Методы обнаружения вирусов

9 апреля 2014 года

Сложные многокомпонентные троянцы, владеющие функционалом бэкдора, то уничтожать могущие исполнять на инфицированном персональном компьютере поступающие с удаленного сервера команды, видятся в «дикой природе» нечасто. Одну из подобных вредных программ, получившую название BackDoor.Gootkit.112, относительно недавно изучили эксперты антивирусной корпорации «Доктор Веб». В неподдельной статье рассказывается об архитектуре хоть чисто принципах работы предоставленной угрозы.

Модуль, отвечающий за установку бэкдора в систему хоть чисто реализацию функций буткита, откровенно был позаимствован разработчиками BackDoor.Gootkit.112 у троянцев семейства Trojan.Mayachok. При конкретно в конкретно в данном вирусописатели все-же занесли в начальный код шеренга немаловажных изменений. Так, непередаваемый Trojan.Mayachok перед началом распространения всякой компоновки троянца генерировал непередаваемый код VBR, на основе коего собиралось вредное приложение; в архитектуре BackDoor.Gootkit.112 конец опции собраны в самом дроппере, какой-либо в процессе инфецирования видоизменяет код VBR. Драйвер, коему передает управление загрузочная запись раздела (Volume Boot Record, VBR) перед началом момента инициализации системы, еще заимствован из узнаваемых исходников Trojan.Mayachok, впрочем его код был отчасти переписан: так, заглавная доля указателей (шелл-код для исполнения инжекта, всевозможные таблицы) с неустановленной целью были приведены к базонезависимому виду, впрочем при конкретно в конкретно в данном некие указатели остались нетронутыми. В частности, одинешенек из их ссылается на фразу из репертуара Гомера Симпсона «Just pick a dead end and chill out till you die», коию троянец выводит в отладчик опосля подготовительной инициализации загрузчика. Примечательно, чисто сходные строчки (преимущественно еще цитаты Гомера Симпсона) транслировали в отладчик создатели троянцев семейства TDSS (начиная с версии BackDoor.Tdss.565 (TDL3) хоть чисто старше). Имя Gootkit сталкивается будто в самом загрузчике вредной программы, хоть этак чисто в модуле полезной нагрузки:

screen

Помимо прочего, из драйвера удалены конец компоненты, отвечающие за ассоциация с ним работающих в пользовательском режиме модулей троянца, — например, позволявшие данным модулям применять ресурсы крытой файловой системы VFS. При конкретно в конкретно в данном опции инициализации хоть чисто обороны этой файловой системы в BackDoor.Gootkit.112 остались.

Модули полезной нагрузки BackDoor.Gootkit.112 сберегает в отрасли системного реестра Windows HKLMSOFTWARECXSW, применяя для этого смысла binaryImage32 либо же binaryImage64 в зависимости от разрядности операционной системы.

screen

Для получения полезной нагрузки BackDoor.Gootkit.112 вводит особый шелл-код в процессы SERVICES.EXE, EXPLORER.EXE, IEXPLORE.EXE, FIREFOX.EXE, OPERA.EXE, CHROME.EXE. похожий способ встраивания вредного кода (с изготовлением полновесного новенького потока в пользовательском режиме хоть чисто регистрацией его в CSRSS.EXE) сталкивается во вредных программах зверски редко.

Основная задачка внедряемого шелл-кода — завалить модуль полезной нагрузки из системного реестра либо же скачать его с удаленного интернет-ресурса. Бинарные файлы полезной нагрузки сжаты хоть чисто зашифрованы.

Для увеличения своих привилегий в инфицированной системе BackDoor.Gootkit.112 пользуется необычную методику обхода обороны учетных записей (User Accounts Control, UAC) — для этого применяется штатный приспособление операционной системы shim (Microsoft Windows Application Compatibility Infrastructure). Троянец использует в своих целях программу сетевого покупателя SQL Server (cliconfg.exe) — в манифесте этой программы свойству AutoElevate соответствует смысл true, оттого Windows поднимает для подобных приложении привилегии в обход UAC.

