream of ads and you have the misfortune of clicking on it, that could be enough to get you infected. That’s why, our advice to all our readers is to try to minimize the interaction with the content generated by Wmassrv.dll and similar programs and to find reliable methods of removing the software from their systems as soon as possible.

Getting rid of the adware without taking unnecessary risks

Since adware is not an actual virus type, the removal of such apps is generally fairly easy. However, it may be a bit tricky if you don’t know what exactly you have to remove. That’s why, in order to prevent confusion and some eventual system issues, we suggest you run an automatic scan with a professional software such as the Wmassrv.dll removal tool on this page. Of course, if you prefer to remove the adware manually, you can also use the manual removal guide which is available below.

Keep in mind though, that you may get adware on your system again because this software is freely distributed all over the Internet and if you are not careful in future, you might soon encounter another annoying program such as Wmassrv.dll Virus. That’s why, to prevent future ads invasion, we advise you to keep away from the potential adware sources (freeware sites, shareware platforms, software bundles, torrents, spam, etc.) and to always pay close attention to the software you install on your PC. Use options like Advanced or Custom when you run a new setup and specifically check for any pre-selected “additional” or “recommended” components, which might be bundled inside the installation package so as to opt out of their installation if they look like they might be undesirable.

Wmassrv.dll Virus Removal

You are dealing with a malware infection that can restore itself unless you remove its core files. We are sending you to another page with a removal guide that gets regularly updated. It covers in-depth instructions on how to:
1. Locate and scan malicious processes in your task manager.
2. Identify in your Control panel any programs installed with the malware, and how to remove them. Search Marquis is a high-profile hijacker that gets installed with a lot of malware.
3. How to clean up and reset your browser to its original settings without the malware returning.
You can find the removal guide here.

About the author

Lidia Howler

Lidia is a web content creator with years of experience in the cyber-security sector. She helps readers with articles on malware removal and online security. Her strive for simplicity and well-researched information provides users with easy-to-follow It-related tips and step-by-step tutorials.

Источник

Пока расследование не разлучит нас: малварь, которая может сидеть в сети компании годами

Недавно мы расследовали АРТ-атаку на одну российскую компанию и нашли много занятного софта. Сначала мы обнаружили продвинутый бэкдор PlugX, популярный у китайских группировок, АРТ-атаки которых обычно нацелены на похищение конфиденциальной информации, а не денег. Затем из скомпрометированной сети удалось вытащить несколько других схожих между собой бэкдоров (nccTrojan, dnsTrojan, dloTrojan) и даже общедоступных утилит.

Программы, используемые в этой преступной кампании, не отличаются сложностью, за исключением, может быть, PlugX. К тому же три из четырех вредоносов использовали при запуске давно известную технику DLL hijacking. Тем не менее, как показало наше исследование, даже при таких условиях злоумышленники могут годами оставаться в скомпрометированных сетях.

Мы решили изучить обнаруженный софт и поделиться своими наблюдениями.

PlugX

PlugX — сложная вредоносная программа. Мы постараемся рассказать о ее основных функциях, а более подробное описание малвари можно найти в отчете Dr. Web.

Запуск PlugX

PlugX, как правило, распространяется в виде самораспаковывающихся архивов, содержащих:

Такой набор характерен для техники DLL hijacking, при которой злоумышленник заменяет легитимную DLL на вредоносную. При этом малварь получает возможность работать от имени легитимного процесса и обходить таким образом средства защиты (рис. 1).

Рис. 1. Наглядное представление техники DLL hijacking

Рассмотрим в качестве примера один из экземпляров PlugX, характеристики которого приведены в табл. 1.

Вот что происходит при запуске невредоносного исполняемого файла (EXE) из пакета.

Сначала одна из импортируемых им библиотек (отдельная DLL) заменяется вредоносной. После загрузки в память процесса DLL открывает третий файл из пакета PlugX, который обходит средства защиты за счет отсутствия видимого исполняемого кода. Тем не менее он содержит шелл-код, после исполнения которого в памяти расшифровывается еще один дополнительный шелл-код. Он с помощью функции RtlDecompressBuffer() распаковывает PlugX (DLL). При открытии мы видим, что сигнатуры MZ и PE в исполняемом файле PlugX заменены на XV (рис. 2) — скорее всего, это тоже нужно, чтобы скрыть модуль от средств защиты.

Рис. 2. Исполняемый файл PlugX в распакованном виде с измененными сигнатурами MZ и PE

Наконец, запускается распакованная вредоносная библиотека, и управление передается ей.

В другом экземпляре PlugX мы обнаружили интересную особенность: малварь пыталась скрыть некоторые библиотечные вызовы от песочниц. При восстановлении импортов вместо адреса импортируемой функции сохранялся адрес тремя байтами ранее. Результат для функции SetFileAttributesW() виден на рис. 3.

Рис. 3. При получении адреса функции SetFileAttributesW() сохраняется адрес 0x7577D4F4

В табл. 2 приведены характеристики этого экземпляра.

