Показано с 1 по 8 из 8.

Trojan-Downloader.Win32.Agent.ns - новая методика внедрения в систему

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Exclamation Trojan-Downloader.Win32.Agent.ns - новая методика внедрения в систему

    В последнее время по моей статистике участились случаи обнаружения на ПК пользователей Trojan-Downloader.Win32.Agent.ns (после отлова данного "зверя" я послал его в лабораторию Касперского и сегодня они добавили ее в базы). Данный "зверь" попал ко мне на исследование из-за того, что он детектируется антируткитом и антикейлоггером AVZ:
    ....
    Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод CodeHijack
    (метод не определен)
    ...
    C:\WINDOWS\system32\OLEADM.dll --> Подозрение на Keylogger или троянскую DLL
    Изучение показало, что "зверь" выполнен в виде dll, которая внедряется в запущенные процессы (что и привело к ее обнаружению). Размер файла - 6657 байта, он ничем не сжат.
    У файла весьма убедительные поддельные копирайты - "Microsoft Corporation", "Microsoft OLE Extensions for Windows" версия "4.71.2900.0000". OLEADM.dll экспортирует единственную функцию, причем без имени.
    Установку файла выполняет дроппер, который как правило называется toolbar.exe, размер 8192 байта, сжат UPX. Дроппер прописывает ключи отложенного переименования в реестре, задавая ключ PendingFileRenameOperations. В результате программируется операция переименования:
    \??\C:\WINDOWS\system32\oleadm32.dll
    !\??\C:\WINDOWS\system32\wininet.dll
    oleadm32.dll хранится внутри toolbar.exe и создается им при запуске.
    В результате после перезагрузки пораженного компьютера появляется перехват функции wininet.dll:HttpSendRequestA, что позволяет данному "зверю" отлавливать HTTP запросы. Перехват производится модификацией самого wininet.dll на диске, причем размер и дата файла wininet.dll на диске не изменяется (я обнаружил изменения сравнением эталонного и реально wininet.dll). В результате такого хитроумного метода внедрения в систему в реестре нет ни одной ссылки на oleadm32.dll ...
    Модификации кода wininet.dll достаточно оригинальны - меняется точка входа в функцию инициализации DLL, причем новая точка входа указывает на зону между DOS заголовком и заголовком PE файла (троянский код начинается по смещению 40h от начала файла - эта зона между заголовками не используется и ее применение позволяет поместить троянский код без увеличения размера файла - похожий метод применялся в Чернобыльском вирусе и аналогах). Обнаружить факт заражения можно просмотром начала файла - в зараженном файле по смещению 4A (это самое начала файла) видна текстовая строка "OLEADM".
    Для лечения Trojan-Downloader.Win32.Agent.ns необходимо удалить библиотеку oleadm32.dll и восстановить файл wininet.dll из резервной копии. Что интересно - после удаления oleadm32.dll измененная wininet.dll продолжает нормально работать - не найдя oleadm32.dll троянский код отдает управление штатной функции инициализации wininet.dll, поэтому дальнейшая ее инициализация проходит нормально, но перехват функции по прежнему регистрируется.
    Последний раз редактировалось Зайцев Олег; 19.05.2005 в 16:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    Это навело меня на интересную мысль. Можно добавить в АВЗ еще одну функцию - проверка системных файлов. Т.е. АВЗ проверяет все системные файлы которые имеются у него в базе безопасных и сравнивает контрольные суммы. Если контрольная сумма не совпадает, то либо зверь поменял, либо новая версия. В любом случае все такие файлы нужно просить прислать на анализ.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Geser
    Это навело меня на интересную мысль. Можно добавить в АВЗ еще одну функцию - проверка системных файлов. Т.е. АВЗ проверяет все системные файлы которые имеются у него в базе безопасных и сравнивает контрольные суммы. Если контрольная сумма не совпадает, то либо зверь поменял, либо новая версия. В любом случае все такие файлы нужно просить прислать на анализ.
    Я именно так и засек изменение wininet.dll - после исследования я запустил поиск файлов AVZ по маске *.exe *.dll *.sys в каталоге Windows на виртуалке, и тут-же вылез этот wininet.dll. Единственный минус - для виртуалки AVZ естественно "знает" все системные файлы, а для заренее неизвестного ПК - нет. Компромисное решение - проверять определенный список (штук 20-30) наиболее важных компонент системы ...
    Еще одно наблюдение - на www.virustotal.com на зараженный wininet.dll реалирует эвритика только у NOD32. Остальные молчат, хотя о точке входа в DOS заголовке нужно не просто говорить, а кричать

  5. #4
    Geser
    Guest
    Цитата Сообщение от Зайцев Олег
    Еще одно наблюдение - на www.virustotal.com на зараженный wininet.dll реалирует эвритика только у NOD32. Остальные молчат, хотя о точке входа в DOS заголовке нужно не просто говорить, а кричать
    Добавь это в эвристический анализатор АВЗ

    P.S. И вообще, я тебе говорю. Переведи АВЗ на английский, будет пользоваться бешенной популярностью. Думаю поболее чем Спайбот
    Последний раз редактировалось Geser; 19.05.2005 в 14:08.

