Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Trojan-Banker.Win9x.Libertine

Třída Trojan-Banker
Platfoma Win9x
Popis

Technické údaje

Tento virus je multiplatformní a polymorfní infektor, který postihuje soubory DOS i Win32. Byl pojmenován podle textových řetězců ve svém kódu:


[Win32.Libertine v1.07b]
Copyright 1998-xxxx od
Virus lze nalézt ve třech různých formách:
  • infikovaných souborů Win32 PE
  • infikovaných souborů DOS COM
  • Win32 PE dropper (31672 bytů čistý kód viru)
Chyby infikované soubory COM a EXE nelze spustit pod Windows NT, jsou ukončeny standardní chybová zpráva NT nebo DrWatson. Navzdory tomu jmenuji virus Win32, ne Win95, protože virus dropper může šířit virus na počítačích NT bez problémů.

Během infikování souborů Win32 a DOS vir zapisuje svůj úplný 32 kB kód na konec souborů a upravuje záhlaví souborů, aby předal kontrolu rutině viru. Adresy vstupních rutin se liší ve všech třech případech infekce. Virus v obou infikovaných programech Win32 a DOS, když přebírá kontrolu nad kvadratem Win32 (soubor C: MYLENE.EXE), jej provede a vrátí kontrolu do hostitelského programu. Pokud v kořenovém adresáři na jednotce C: žádné kvapkadlo, virus nejprve vytvoří a poté jej provede.

Tyto rutiny aktivace kapátka jsou u infikovaných souborů poměrně krátké. V případě souborů DOS COM je to jen asi 200 bajtů prostě rutiny pro vytváření a zapisování. V případě souborů Win32 je to sofistikovanější, ale také docela hloupé a krátké.

Takže virus v infikovaných souborech právě vytváří a spouští kapátko – žádné další a všechny infekční a užitečné zatížení virové funkce spadá do dropperu viru Win32.

Spuštěn kapátko

Po spuštění kapky je virus nejprve proveden několika triky, aby skryl svou přítomnost v systému. Chcete-li zabránit zprávám o narušení přístupu, virus pomocí funkce SetErrorMode KERNEL32 zakáže chybovou zprávu Obecná chyba ochrany. Systém Windows pak bude i nadále spouštět aplikaci bez jakékoli zprávy o narušení ochrany.

Virus pak kontroluje systém, ve kterém je spuštěn (Windows95 / 98 nebo Windows NT), a v případě systému Windows9x opravuje systémovou databázi bez dokumentů a nastavuje dvě příznaky – NukeProcess a ServiceProcess. Tyto příznaky jsou nastaveny pro nejméně dva účely: a) proces není vidět v seznamu úkolů Ctrl-Alt-Del; b) proces se nezastaví, když se uživatel odhlásí. Chcete-li tyto příznaky povolit, virus pak znovu spustí svůj dropper s argumentem "sexy" ID.

Být proveden v prostředí patched systému, virus skočí do svých ostatních rutin: anti-antivirové rutiny, užitečné zatížení a infekce.

Anti-antivirus

Chcete-li zakázat antivirovou ochranu, virus má jako cíl jediný antivirový virus, tj. APVI – kontrola integrity Inspektoru AVP (CRC scanner). Virus vyhledává soubor AVPI, otevírá jej a prohledává konkrétní kód. Pokud je tento kód nalezen, virus ho nahradí instrukcemi NOP. V závislosti na různých verzích AVPI, které způsobily různé efekty: buď AVPI nezjistí změny v systému, nebo okamžitě zastaví skenování a zobrazí statistické dialogové okno.

Virus získá název souboru AVPI pomocí registru systému. Otevře klíč HKEY_USERSDefaultSoftwareKasperskyLabAVPI, dostane cestu k AVPI adresáři, otevře AVPICHCK.DLL, skenuje a opraví jej. Chcete-li zabránit duplicitnímu záplatování, ukládá virus "kcah" ("hack" zapsaný zpět) ID do záhlaví souboru na offsetu 0030h.

Virus také ukončí AVPI, pokud je aktivní. Chcete-li, že virus najde AVPI32 okno, dostane ID vlákno, otevře a ukončí proces.

Infekce

Když infekční rutina získá kontrolu nad viry, prohledá všechny soubory všech podadresářských stromů na všech nainstalovaných pevných discích od C :, pokud je v pořadí (CD-ROM, vzdálený nebo jiný) pevný disk, virus se sám ukončí.

