Доброго времени суток.
Хочу поделиться своими (и не только) соображениями по поводу вируса который пришел
на почту. В графе "От кого:" был указан отправитель "Сбербанк Онл@йн".
В письме содержалось сообщение о задолжности и был прикреплен zip-файл
в котором был запакован файл attachment.scr со значком WinRAR-а. После
того как его открывает пользователь - вирус заражает все важные
пользовательские файлы (dbf, jpg, doc, xls, html, htm, 7z, rar, zip и
т. д.). При исследовании в HEX-редакторе зараженных файлов первый
осмотр показал, что вирус заменяет во всех файлах в одних и тех же
оффсетах (00000000; 00000400; 00000800; 00000С00 и 00001000) 5 байт
информации на "88 88 88 88 88"
В конец файла уже в ASCI он прописывает шестнадцетиричный код.
Первоначально мне казалось, что это и есть те "вырезаные" куски по
пять байт с описанием тех оффсетов, откуда они были вырезаны и
зашифрованы по XOR-у и если его расшифровать то можно расслабившись
писать дешифратор и все будет хорошо. Казалось бы - все очень просто!
Особенно все достаточно просто в случаях с файлами doc и xls.
Так как в оффсете 00000000 находится заголовок файла, то после
заражения файл становится нечитабельным. И вот если в файлах doc или
xls заменить эти 88 88 88 88 88 на заголовок с незараженного файла -
файл откроется. Да, он немного будет поврежден, но незначительно. 2-4
символа придется востанавливать уже непосредственно в ворде или
экспеле. Однако такие вещи прокатывают только с doc и xls-овскими
файлами. А вот к примеру у файлов формата dbf - заголовки разные
везде. В формате jpg я тоже пробовал проделать такую штуку - не
помогло. В случае с файломи rar - заголовок восстанавливал но из-за
повреждения еще в 4-х оффсетах - один файл из архива все же не
доставался. В случае с зипом - там вообще ничего не помогает. Решили
заняться дешифровкой.
Но когда никаких результатов не добились, JohnDoe предложил провести
эксперемент. Я нарошно оставил файл с вирусом (attachment.scr) живым и
перенес его на тестовую машину. Там я создал 4 файла doc-формата в
OpenOffice-е: 1.doc; 2.doc; 3.doc; 4.doc
Они полностью пустые, заполнены лишь заголовком и служебной
информацией. Потом я открыл их в HEX-редакторе и в эти оффсеты вписал
в первых двух файлах "00" (там где вирус оставляет после себя "88" а
во вторых двух файлах вписал в тех же местах FF и запустил вирус. Как
и ожидалось - вирус изменил в уже известных нам оффсетах оригинальную
инфу на свои "88" и в конец добавил свой "хвост". Вирус лезит на все
диски (включая сетевые, поэтому никакой антивирус его и не ловит) и
убивает все на своем пути. Однако после
подсказки все того же товарища заметили то, что замена 5 байтов в этих
5ти оффсетах и добавления "хвоста" в конец файла - это не
единственное, что происходит с файлом. Например перемена двордов
местами, инкремент, декремент, какие-то смещения блоков. Там по куче
смещений такое впечатление просто сделано inc(байт) или inc(слово) или
inc(dword). Например по смещению 1E78 - там целый блок изменен с 1e78
по 1f30. 1e38 - 1e60 - просто затерт блок.
0674 - два dword'a поменяны местами и второй декрементнут
0680 - снова два дворда поменяны но второй инкрементнут
(все это говорится о файлах которые лежат в линке ниже)
У него в коде какой-то жосткий алгоритм замены. Так что эту фигню при
желании можно ревертнуть. Даже противодебаггерная фигня внутри есть.
Запуск вируса в ollydbg приводит к появлению окошек о работе под
дебаггером, возможно это криптор или упаковщик. Вот такие на данный
момент результаты самостоятельного исследования. Надеюсь, они будут
полезны в изучении и создании дешифратора для этого вируса.
Ах, да. Каспер 6-й его не видит. Мы как раз были в процессе преехода
на KES 8. Он его видит и на файл attachment.scr сразу же ругается,
пишет, что мол: алярма! вирус:
троянская программа HEUR:Trojan.Win32.Generic \\centos\inbound\Temp\вирус\Attachment.scr
троянская программа Trojan-Dropper.SIM.Reftar.a \\centos\inbound\Temp\вирус\Attachment.scr//info
Ниже, приведен линк на rar-архив. В нем следующие файлы: 1.doc; 2.doc;
3.doc; 4.doc в разных папках:
\edited\
\infected\
\original\
Соответственно в папке edited - оригинальные файлы, которые я открыл
НЕХ-редактором и в заражаемых вирусом местах (о которых я писал выше)
- прописал нули (в 1.doc и 2.doc) и FF (в 3.doc и 4.doc
соответственно). Ну а соответственно в папке original - оригиналы
файлов (на самом деле просто пустой файл формата doc созданый
OpenOffice-ом и сохраненным в формате doc). Ну и как не трудно
догадаться - в папке infeсted эти же файлы только уже зараженные
(после того как я на тестовой тачке запустил вирус). Сам вирус
находится в корне архива. Файл называется Attachment.txt .
Переименовал что-б случайно не запустить на рабочей машинке.
http://db.tt/U5cdiYKW (сокращенная ссылка на dropbox)
Надеюсь эти данные будут полезны.
Скрыть