б)
Рис. 4. Фрагмент декомпилированного кода (а) и соответствующий ему фрагмент листинга перехваченных инструкций (б), где встречается вызов функции SetFileAttributesW()

Основная нагрузка PlugX не сохраняется в расшифрованном виде на диске.

Работа PlugX

После запуска вредоносная программа расшифровывает конфигурацию, которая содержит адреса серверов управления, а также информацию, необходимую для дальнейшего функционирования (например, способ закрепления в системе или путь, по которому копируются файлы малвари).

При этом данные для конфигурации могут браться из основного загрузчика или из отдельного файла в текущей рабочей директории. Из того же файла может быть подтянута новая конфигурация при ее обновлении в ходе взаимодействия с сервером управления.

То, как вредонос будет вести себя дальше, во многом определяет его конфигурация.

В зависимости от значения check_flag в конфигурации PlugX вредоносная программа может начать поиск в зараженной системе сетевого адаптера, MAC-адрес которого совпадает с адресом, заданным в самой малвари. В случае совпадения вредоносная программа завершит свое исполнение. Вероятно, таким образом она пытается обнаружить виртуальную среду.

Если значение mode_flag равно 0, вредоносная программа закрепляется в системе (подробнее в разделе «Закрепление в системе»). Затем она переходит к инициализации плагинов и взаимодействию с сервером управления (подробнее в разделе «Функциональность плагинов и исполнение команд»).

Если значение mode_flag равно 2, вредоносная программа сразу переходит к инициализации плагинов и взаимодействию с сервером управления.

Если значение mode_flag равно 3, вредоносная программа внедряет шелл-код в Internet Explorer. Передача управления вредоносному коду осуществляется с помощью функции CreateRemoteThread(). Также производится инициализация плагинов, и создается именованный пайп, через который вредоносная программа получает команды, предназначенные для исполнения плагинами.

Закрепление в системе

Если конфигурация PlugX предусматривает закрепление вредоноса в зараженной системе, то в ней прописан каталог, в который будут скопированы компоненты малвари.

Анализируемый образец выбирает одну из следующих директорий в зависимости от разрядности малвари:

В зависимости от persistence_flag PlugX может закрепляться:

Помним, что малварь может и не закрепляться вовсе.

В зависимости от конфигурации вредоносная программа может также попытаться создать процесс с повышенными привилегиями с последующим внедрением в него кода. В конфигурации могут быть перечислены до четырех целевых процессов.

Функциональность плагинов PlugX и исполняемые команды

Основная функциональность бэкдора реализована с помощью так называемых плагинов. Фрагмент функции, в которой производится инициализация плагинов, приведен на рис. 5.

Рис. 5. Фрагмент инициализации плагинов PlugX

PlugX может управлять процессами и службами, работать с файловой системой, вносить изменения в реестр. Он также имеет компоненты кейлоггера и скринлоггера и может получать удаленный доступ к зараженной системе — все это дает обширные возможности злоумышленникам в скомпрометированной сети.

Полный перечень функций вредоносной программы, доступной через плагины, приведен в табл. 3.

Табл. 3. Функциональность PlugX, доступная через плагины

Фрагмент функции обработки команд, полученных от сервера управления приведена на рис. 6.

Рис. 6. Команды сервера управления, которые получает PlugX

Описание команд приведено в табл. 4.

Табл. 4. Команды сервера управления, которые получает PlugX

nccTrojan

Один из обнаруженных нами бэкдоров найден в отчете VIRUS BULLETIN и назван авторами nccTrojan по константному значению в коде основного пейлоада. Характеристики попавшегося нам образца малвари приведены в табл. 5.

Запуск nccTrojan

Работа nccTrojan

nccTrojan расшифровывает конфигурацию, хранящуюся по определенному смещению в оверлее. Конфигурация зашифрована с помощью алгоритма AES-CFB-256, он же используется для шифрования взаимодействия с сервером управления. Пары «ключ шифрования + вектор инициализации» захардкоржены и различны для шифрования конфигурации и взаимодействия с сервером управления.

Расшифрованная конфигурация содержит информацию о сервере управления и выглядит следующим образом:

Если соединение установлено, то на сервер управления отправляется следующая информация:

При этом из собранных данных формируется строка, которая дальше зашифровывается и отправляется на сервер управления. Формат создаваемой строки:

Далее вредоносная программа переходит к взаимодействию с сервером управления и может исполнять команды, приведенные в табл. 6.

Табл. 6. Команды, исполняемые nccTrojan

dnsTrojan

Следующий бэкдор мы обнаружили впервые: на момент расследования мы не нашли упоминаний о нем в отчетах других экспертов. Его отличительная особенность — общение с сервером управления через DNS. В остальном по своей функциональности вредоносная программа схожа с бэкдором nccTrojan. Чтобы сохранить единообразие в названиях найденной малвари, назвали ее dnsTrojan.

Запуск dnsTrojan

После запуска вредоносная программа извлекает из ресурсов, распаковывает и сохраняет в рабочей директории два файла:

Работа dnsTrojan

Все свои действия вредоносная программа логирует в файл %ProgramData%\logD.dat, при этом записанные данные похожи на отладочную информацию для злоумышленников (рис. 7).

