Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

Почтовые вирусы наступают

30 октября 2008 года

Компания «Доктор Веб» предупреждает о значительном присутствии в почтовом трафике спам-писем с приложенным архивом, в котором содержится вредоносная программа, которая на данный момент определяется антивирусом Dr.Web как Trojan.Packed.1198.

Рассмотрим этот троян подробнее с целью ознакомления с некоторыми современными методами, которые используют вирусы. Итак, исходное письмо имеет заголовок "New anjelina jolie sex scandal". В теле письма находится приглашение открыть приложенный файл, в котором якобы находится порно-ролик. Этот приём, в общем-то, является уже достаточно банальной и изъезженной авторами подобных рассылок мотивацией для открытия приложенного файла. Тем не менее, учитывая массовость данной почтовой рассылки (на её долю приходилось в пиковые часы более 50% всего инфицированного почтового трафика), этого и в наши дни достаточно для заражения довольно большого числа систем.

К письму приложен архив anjelina_video.zip, внутри которого находится дроппер (установщик вредоносной программы в систему) anjelina_video.exe размером 44 032 байта. Данный исполняемый файл упакован с помощью упаковщика Lighty Compressor, который довольно часто применяется компьютерными злоумышленниками. С большой долей вероятности можно утверждать, что данный упаковщик был разработан исключительно для защиты вредоносного кода.

В anjelina_video.exe упакован файл, который определяется как Trojan.MulDrop.17829. Код распакованного файла весьма небольшой, ведь его задача - сохранить и зарегистрировать в системе файлы, зашифрованные в теле трояна. Вредоносная программа проверяет, не установлены ли уже в системе некоторые из известных видов лже-антивирусов, которые в большинстве своём определяются Dr.Web как различные модификации Trojan.FakeAlert. Поиск лже-антивирусов производится в следующих ключах реестра:

  • HKLM\Software\WinReanimator\license
  • HKLM\Software\XP_SecurityCenter\license
  • HKLM\Software\WinAntispyware2008\license
Если указанные трояны в системе уже установлены, то вредоносная программа завершает работу и удаляет себя. Второй этап контроля присутствия уже установленной копии трояна - попытка создания своего мьютекса. Мьютекс - это специально создаваемый семафор (флаг) в системе, используемый для идентификации наличия в системе той или иной программы. Если троян не обнаруживает в системе признаков своего наличия, он принимается за активные действия. Сначала он расшифровывает находящийся внутри него файл и сохраняет его в системном каталоге с именем brastk.exe. Следует заметить, что более ранние версии рассматриваемой вредоносной программы вместо файла brastk.exe создавали файл с именем braviax.exe, которое уже стало практически нарицательным, и вирусописатели решили его в итоге сменить. Сохраненный файл тоже определяется как Trojan.Packed.1198, т.к. в этом файле используется упаковщик, схожий с тем, что используется в исходном файле. Троян регистрирует сохранённый файл в следующих ключах реестра:
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Это приводит к автоматическому запуску трояна при входе пользователя в систему. Второй компонент, сохраняемый на диск - файл figaro.sys (Trojan.Fakealert.458), который троян помещает в каталог dllcache, находящийся в системном каталоге. Для загрузки драйвера троян временно заменяет им драйвер beep.sys. Эта особенность позволяет трояну маскировать запуск своих драйверов от многих антируткит-утилит.

В завершение троян уничтожает исходный файл и перезагружает систему. В дальнейшем целям вредоносной программы служат уже файлы brastk.exe и figaro.sys. Файл brastk.exe имеет размер 9 728 байт и упакован тем же упаковщиком, что и дроппер - Lighty Compressor. Распакованный файл определяется как Trojan.DownLoad.8659. Первый этап работы этого компонента вредосной программы практически не отличается от такового у дроппера - троян проверяет, должен ли он работать в системе. Для этого проверяются ключ реестра:

  • HKLM\Software\XP_AntiSpyware\license
Обратим внимание, что этот ключ дроппером не проверяется. Также проверяется наличие файла XP_Antispyware\XP_AntiSpyware.exe в каталоге программ. Последний этап проверки - проверка наличия в системе определённого мьютекса. Если все проверки прошли успешно, троян начинает работать. Первым делом он меняет настройки зон безопасности Windows. После этого троян отключает предупреждения Windows об отсутствии антивируса, выключенном встроенном файрволле и отсутствии обновлений, а также отключает встроенный файрволл. Следующие действия трояна мне кажется несколько странными: он пытается удалить из реестра данные расширений Internet Explorer и устанавливает в качестве поискового движка Google, также меняя стартовую страницу на http://www.google.com. Теперь троян будет выполнять наиболее «полезную» часть своей работы - он выводит сообщение о том, что компьютер инфицирован и предлагает скачать средство борьбы. Интересная особенность трояна заключается в том, что он скачивает файлы ещё до вывода сообщения о заражённости машины. Возможно, это нужно для того, чтобы не закачивать их, когда пользователь даст на это согласие, а делать это в любом случае. Первый же файл, который троян скачивает из Интернета, определяется как Trojan.Fakealert.1629.

Драйвер figaro.sys имеет размер 27 648 байт. Он никак не упакован, но структура файла такова, что велика вероятность наличия в нём зашифрованных или упакованных данных, что впоследствии и подтвердилось. Данный драйвер использует руткит-технологии для своего скрытия в системе и служит помимо прочего противодействию работе некоторых популярных антивирусных программ, файрволлов и антируткит-утилит. Из файла figaro.sys удалось извлечь файл, идентичный brastk.exe. Драйвер восстанавливает его в случае удаления файла brastk.exe. Второй извлеченный файл - inner2.dll, который определяется Dr.Web как Trojan.Proxy.1739.

«На примере файла brastk.exe хорошо видна проблема именования троянов в базах антивируса, - комментирует вирусный аналитик компании «Доктор Веб» Владимир Мартьянов, - С одной стороны, троян скачивает из сети файлы без ведома пользователя, то есть должен именоваться Trojan.DownLoad. С другой же стороны он выводит ложное (хотя с какой стороны смотреть) сообщение о наличии в системе вирусов, то есть должен именоваться Trojan.FakeAlert

Пик распространения рассматриваемой выше почтовой рассылки пришёлся на 20-22 октября, в последствие, с 25 октября в практически идентичных письмах началась рассылка вредоносных программ, определяемых как Trojan.PWS.Panda.31.

Также из активных рассылок писем с вредоносными программами, которые происходили в последнее время, следует отметить письма на немецком языке с вложениями, которые Dr.Web определяет как Trojan.DownLoad.3735 и Trojan.DownLoad.8932. Содержание этих писем, как правило, направлено на то, чтобы подтолкнуть пользователя открыть приложенные якобы финансовые документы. Тексты сильно разнятся между собой. Примечательно также то, что организация файлов внутри приложенных к письмам ZIP-архивов тоже разная.

В одной части архивов лежит единственный файл с расширением scr, тем не менее значок файла указывает на его принадлежность к формату PDF. Рассчитана данная уловка на то, что пользователь открывает файл в файловом менеджере, который не показывает расширения файлов или на то, что пользователь не обратит внимание на то, что открываемый файл имеет исполняемый формат.

В другой части рассылок ZIP-архив содержит 2 файла - один с двойным расширением txt.lnk, а другой - с расширением ssl. Выглядит это на первый взгляд как некая пародия на текстовый файл в комплекте с ключом шифрования. На деле же ssl-файл - это не что иное как исполняемый файл с Trojan.DownLoad.3735, а ярлык с расширением lnk ссылается на команду %WINDIR%\cmd.exe /u zertifikat.ssl, которая и запускает исполняемый файл.

Третья партия немецкоязычных рассылок была менее заметна. Внутри архивов в этом случае оказались PIF-файлы, которые Dr.Web определяет как Trojan.DownLoad.8932.

Компания «Доктор Веб» предостерегает своих пользователей от запуска вложений из писем, которые приходят с неизвестных адресов, и советует быть более бдительными к рассмотрению радужных предложений вирусописателей, истинные цели которых подчас весьма меркантильные.

pdf

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А