Searching
..

Click anywhere to stop

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.Win32.Crypto

Třída Virus
Platfoma Win32
Popis

Technické údaje

Tento text byl napsán za pomoci Adrian Marinescu, softwaru GeCAD.

Jedná se o velmi nebezpečný paměť rezidentní polymorfní virus Win32 o délce 20K. Infikuje soubory KERNEL32.DLL a PE EXE: zapisuje svůj kód na konec souboru a upravuje potřebná pole v záhlaví PE, aby získala kontrolu při spuštění infikovaného souboru. Virus také přidává "droppery" do archivů různých typů (ACE, RAR, ZIP, CAB, ARJ) a do některých typů samorozbalovacích balíčků (soubory SFX ACE a RAR).

Virus používá polymorfní motor, zatímco infikuje pouze soubory PEE a archivy, a ponechá virusový obrázek nešifrovaný v souboru KERNEL32.DLL.

Virus používá anti-ladění triky, zakáže anti-virus on-access skenery (Avast, AVP, AVG a Amon), odstraní antivirové datové soubory (AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS , CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT) opravuje soubor LGUARD.VPS (antivirovou databázi?) A zabraňuje infekci mnoha antivirových programů: TB, F- AW, AV, NAV, PAV, RAV, NVC, FPR, DSS, IBM, INOC, ANTI, SCN, VSAF, VSWP, PANDA, DRWEB, FSAV, SPIDER, ADINF, SONIQUE, SQSTART.

Jednou z nejdůležitějších virů je skutečnost, že při načítání knihovny zašifruje / dešifruje knihovny Windows "on-the-fly" (soubory DLL) – při načítání knihovny, virus ji dešifruje, po vyložení virus šifruje tělo souboru. Za účelem šifrování souborů DLL používá virus silné kryptografické algoritmy (poskytuje Crypt API obsažené v systému Windows). Výsledkem je, že jakmile infikovaný systém bude pracovat pouze v případě, že je v paměti přítomen kód viru a provede toto šifrování / dešifrování. V případě, že je systém dezinfikován, knihovny DLL zůstávají šifrované a systém je nemůže načíst. Prvním virem, který tuto technologii využívá, byl vícestupňový vírus Onehalf, který byl ve druhé polovině 90. let "dobře znám".

Virus není kompatibilní s několika verzemi Win32, jako jsou standardní verze Win95 a Win98. Za těchto podmínek se virus neinstaluje do systému (neinfikuje soubor KERNEL32.DLL) a / nebo neinfikuje soubory PE EXE.

Instalace do systému

Když je infikovaný soubor poprvé spuštěn na čistém systému, získá se kontrola polymorfní smyčky dekryptoru, obnoví původní souborový soubor v čisté podobě a převede tam kontrolu. Rutina instalace získá kontrolu a po provedení několika anti-ladicích a anti-antivirových procedur instaluje kopii virů do systému.

Při instalaci virus infikuje soubor KERNEL32.DLL tak, že při dalším spuštění Windows načte kód viru jako součást knihovny KERNEL32. Během infekce virus opravuje exportní tabulky KERNEL32, takže při dalším načítání virus zachycuje a filtruje několik funkcí pro přístup k souborům, které jsou exportovány z KERNEL32.DLL (CreateFile, OpenFile, __lopen, CopyFile, MoveFile, MoveFileEx, LoadLibrary, LoadLibraryEx, FreeLibrary – v obou formulářích ANSI a UNICODE).

Chcete-li infikovat knihovnu KERNEL32.DLL (tato knihovna je načtena do paměti při spuštění viru, takže je chráněna systémem Windows pro psaní), virus zkopíruje soubor KERNEL32.DLL do složky Windows, infikuje tuto kopii a poté vynutí Windows přepněte starý soubor s infikovaným na další boot. Výsledkem je, že při dalším restartování bude systém Windows načten infikovaným systémem KERNEL32.DLL – viry filtrují události přístupu k souborům a spustí běžné procedury PE EXE a archivní infekce.

