Удалить Keyloger, Backdoor и другую нечисть

[maslou]

Доброго времени суток друзья...
Помогите пожалуйста советом, как вытащить из программы дрянь, типа кейлогер и др?

У меня есть одна программа, которая нужна для тестов и работы.
Программа запускается на виртуалке, так как вирустотал показал наличие в ней кучу различной дряни!

Пропустив через buster sandbox analyzer, мне выдало вот такой лог:

Код:

Detailed report of suspicious malware actions:
 
Checked for debuggers
Connected to WWW
Created a mutex named: .NET CLR Data_Perf_Library_Lock_PID_f84
Created a mutex named: .NET CLR Networking 4.0.0.0_Perf_Library_Lock_PID_f84
Created a mutex named: .NET CLR Networking_Perf_Library_Lock_PID_f84
Created a mutex named: .NET Data Provider for Oracle_Perf_Library_Lock_PID_f84
Created a mutex named: .NET Data Provider for SqlServer_Perf_Library_Lock_PID_f84
Created a mutex named: .NET Memory Cache 4.0_Perf_Library_Lock_PID_f84
Created a mutex named: .NETFramework_Perf_Library_Lock_PID_f84
Created a mutex named: ASP.NET_2.0.50727_Perf_Library_Lock_PID_f84
Created a mutex named: ASP.NET_4.0.30319_Perf_Library_Lock_PID_f84
Created a mutex named: ASP.NET_Perf_Library_Lock_PID_f84
Created a mutex named: aspnet_state_Perf_Library_Lock_PID_f84
Created a mutex named: ContentFilter_Perf_Library_Lock_PID_f84
Created a mutex named: ContentIndex_Perf_Library_Lock_PID_f84
Created a mutex named: CTF.Asm.MutexDefaultS-1-5-21-1275210071-651377827-1801674531-1003
Created a mutex named: CTF.Compart.MutexDefaultS-1-5-21-1275210071-651377827-1801674531-1003
Created a mutex named: CTF.Layouts.MutexDefaultS-1-5-21-1275210071-651377827-1801674531-1003
Created a mutex named: CTF.LBES.MutexDefaultS-1-5-21-1275210071-651377827-1801674531-1003
Created a mutex named: CTF.TimListCache.FMPDefaultS-1-5-21-1275210071-651377827-1801674531-1003MUTEX.DefaultS-1-5-21-1275210071-651377827-1801674531-1003
Created a mutex named: CTF.TMD.MutexDefaultS-1-5-21-1275210071-651377827-1801674531-1003
Created a mutex named: idm_mkb_count_mutex
Created a mutex named: idm_mms_count_mutex
Created a mutex named: ISAPISearch_Perf_Library_Lock_PID_f84
Created a mutex named: Local\!PrivacIE!SharedMemory!Mutex
Created a mutex named: Local\_!MSFTHISTORY!_
Created a mutex named: Local\c:!documents and settings!sab!cookies!
Created a mutex named: Local\c:!documents and settings!sab!local settings!history!history.ie5!
Created a mutex named: Local\c:!documents and settings!sab!local settings!temporary internet files!content.ie5!
Created a mutex named: Local\IDMEventMonitor
Created a mutex named: Local\ZoneAttributeCacheCounterMutex
Created a mutex named: Local\ZonesCacheCounterMutex
Created a mutex named: Local\ZonesCounterMutex
Created a mutex named: Local\ZonesLockedCacheCounterMutex
Created a mutex named: MSCTF.Shared.MUTEX.IIP
Created a mutex named: MSCTF.Shared.MUTEX.MIF
Created a mutex named: MSDTC Bridge 3.0.0.0_Perf_Library_Lock_PID_f84
Created a mutex named: MSDTC Bridge 4.0.0.0_Perf_Library_Lock_PID_f84
Created a mutex named: MSDTC_Perf_Library_Lock_PID_f84
Created a mutex named: PerfDisk_Perf_Library_Lock_PID_f84
Created a mutex named: PerfNet_Perf_Library_Lock_PID_f84
Created a mutex named: PerfOS_Perf_Library_Lock_PID_f84
Created a mutex named: PerfProc_Perf_Library_Lock_PID_f84
Created a mutex named: PSched_Perf_Library_Lock_PID_f84
Created a mutex named: RemoteAccess_Perf_Library_Lock_PID_f84
Created a mutex named: RSVP_Perf_Library_Lock_PID_f84
Created a mutex named: ServiceModelEndpoint

Лог не полный, так как на форуме нельзя вставить больше 5к символов, поэтому весь лог тут - pastebin.com

К сожалению я не программист, поэтому не знаю куда копать дальше...
Помогите пожалуйста советом, что скачать, чем посмотреть, удалить и тд.
Буду очень признателен любой помощи!!!

[p51x]

Взять с официального сайта без кейлогера и прочей дряни.

[Stilet]

Цитата:

вирустотал показал наличие в ней кучу различной дряни!

Не оч. понял по каким признакам ты решил, что тебя заразили?

[maslou]

Цитата:

Сообщение от p51x

Взять с официального сайта без кейлогера и прочей дряни.

К сожалению такой возможности нет, так как автор пропал(((

Цитата:

Сообщение от Stilet

Не оч. понял по каким признакам ты решил, что тебя заразили?

