DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Lösungen für:
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Schwachstellen Bedrohungen
Home Bedrohungen Virus Win32

Virus.Win32.Crypto

Kategorie
Virus
Plattform
Win32

Hauptgruppierung: VirWare

Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.

Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.

Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).

Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.

Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.

Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.

Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:

Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.

Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.

Kategorie: Virus

Viren replizieren auf den Ressourcen der lokalen Maschine.

Im Gegensatz zu Würmern verwenden Viren keine Netzwerkdienste, um andere Computer zu verbreiten oder zu durchdringen. Eine Kopie eines Virus erreicht entfernte Computer nur dann, wenn das infizierte Objekt aus irgendeinem Grund, der nichts mit der Virusfunktion zu tun hat, auf einem anderen Computer aktiviert wird. Beispielsweise:

Wenn infizierbare Festplatten infiziert werden, dringt ein Virus in eine Datei ein, die sich auf einer Netzwerkressource befindet
Ein Virus kopiert sich auf ein Wechselspeichergerät oder infiziert eine Datei auf einem Wechselmedium
Ein Benutzer sendet eine E-Mail mit einem infizierten Anhang.


Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Beschreibung

Technische Details

Dieser Text wurde mit Hilfe von Adrian Marinescu, GeCAD Software geschrieben.

Dies ist ein sehr gefährlicher Speicher residenten parasitären polymorphen Win32-Virus etwa 20K Länge. Es infiziert KERNEL32.DLL- und PE EXE-Dateien: Es schreibt seinen Code an das Ende der Datei und ändert die erforderlichen Felder im PE-Header, um die Kontrolle zu erhalten, wenn eine infizierte Datei ausgeführt wird. Der Virus fügt auch seine "Dropper" zu Archiven verschiedener Typen (ACE, RAR, ZIP, CAB, ARJ) und zu einigen Arten von selbstextrahierenden Paketen (SFX ACE- und RAR-Dateien) hinzu.

Der Virus verwendet eine polymorphe Engine, infiziert jedoch nur PE EXE-Dateien und -Archive und lässt das Virusbild in der KERNEL32.DLL-Datei unverschlüsselt.

Der Virus verwendet Anti-Debugging-Tricks, deaktiviert Anti-Virus-On-Access-Scanner (Avast, AVP, AVG und Amon), löscht Antiviren-Dateien (AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS , CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT), patcht die LGUARD.VPS-Datei (Anti-Virus-Datenbank?) Und vermeidet die Infektion vieler Antivirenprogramme: TB, F- AW, AV, NAV, PAV, RAV, NVC, FPR, DSS, IBM, INOC, ANTI, SCN, VSAF, VSWP, PANDA, DRWEB, FSAV, SPINNE, ADINF, SONIQUE, SQSTART.

Eines der wichtigsten Virusmerkmale ist die Tatsache, dass es "on-the-fly" Windows-Bibliotheken (DLL-Dateien) beim Laden verschlüsselt / entschlüsselt - beim Laden einer Bibliothek entschlüsselt der Virus sie, beim Entladen verschlüsselt der Virus der Dateikörper. Zum Verschlüsseln von DLL-Dateien verwendet der Virus starke Verschlüsselungsalgorithmen (die von der in Windows enthaltenen Crypt API bereitgestellt werden). Dies führt dazu, dass das infizierte System nur dann weiterarbeitet, wenn der Viruscode im Speicher vorhanden ist und diese Verschlüsselung / Entschlüsselung realisiert. Wenn das System desinfiziert wird, bleiben die DLL-Bibliotheken verschlüsselt und das System kann sie nicht laden. Der erste Virus, der diese Technologie nutzte, war der einhäufige multipartite Virus, der in der zweiten Hälfte der 1990er Jahre "gut bekannt" war.

Der Virus ist nicht kompatibel mit mehreren Win32-Versionen, z. B. Win95 und Win98 Standard-Editionen. Unter diesen Bedingungen installiert sich der Virus nicht selbst im System (infiziert KERNEL32.DLL nicht) und / oder infiziert PE EXE keine Dateien.

Installation im System

Wenn eine infizierte Datei zum ersten Mal auf einem sauberen System ausgeführt wird, erhält die polymorphe Entschlüsselerschleife die Kontrolle, stellt den ursprünglichen Dateicode in sauberer Form wieder her und übergibt die Kontrolle dorthin. Die Installationsroutine erhält die Kontrolle und installiert nach dem Ausführen mehrerer Anti-Debugging- und Anti-Anti-Virus-Prozeduren die Viruskopie im System.

Während der Installation infiziert der Virus die KERNEL32.DLL-Datei, sodass Windows beim nächsten Start den Viruscode als Teil der KERNEL32-Bibliothek lädt. Beim Infizieren werden KERNEL32-Tabellen vom Virus gepatcht, so dass der Virus beim nächsten Laden mehrere Dateizugriffsfunktionen abfängt und filtert, die aus KERNEL32.DLL exportiert werden (CreateFile, OpenFile, __lopen, CopyFile, MoveFile, MoveFileEx, LoadLibrary, LoadLibraryEx, FreeLibrary) - in ANSI- und UNICODE-Formularen).

Um KERNEL32.DLL zu infizieren (diese Bibliothek wird in den Speicher geladen, wenn der Virus ausgeführt wird, also von Windows zum Schreiben geschützt wird), kopiert der Virus die KERNEL32.DLL-Datei in den Windows-Ordner, infiziert diese Kopie und zwingt Windows dann dazu Schalten Sie die alte Datei beim nächsten Start mit der infizierten Datei um. Als Folge wird Windows beim nächsten Neustart mit der infizierten KERNEL32.DLL geladen - der Virus filtert Dateizugriffsereignisse und führt PE-EXE- und Archivinfektionsroutinen aus.