Po infikování KERNEL32.DLL virus vymaže svůj kód z paměti a vrátí kontrolu do hostitelského programu.

Rozšiřování virů

Když je systém Windows načten infikovaným systémem KERNEL32.DLL, virus zůstává v paměti jako součást KERNEL32.DLL a zavěsí několik exportovaných funkcí KERNEL32. Při prvním volání na tyto funkce virus aktivuje rutinní infekci, která vyhledává soubory oběti (PE EXE) na pozadí a infikuje je. Virus vyhledává soubory na všech jednotkách od C do Z.

Aby proces skenování byl méně nápadný, bude virus nejdříve počkat tři sekundy před každým skenováním jednotky.

Během infikování souboru virus rozšiřuje poslední část souboru a vyhrazuje si prostor pro jeho kód, pak zapíše šifrovaný kód spolu s polymorfním dešifrátorem a nastaví vstupní bod programu na dešifrovací rutinu.

Archivovat infekci

Virus je schopen přidávat kapky do archivů několika typů: ACE a RAR (včetně SFX samorozbalovacích souborů), stejně jako ZIP, CAB, ARJ. Klapky viry v archivech získají náhodně vybrané jméno z variant:

INSTALACE, NASTAVENÍ, RUN, SOUND, CONFIG, HELP, GRATIS, CRACK, UPDATE, README

začátek nebo / a končící '!' char. Rozšíření názvu souboru je .EXE.

Chcete-li přidat kapátko do archivu, virus vytvoří kapátko jako soubor disku a provede externí program potřebný k zpracování příslušného typu archivu. Pomocí této metody je virus schopen připojit kapku komprimovanou náhodně vybranou metodou, v závislosti na archivátorském programu.

Šifrování knihoven

Virus vytvoří kryptografické klíče v instalační části viru (pomocí Crypt API obsaženého v systému Windows). Pokud jsou klíče úspěšně vytvořeny, virus je schopen šifrovat kód souborů DLL, které používají aplikace (v případě potřeby je načte systém Windows). Chcete-li to provést, používá virus LoadLibrary a FreeLibrary háčky, zachycuje knihovny načítání a šifrování / dešifrování je za běhu.

Jakékoli DLL s názvem začínajícím jedním z následujících vzorců jsou vyňaty: SFC, MPR, OLE32, NTDLL, GDI32, RPCRT4, USER32, RSASIG, SHELL32, CRYPT32, RSABASE, PSTOREC, KERNEL32, ADVAPI32, RUNDLL32 a SFCFILES. Také DLL, které jsou uvedeny v následujících seznamech nejsou šifrovány:

 SystemCurrentControlSetControlSessionManagerKnownDLLs  SystemCurrentControlSetControlSessionManagerKnown16DLLs 

Nejdůležitějším aspektem je, že šifrovací klíč a šifrovací algoritmus jsou jedinečné pro každý infikovaný systém. WinCrypt podporuje vlastní šifrovací algoritmy, které znemožňují dezinfekci z jiných systémů než Windows. Šifrování knihoven DLL bude spotřebovávat mnoho zdrojů času / CPU – virus bude číst pokaždé, když potřebujete klíče od registru.

Aby bylo možné používat Crypt API obsažené ve Windows, virus potřebuje vytvořit nový klíč s názvem kontejneru nastaveným na "Prizzy / 29A". Za prvé, virus kontroluje jeho existenci a pokud klíč není přítomen, vyhrazuje se vyhrazené API, aby se vytvořil nový. Virus pak bude muset uložit vygenerovaný klíč – pro tento virus bude používat systémový registr. V tomto okamžiku obsahuje virus omezení – předpokládá se, že po volání API CryptAquireContext bude vytvořen klíč SOFTWAREMicrosoftCryptographyUserKeysPrizzy / 29A. Virus nastaví hodnotu "Kiss Of Death" na nově vytvořený klíč.


Odkaz na originál
Zjistěte statistiky hrozeb šířících se ve vašem regionu