PDA

Просмотр полной версии : Вирус без программирования



Trelp
01.09.2011, 10:25
Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:\Windows, то вирь всё равно устанавливается в C:\Windows\System32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его — появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто — убийством дерева процессов.


Исследование


Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен.

Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца!

В конце файла находилось несколько сот строк текста в UTF-8 кодировке:

http://habrastorage.org/storage1/57ac4ede/5dc8eb50/4f6d01ce/f36e5b51.png
Мой HEX редактор не поддерживает UTF-8 кодировку, поэтому я открыл исполняемый файл как текстовой:

http://habrastorage.org/storage1/4f79fd2d/32328f6e/d845ea3b/37032133.png
Среди этого текста меня заинтересовало следующее:

http://habrastorage.org/storage1/83a1ed3b/a82bb114/d38d2802/4e6fff5d.png
Правильно, смотрим что такое, «Алгоритм2». Описание с сайта автора: "Алгоритм 2 — это бесплатная программа для создания программ и игр дома! С ее помощью любой человек может создавать программы, не имея никаких знаний программирования.".
Некое подобие среды разработки приложений мышью без ввода какого либо кода, написанное с использованием .NET. Не стал задерживаться на том сайте, скачав и посмотрев примеры, я запустил upp1.exe в IL дизассемблере:

http://habrastorage.org/storage1/b7a6bfea/12b59140/ae6ba8e9/fe60bec3.png
К сожалению, кроме названия классов и пространства имён, ничего интересного обнаружить не удалось.

Кроме того, было обнаружено, что процесс качает MDAC_TYP.EXE с сайта microsoft.com. Могу предположить, что зловред умеет обновляться и работает с MDAC (http://ru.wikipedia.org/wiki/MDAC).

В system32 создаются файлы upp1.ver, upp2.ver и каталог engine. В каталоге engine во время выполнения обнаружил файлы g.obo, gm.obo, k.obo, ki.obo, t.obo, содержащие обрывки зашифрованной информации, расшифровать которую мне не удалось:
9tcLzYklFri4ABxuu0spYAad5Ed13rA+HUwS6+fz3d 1JTRrhQ3eqHF4MwCU2k5pfE2FiOR6jz8+NLOtK5YyIjBBo7Rod D/8r2G1KapUdSWfBzmH IauGuEQ53iweGHB3ooaFZVZwjeX2QMmWqPauhKidIJxBQeNT3L SzxYtZhlO4=
9tcLzYklFri4ABxuu0spYAad5Ed13rA+HUwS6+fz3d1JTRrhQ3 eqHF4MwCU2k 5pfE2FiOR6jz8+NLOtK5YyIjKRrAUB+hCDBr98XIlTnh/nVoZqntqgO61R16bOGF7uk

Заключение


На этом, пожалуй, всё.
Печально всё это: вирус, написанный без программирования, весом больше 1 МБ, да ещё и требующий .NET.

olejah
03.10.2011, 14:31
Правильно, смотрим что такое, «Алгоритм2». Описание с сайта автора: "Алгоритм 2 — это бесплатная программа для создания программ и игр дома! С ее помощью любой человек может создавать программы, не имея никаких знаний программирования.". Ага, а есть еще AutoIT, на нем тоже пишут зверье. Где-то на форуме была тема про это все.