Nach der Infektion von KERNEL32.DLL löscht der Virus seinen Code aus dem Speicher und gibt die Kontrolle an das Host-Programm zurück.

Virusausbreitung

Wenn Windows mit einer infizierten KERNEL32.DLL geladen wird, bleibt der Virus als eine Komponente von KERNEL32.DLL im Speicher und hakt mehrere KERNEL32 exportierte Funktionen. Bei einem ersten Aufruf dieser Funktionen aktiviert der Virus seine Infektionsroutine, die im Hintergrund nach Opferdateien (PE EXE) sucht und diese infiziert. Der Virus durchsucht Dateien auf allen Laufwerken von C bis Z.

Um den Scan-Vorgang weniger auffällig zu machen, wartet der Virus vor jedem Laufwerks-Scan zunächst drei Sekunden.

Beim Infizieren einer Datei vergrößert der Virus den letzten Dateiabschnitt und reserviert Speicherplatz für seinen Code, schreibt dann den verschlüsselten Code zusammen mit dem polymorphen Entschlüsseler hinein und setzt den Programmeinstiegspunkt auf die Entschlüsselungsroutine.

Infizierung archivieren

Der Virus kann Dropper zu den Archiven verschiedener Typen hinzufügen: ACE und RAR (einschließlich selbstextrahierender SFX-Dateien) sowie ZIP, CAB, ARJ. Die Virus-Dropper in Archiven erhalten einen Namen, der zufällig aus Varianten ausgewählt wird:

INSTALLIEREN, SETUP, RUN, SOUND, KONFIGURIEREN, HILFE, GRATIS, CRACK, UPDATE, README

Anfang oder Ende mit '!' verkohlen. Die Dateinamenerweiterung ist .EXE.

Um seinen Dropper einem Archiv hinzuzufügen, erstellt der Virus einen Dropper als eine Plattendatei und führt das externe Programm aus, das benötigt wird, um den jeweiligen Archivtyp zu verarbeiten. Mit dieser Methode kann der Virus den Tropfer je nach Programm mit einer zufällig gewählten Methode komprimieren.

Bibliotheken verschlüsseln

Der Virus erstellt kryptografische Schlüssel im Installationsteil des Virus (unter Verwendung der in Windows enthaltenen Crypt API). Wenn die Schlüssel erfolgreich erstellt wurden, kann der Virus den Code der DLL-Dateien verschlüsseln, die von den Anwendungen verwendet werden (sie werden bei Bedarf von Windows geladen). Zu diesem Zweck verwendet der Virus LoadLibrary- und FreeLibrary-Hooks, fängt das Laden von Bibliotheken ab und verschlüsselt sie während des Betriebs.

Jede DLL mit dem Namen, der mit einem der folgenden Muster beginnt, ist ausgenommen: SFC, MPR, OLE32, NTDLL, GDI32, RPCRT4, BENUTZER32, RSASIG, SHELL32, CRYPT32, RSABASE, PSTOREC, KERNEL32, ADVAPI32, RUNDLL32, SFCFILES. Außerdem sind DLLs, die in den folgenden Listen aufgeführt sind, nicht verschlüsselt: 

 SystemCurrentControlSetControlSessionManagerKnownDLLs  SystemCurrentControlSetControlSessionManagerKnown16DLLs

Der wichtigste Aspekt ist, dass der Verschlüsselungsschlüssel und der Verschlüsselungsalgorithmus für jedes infizierte System eindeutig sind. WinCrypt unterstützt benutzerdefinierte Verschlüsselungsalgorithmen, die eine Desinfektion von anderen Systemen als Windows unmöglich machen. Die Verschlüsselung der DLLs wird viel Zeit / CPU-Ressourcen verbrauchen - der Virus wird jedes Mal die benötigten Schlüssel aus der Registrierung lesen.

Um die in Windows enthaltene Crypt-API verwenden zu können, muss der Virus einen neuen Schlüssel erstellen, dessen Name auf "Prizzy / 29A" gesetzt ist. Zuerst überprüft der Virus seine Existenz und wenn der Schlüssel nicht vorhanden ist, wird die dedizierte API aufgerufen, um eine neue zu erstellen. Dann muss der Virus den generierten Schlüssel speichern - dafür verwendet der Virus die Systemregistrierung. Zu diesem Zeitpunkt enthält der Virus eine Einschränkung - es wird davon ausgegangen, dass der Schlüssel SOFTWAREMicrosoftCryptographyUserKeysPrizzy / 29A nach dem CryptAquireContext-API-Aufruf erstellt wird. Der Virus wird den Wert "Kiss Of Death" auf den neu generierten Schlüssel setzen.

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!
Neu: Kaspersky!
Dein digitales Leben verdient umfassenden Schutz!
Erfahren Sie mehr
Kaspersky Next
Let´s go Next: Cybersicherheit neu gedacht
Erfahren Sie mehr
Related articles
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
28 March 2024
Securelist
DinodasRAT Linux implant targeting entities worldwide
20 March 2024
Securelist
Android malware, Android malware and more Android malware
Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Sie haben eine neue Bedrohung oder Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Lösungen für
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Select language
Sorting
Bedrohung
Confirm changes?
Your message has been sent successfully.