  6. #5
    serge (guest)
    Guest
    Цитата Сообщение от Зайцев Олег
    Еще одно наблюдение - на www.virustotal.com на зараженный wininet.dll реалирует эвритика только у NOD32. Остальные молчат, хотя о точке входа в DOS заголовке нужно не просто говорить, а кричать
    О чем кричать? Про PE-файл с нестандартной структорой? Такая эвристика иногда использовалась в эпоху появления первых win32-вирусов. И постепенно вымерла из-за кучи ложных срабатываний на различные упаковщики

    Но для более интерактивной программы вроде AVZ, рассчитанной на опытных пользователей, такая проверка не помешает

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от serge (guest)
    О чем кричать? Про PE-файл с нестандартной структорой? Такая эвристика иногда использовалась в эпоху появления первых win32-вирусов. И постепенно вымерла из-за кучи ложных срабатываний на различные упаковщики

    Но для более интерактивной программы вроде AVZ, рассчитанной на опытных пользователей, такая проверка не помешает
    Тут скорее всего можно смело кричать в любом случае - у данного зверя вредоносный код засунут между DOS заголовком и нормальным ... - и это в системной wininet.dll -там никаких хитроумных упаковщиков нет и быть не должно ... такая эвристика полезна именно для системных библиотек, поскольку ложные срабатывания на разные упаковщики/криптеры исключены...

  8. #7
    serge (guest)
    Guest
    Цитата Сообщение от Зайцев Олег
    Тут скорее всего можно смело кричать в любом случае - у данного зверя вредоносный код засунут между DOS заголовком и нормальным ... - и это в системной wininet.dll -там никаких хитроумных упаковщиков нет и быть не должно ... такая эвристика полезна именно для системных библиотек, поскольку ложные срабатывания на разные упаковщики/криптеры исключены...
    К сожалению антивирус искуственным интелектом пока не обладает и человека полностью заменить не может, особенно в казалось бы простых, но нетипичных ситуациях. В данном случае для антивируса самая сложная задача - опознать, что файл является системной библиотекой. Получается, что нужно держать и постоянно пополнять некие таблицы "хороших" файлов. Контрольные суммы для такой проверки не подойдут, поскольку патченые файлы так не найдем. Что же остается - имена файлов, ура товарищи, дело kerish antivirus живет и побеждает Но если серьезно, то цивизизованные люди обычно в таком случае (для распознавания "своих") применяют цифровую подпись, к этому все постепенно и идет. В частности, Windows XP уже по крайней мере пытается проверять целостность системных файлов.

    Что касается точки входа в заголовке, я точно видел какой-то криптор, который использует такой же трюк, работал он только под Win 9x, но нам от этого не легче. И найти в wininet.dll место, куда вписать троянский код, можно и без заголовка.

  9. #8
    Geser
    Guest
    Цитата Сообщение от serge (guest)
    Получается, что нужно держать и постоянно пополнять некие таблицы "хороших" файлов. Контрольные суммы для такой проверки не подойдут, поскольку патченые файлы так не найдем
    Для этого достаточно иметь постоянно обновляемую Винду, и постоянно добавлять контрольные суммы патченых файлов. Не вижу проблемы. За то можно будет много неизвестной заразы вылавливать. В использовании АВЗ уже можно видеть эффективность такой системы. А если заполнением базы хороших файлов будет заниматься антивирусная компания, а не один человек, то это будет намного эффективнее.

Похожие темы

  1. Ответов: 8
    Последнее сообщение: 25.01.2011, 17:10
  2. Ответов: 10
    Последнее сообщение: 06.10.2010, 22:31
  3. Backdoor.Win32.Agent.fvy и Trojan-Downloader.Win32.Agent.lvm
    От alexm в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 28.09.2010, 23:01
  4. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
    От clyde в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 22.02.2009, 02:43
  5. Trojan-Downloader.Win32.Agent.bhg
    От Folle в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 22.02.2009, 01:51

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01548 seconds with 16 queries