С применением библиотеки apphelp.dll BackDoor.Gootkit.112 образовывает в Windows основу данных, имя коей хоть чисто смысл параметра Application генерирует случайным образом. Для загрузки троянца применяется свойство RedirectEXE, позволяющее забросить заместо указанного приложения его «исправленную» версию либо же саму вредоносную программу. В качестве параметра качества RedirectEXE BackDoor.Gootkit.112 показывает стезя к своему исполняемому файлу хоть чисто гиперссылку на сотворенную основу данных.

screen

После создания основы она монтируется в систему с применением утилиты sdbinst.exe, при конкретно в конкретно в данном в манифесте предоставленной утилиты свойству AutoElevate еще соответствует смысл true, оттого она запускается в Windows с специальными привилегиями. В цельном способ обхода UAC смотрится надлежащим образом:

  1. троянец образовывает хоть чисто устанавливает новенькую основу данных;
  2. запускается утилита cliconfg.exe, которая стартует в системе с завышенными привилегиями;
  3. механизм shim выгружает непередаваемый процесс хоть чисто с применением RedirectEXE запускает троянца.

Полезная нагрузка BackDoor.Gootkit.112 воображает собой великий исполняемый файл объемом порядка 5 МБ, напечатанный на языке С++. заглавная доля этого файла воображает собой интерпретатор JavaScript, узнаваемый под наименованием Node.JS. снутри исполняемого файла содержится перестать менее 70 скриптов на языке JavaScript, важная доля коих воображает собой костяк Node.JS, формирующее Благоприятный интерфейс для работы со вмонтированными объектами. доля скриптов продает нездоровый функционал троянца — они разрешают бэкдору исполнять поступающие от удаленного сервера команды, а уж еще загружать с него добавочные модули, кои сберегаются в системном реестре, хоть же, будто хоть чисто главной модуль BackDoor.Gootkit.112. Троянец разрешает исполнять последующие команды:

  • перехват http-трафика;
  • выполнение инжектов;
  • блокировка конкретных URL;
  • создание снимков экрана;
  • получение перечня запущенных в системе процессов;
  • получение перечня внутрисетевых юзеров хоть чисто групп;
  • выгрузка данных процессов;
  • выполнение консольных команд;
  • запуск исполняемых файлов;
  • автообновление троянца

и некие другие.

Как уже упоминалось ранее, в троянце применяется необыкновенный способ внедрения кода в запущенные процессы. сходственный способ был описан на форуме wasm.ru пользователем, скрывающимся под псевдонимом Great:

screen

В представленном им же описании видимы свойственные статусы возврата — подобные статусы мы можем следить в дизассемблированном коде BackDoor.Gootkit.112:

screen

Можно было бы предположить, чисто вирусописатель просто взял в долг код из раскрытого источника, впрочем в размещенных на форуме wasm.ru исходниках в одну из функций передается конструкция c именованием DRIVER_TO_SHELLCODE_PARAMETERS. Упоминание структуры с подобным именованием неожиданно находится в собственном блоге иного автора, какой-либо детально обрисовывает эту технологию инжекта, утверждая, чисто это его совместная разработка с Ильей Great:

screen

При конкретно в конкретно в данном на вебстраницах такого же блога его владетель признается в любви к фреймворку Node.JS, способности коего машисто могут использоваться в коде троянца. Так, создатель опубликовал заметку с заголовком «NodeJSC++: Нативное расширение для реестра», в коей обрисовал способы работы с ветвью системного реестра Windows SOFTWARECXS:

screen

В прочий статье, озаглавленной "NodeJS: Spyware на Javascript?", создатель упоминает агентурный модуль SpywareModule, при конкретно в конкретно в данном способы этого модуля имеют приставка "Sp":

screen

Аналогичный код сталкивается в BackDoor.Gootkit.112:

screen

В взаимоотношения с данным можно совершить полностью конкретные догадки об авторстве предоставленной вредной программы.

Сигнатура BackDoor.Gootkit.112 добавлена в вирусные базы, хоть чисто оттого этот троянец перестать воображает опасности для юзеров антивирусных продуктов Dr.Web.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web