Když je nalezen soubor, virus jej zkontroluje pro rozšíření názvu COM nebo EXE. Virus infikuje pouze takové soubory a hledá další záznam o souboru nebo podadresáři jinak. Pokud má soubor spustitelný přípon, virus s pravděpodobností 7/8 v závislosti na systémovém časopise přeskočí na rutinu infekce, jinak pokračuje v hledání stejně jako v případě neexprimovatelného rozšíření názvu.

Nejprve virus odděluje soubory COM a EXE porovnáním jejich prvních dvou bajtů s magickou známkou MZ. V případě souboru EXE virus pak kontroluje přenosné spustitelné a virové ID razítka – dvojitá slova "PE" v horní části záhlaví a "IM!" v poli Kontrola PE. Přidáním kódu do konce souborů Portable Executable virus vytvoří nový oddíl s názvem _Myle_, upraví Adresa vstupního bodu a další potřebná pole. Potom spustí polymorfní motor, šifruje jeho kopii a zapíše jej na konec souboru PE do nově vytvořené části.

V případě souboru COM se virus sám zapíše na konec souboru, ale také převádí formát souboru na EXE přidáním hlavičky EXE do horní části souboru. Virus neinfikuje soubory DOS dvakrát – kontroluje interní formát souboru a ovlivňuje pouze soubory COM. Byli infikováni, mají formát EXE a jsou obejít rutinou virové infekce. Virus neinfikuje také soubory, které mají textový řetězec "ENUN" na konci souborů. Tento ID znamená, že tyto soubory COM jsou chráněny CRC, takže se virus vyhýbá infekci. Virus také neinfikuje malé a velké soubory COM s délkou pod 2K nebo nad 60K.

Infikované spuštění souboru COM

Zatímco infikují soubory DOS COM, virus je převede do formátu EXE, tj. Infikované soubory COM mají EXE hlavičku: MZ magic stamp na vrcholu a všechna potřebná pole záhlaví EXE. Pečlivé šetření záhlaví infikovaného souboru okamžitě ukazuje, že hacker má původ v programu: několik polí má hodnoty, které nelze nalézt v běžných programech. Nejprve pole HeaderSize (odstavce v záhlaví) zůstává nula, tj. To znamená, že v hlavičce EXE nejsou žádné bajty (ale existují alespoň dva – "M" a "Z"). Druhé podezřelé pole je "CS at entry" s hodnotou -100h (FFF0h) uloženou v. Pomocí obou těchto polí ve stejné záhlaví EXE síly DOS načíst takový EXE soubor jako standardní soubor DOS COM: bajty od 0000 do 00FFh jsou obsazené předponou segmentu programu, bajty od 0100h do konce přidělené paměti jsou pro souborový obrázek a první bajt souboru je umístěn na offsetu 0100h. V případě souborů DOS COM se obraz souboru nemůže překrývat se segmentem (64K), v případě souborů DOS EXE může být obrázek načítání jakékoli velikosti, který vyplní jeden blok volné paměti.

Pomocí triku COM-> EXE je virus schopen infikovat soubory COM libovolné velikosti, po konverzi neztrácejí svou funkci kdykoli, pokud velikost souboru během infekce narůstá nad 64 kB. Zapamatujte si velikost viru – bez převodu do formátu EXE by virus nemohl infikovat soubory COM s velikostí nad 32Kb. Dalším důležitým efektem tohoto triku je snadný způsob, jak vrátit kontrolu do hostitelského programu – virus neuskutečňuje nic, jen obnovuje první 4Fh bajty záhlaví souboru a přeskočí tam.

Virusový kód je tedy načten do paměti nejprve od prvních bajtů ("MZ") až do posledního a kontrola je předána na adresu, která je označena hlavičkou EXE. V případě tohoto viru je vstupní kód umístěn velmi blízko vrcholu souboru – na adrese 0020h. Tato rutina pomocí instrukcí 32-bitů i386 dostává offset hlavního virového kódu (tento offset je uložen na adrese 001Ch v záhlaví), převede jej na 16bitový segment: offsetový formát a přeskočí tam. Vstupní rutina také háčí INT 24h, aby se zabránilo standardnímu chybovému hlášení DOSu při psaní na svazky chráněné proti zápisu, nemám tušení, proč ji virus umístil, ale ne v hlavním kódu viru.

Když hlavní virusový kód získá kontrolu, kontroluje přítomnost systému Windows. Není-li systém Windows spuštěn, nebo verze systému Windows je menší než 4.0 (Windows95), virus obnoví původní hostitelské programové bajty nahoře a vrátí tam kontrolu. Pokud je spuštěn systém Windows, virus vytvoří soubor C: MYLENE.EXE, zapíše tam dropper Win32, zavře soubor a provede jej. Dropper přebírá kontrolu a virus se vrátí na úroveň infekce.