Рис. 7. Фрагмент файла logD.dat

Взаимодействие с сервером управления осуществляется с использованием DNS-туннелирования. Данные передаются серверу управления в виде DNS-запроса TXT-записи в зашифрованном виде.

Сразу после запуска на сервер управления отправляются следующие данные:

Из них формируется сообщение вида 8SDXCAXRZDJ;O0V2m0SImxhY;6.1.1;1;00-13-d2-e3-d6-2e;2020113052831619.

Все передаваемые на сервер управления данные преобразуются следующим образом:

При формировании домена, для которого запрашивается TXT-запись, после каждого 64-го символа ставится точка. Запросы, отправляемые вредоносной программой, можно увидеть на рис. 8.

В ответ на запрос, отправленный на предыдущем шаге из TXT-записей, dnsTrojan получает команды сервера и может исполнить их (табл. 8).

dloTrojan

dloTrojan — еще одна обнаруженная в процессе расследования вредоносная программа, которую мы классифицировали как бэкдор. Эта малварь не относится ни к одному из известных семейств вредоносов.

Характеристики файлов исследуемого нами образца приведены в табл. 9.

Запуск dloTrojan

На сцену опять выходит DLL hijacking.

Итак, вредоносная программа dloTrojan состоит из двух компонентов:

После запуска исполняемого EXE-файла подгружается код вредоносной DLL. При этом библиотека проверяет имя процесса, в который она загружена, и оно должно соответствовать имени ChromeFrameHelperSrv.exe. В противном случае, вредоносный код завершит свое исполнение.

Далее библиотека расшифровывает вредоносный исполняемый файл, код которого внедряется в еще один запущенный процесс ChromeFrameHelperSrv.exe с использованием техники Process Hollowing.

Работа dloTrojan

Вредоносная программа пытается получить данные значения с именем TID из одного из двух ключей реестра (это зависит от имеющихся привилегий в системе):

Если же значение в реестре отсутствует, создается один из указанных ключей реестра. В параметре TID прописывается строка из 16 произвольных символов, которую в дальнейшем можно рассматривать как ID зараженной системы.

Строки во вредоносной программе зашифрованы методом простого сложения по модулю двух с одним байтом (отличается для различных строк).

Затем малварь расшифровывает адрес сервера управления. В зависимости от конфигурации вредоносная программа может иметь несколько адресов, в текущей конфигурации адрес сервера управления один.

Теперь dloTrojan устанавливает соединение с сервером управления. Если подключиться к серверу не удалось, малварь пытается найти настроенные прокси-серверы одним из способов:

Далее на сервер управления отправляется следующая информация о зараженной системе:

Данные передаются на сервер управления в зашифрованном виде.

В конце концов вредоносная программа получает возможность исполнять команды сервера управления: запускать cmd-шелл, создавать и удалять файлы, собирать информацию о дисках.

Перечень возможных команд приведен в табл. 10.

Табл. 10. Команды, исполняемые dloTrojan

И еще несколько программ, которые мы раскопали в ходе расследования

Вернемся к общедоступным утилитам, найденным на зараженных системах. С их помощью можно залезть в систему, утащить конфиденциальные данные и выполнить другие вредоносные действия. Ловите краткое описание каждой.

GetPassword

GetPassword предназначена для получения паролей из зараженной системы. Раньше исходный код утилиты лежал в репозитории MimikatzLite, но сейчас его почему-то удалили. Можем только поделиться скриншотом на рис. 9.

Рис. 9. Скриншот работы утилиты GetPassword

Quarks PwDump

Еще одна утилита для извлечения паролей из ОС Windows.

Исходный код можно найти в репозитории 0daytool-quarkspwdump. Скриншот утилиты приведен на рис. 10.

Рис. 10. Скриншот работы утилиты Quarks PwDump

wpmd v 2.3 (beta)

wpmd (windows password and masterkey decrypt) также предназначена для получения паролей в ОС Windows. Увы, источник мы не нашли, поэтому можем только показать скриншот (рис. 11).

Рис. 11. Скриншот работы утилиты wpmd v 2.3 (beta)

os.exe

os.exe позволяет определить версию ОС Windows (рис. 12). Источник тоже не найден 🙁

Рис. 12. Скриншот работы утилиты os.exe

nbtscan 1.0.35

nbtscan — утилита командной строки, предназначенная для сканирования открытых серверов имен NETBIOS в локальной или удаленной TCP/IP-сети. Она обеспечивает поиск открытых общих ресурсов (рис. 13). Доступна на ресурсе Unixwiz.net.

Рис. 13. Скриншот работы утилиты nbtscan

Это расследование в очередной раз убедило нас, что даже заезженные и понятные техники способны доставить жертвам много неприятностей. Злоумышленники могут годами копаться в IT-инфраструктуре жертвы, которая и подозревать ничего не будет. Думаем, выводы вы сделаете сами 🙂

PlugX (SHA256: EXE, DLL, Shell-code)

PlugX-executor: (SHA256: EXE)

nccTrojan (SHA256: EXE, DLL)

dnsTrojan (SHA256: EXE)

dloTrojan (SHA256: EXE, DLL)

Источник