Эта программа используется для рассылки писем подписчикам.
Для того, чтоб вести статистику, как ведут себя письма, в базе есть несколько свежих контрольных ящиков, которые нигде не светились.
После использования программы, на контрольные ящики начал сыпаться спам, исходя из этого можно сделать вывод, что база каким-то образом сливается, либо кейлогер, либо бэкдор.
Плюс вирустотал показывает -


Может кто-нибудь что-нибудь посоветовать?

[Stilet]

Цитата:

Эта программа используется для рассылки писем подписчикам.

Ну так тогда понятно, что вирустотал будет определять троян. Программа широковещательной рассылки по своему механизму ведет себя как настоящий троянец. Ниче удивительного. Именно поэтому (я кстати тоже) люди используют либо программы почтовики, способные вести широковещательную рассылку, либо рассылка проводится через mail сервер, который специально устанавливается в клиентской сети.
Например: 10 компов - 1 север. На сервер ставится ченить типа Lotus или Microsoft Exchange Server, через который уже ведется рассылка с клиентов.

Цитата:

Для того, чтоб вести статистику, как ведут себя письма, в базе есть несколько свежих контрольных ящиков, которые нигде не светились.

А как ты определил, что они не светились?

Цитата:

После использования программы, на контрольные ящики начал сыпаться спам, исходя из этого можно сделать вывод, что база каким-то образом сливается, либо кейлогер, либо бэкдор.

Не вижу связи... Твоя программа значит эти ящики светит.

[maslou]

Цитата:

Сообщение от Stilet

А как ты определил, что они не светились?

Эту программу я только неделю обратно начал юзать, и ящики были зареганы аналогично, неделю обратно...

Сейчас ещё раз прогнал программу через песочницу и в логе были вот такие строки



и


Прошу не пинать, так как не силён в этом, но разве подчёркнутые строки ни о чём не говорят?

Цитата:

Сообщение от Stilet

Не вижу связи... Твоя программа значит эти ящики светит.

Ну вот логически, я не могу понять, как она может светить?
Письма отправляет она без копий (т.е. на одно письмо не идёт по несколько адресатов, чтоб получатель мог спалить кучу других адресатов)
Поэтому каким образом она ещё может их засветить?

[Stilet]

Цитата:

Поэтому каким образом она ещё может их засветить?

Откуда же я знаю ))
Это вопрос к тому, кто ее написал.

Цитата:

но разве подчёркнутые строки ни о чём не говорят?

Ну не помешало бы тогда выяснить куда программа отправляет смонироренные ей данные. Вполне возможно что юзает для своих внутренних нужд. Короче Я бы еще и сниффером прошелся.

Хотя если по чесноку: я бы такую прогу просто бы выкинул.

[Человек_Борща]

Кто-нибудь, скройте программу. Она же на .NET.

ТС, массовая истерия антивирусов говорит лишь о том, что .NET Framework стал слишком доступным, даже для школьников, которые пишут на нем свои поделки и пытаются кого-то взломать и т.д. и т.п.

Методы перехвата нужны чтобы компоненты приложения получали ввод с клавиатуры. Если ПО для тестов, то это должно быть и для вас очевидно, вдруг тест предусматривать контроль ввода с клавы и сравнивает желаемое (что вводит юзер) с действительным (что реально получает компонент ввода).
Удаленный адрес - непонятно что это.

Кароче показывайте что у вас там за тест. система, как она работает и что и как тестируете.

P.S. Н один зравомыслящий человек не станет на .NET вирусы писать. .NET-приложение очень легко открыть и посмотреть исходный код. А с NET Reflector'ом можно вообще исходники присвоить.

[maslou]

Цитата:

Сообщение от Человек_Борща

Если ПО для тестов, то это должно быть и для вас очевидно, вдруг тест предусматривать контроль ввода с клавы и сравнивает желаемое (что вводит юзер) с действительным (что реально получает компонент ввода).
Удаленный адрес - непонятно что это.

Нет, само ПО не является тестовым, это я занимаюсь рассылками и это ПО на данный момент тестирую.

Сейчас всплыло ещё несколько интересных моментов и нужна помощь знающих...
Что означают эти строки?

Queried DNS: blocklist.addons.mozilla.org
Queried DNS: cs9.wac.phicdn.net
Queried DNS: datainternetdownloadmanager.com
Queried DNS: e8218.ce.akamaiedge.net
Queried DNS: likvid.in.ua
Queried DNS: ocsp.comodoca.com
Queried DNS: ocsp.netsolssl.com
Queried DNS: secureinternetdownloadmanager.com
Queried DNS: services.addons.mozilla.org
Queried DNS: tj.symcd.com
Queried DNS: versioncheck.addons.mozilla.org
Queried DNS: versioncheck-bg.addons.mozilla.org

Пока мне не понятны действия этих строчек, что они делают с мозиллой и другими сайтами, но подчёркнутая строка, как мне кажется, связана со сливом всей инфы.

Ребят, что можете сказать?

[Alex11223]

Чем это ПО так уникально? Рассылки много чем делать можно.

Зачем для слива адреса сайтов запрашивать? Больше похоже на открытие браузера и загрузку рекламного банера этого likvid.in.ua.

Если оно на .NET, как вроде бы видно из 1 сообщения, то скиньте лучше ссылку, может быть кто-нибудь посмотрел бы, если оно не обфусцировано.