Infikované spuštění souboru PE

Když je infikovaný soubor PE spuštěn, polymorfní rutina viru přebírá kontrolu, dešifruje kód viru a skočí do hlavní rutiny. Tato rutina není stejná jako v případě souboru COM. Jedná se o 32 bitový program, který pracuje s pamětí a zdroji Windows, ale cíl této rutiny je stejný jako v případě souboru COM: vytváří a spouští virusový dropper.

Chcete-li získat přístup k funkcím systému Windows, musí je virus importovat buď pomocí tabulky importu PE nebo získat jejich adresy skenováním jádra systému Windows. Virus vybírá druhý způsob: věnuje pozornost prostředí (Windows 95/98 nebo Windows NT – v obou případech používá správný ofset), analyzuje importy KERNEL32 a vyhledává funkce CreateFileA, WriteFile, CloseHandle a WinExec. Postup virů v infikovaných PE souborech je poměrně jednoduchý a nepotřebuje víc, ale jen tyto čtyři položky. // Zde je chyba v kódu viru, který zastaví jeho šíření pod WindowsNT.

Virus pak podobně jako v případě infikovaného souboru DOS COM vytvoří soubor C: MYLENE.EXE, zapíše tam dropperův kód, zavře a spustí tento soubor. Kapátko přebírá kontrolu a tato větev PE virů se vrátí zpět do kořene.

Užitné zatížení

Než zavoláte anti-antivirové a infekční rutiny, virus zavolá spouštěcí rutinu. Tato rutina se provádí s pravděpodobností 1/8 v závislosti na systémovém počítadle času a změní obrázek pozadí Windows (WallPaper). Virus jednoduchý vytvoří soubor C: MYLENE.BMP, zapíše do něj obrázek Mylene Farmer (?), Převede jej do formátu BMP a deklaruje jako Windows Wallpaper:

Během toho se virus dostává z nainstalovaného prohlížeče JPEG ze systémového registru:


HKEY_LOCAL_MACHINESOFTWAREMicrosoftSdílené nástrojeGraphics FiltersImportJPEG
Virus pak načte příslušnou knihovnu do paměti, dostane adresu a volá rutinu ImportGr. Virus provádí tuto konverzi pouze proto, aby snížil svou velikost: výsledný obrázek BMP je soubor 160 kB, takže virus zachovává ve svém kódu verze 16K JPEG stejného obrázku. Jako obrázek WallPaper Windows95 přijímá pouze formát BMP, takže virus musí převést zdroj JPEG na BMP.

Výsledný obraz je potom uložen do stejného souboru C: MYLENE.BMP, který je poté zaregistrován jako obrázek tapety pro pracovní plochu Windows:


HKEY_CURRENT_USERControl Paneldesktop
Jediným menším bodem v této konverzi je to, že mám na svém testovacím počítači vše, co je potřeba, ale virus se mi nepodařilo upgradovat tapetu.

Přímá akce, ale paměťový rezident?

Před infikováním jednotlivých souborů virus vyvolá standardní funkci Windows API Sleep a zpožďuje svou aktivitu po dobu 3 sekund. Jedná se o velmi (možná nejvíce) důležitý blok virového kódu. Jedním z těchto hovorů je virus označen jako "rezidentní paměť".

Výsledkem této ospalé instrukce je, že virusový kód může zůstat dlouho v systémové paměti. Nechte v počítači 1000 souborů COM a EXE. Virus po dobu 3 sekund spánku před infikováním každého z nich, takže zůstane v paměti 50 minut (3000 sekund).

Virus je rezidentní paměť: zůstává dlouho v systémové paměti a může být spuštěna jiná aplikace, zatímco rutina virové infekce je aktivní. Navzdory tomu je to virus s přímým účinkem (jako jsou virusy, které nejsou rezidentními nemocemi) – vyhledává soubory v podadresářovém stromu a infikuje je a žádné události nezapojené.

Stále se virusoví spisovatelé pokoušejí jít stejným konzervativním způsobem DOS: vytvářejí Windows VxD házení IFS API podobně jako DOS TSR házení INT 21h. Toto je nejoblíbenější rozhodnutí, jak vytvořit dnešní paměť rezidentních virů Windows. Možná, že virus Libertine je prvním virem s poloviční rezidentní funkcí a v budoucnu se objeví více virů tohoto druhu, což je mnohem snadnější ladit aplikaci Windows než ovladač Windows VxD nebo NT.


Odkaz na originál