BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Win32.Crypto

Sınıf Virus
Platform Win32
Açıklama

Teknik detaylar

Bu metin, Adrian Marinescu, GeCAD Yazılımı yardımıyla yazılmıştır.

Bu, yaklaşık 20K uzunluğunda çok tehlikeli bir hafıza ikamet parazitik polimorfik Win32 virüsüdür. Bu KERNEL32.DLL ve PE EXE dosyalarını bozar: bu kod, dosyanın sonuna yazar ve enfekte bir dosya çalıştırıldığında kontrol kazanmak için PE başlığında gerekli alanları değiştirir. Virüs ayrıca "damlalıklarını" farklı tipteki arşivlere (ACE, RAR, ZIP, CAB, ARJ) ve bazı kendi kendine ayıklanan paketlere (SFX ACE ve RAR dosyaları) ekler.

Virüs, PE EXE dosyalarını ve arşivlerini yalnızca virüslere bulaştırarak bir polimorfik motor kullanır ve virüs resmini KERNEL32.DLL dosyasında şifrelenmemiş halde bırakır.

Virüs anti-hata ayıklama hileleri kullanır, anti-virüs erişimi olan tarayıcıları (Avast, AVP, AVG ve Amon) devre dışı bırakır, anti-virüs veri dosyalarını siler (AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS , CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT), LGUARD.VPS dosyasını (anti-virüs veritabanı?) Yamalar ve birçok virüsten koruma programlarının bulaşmasını önler: TB, F- AW, AV, NAV, PAV, RAV, NVC, FPR, DSS, IBM, INOC, ANTI, SCN, VSAF, VSWP, PANDA, DRWEB, FSAV, SPIDER, ADINF, SONIQUE, SQSTART.

En önemli virüs özelliklerinden biri, yüklendiğinde "anında" Windows kitaplıklarını (DLL dosyaları) şifreleyip / çözdüğü gerçeğidir – bir kitaplığı yükledikten sonra virüs, şifresini çözer, virüs boşaltır, virüs şifreler. dosya gövdesi. DLL dosyalarını şifrelemek için, virüs güçlü şifreleme algoritmaları kullanır (Windows'da bulunan Crypt API'sı tarafından sağlanır). Sonuç olarak, virüs bulaşmış bir sistem, yalnızca virüs kodunun bellekte mevcut olması durumunda çalışmaya devam eder ve bu şifreleme / şifre çözme işlemini gerçekleştirir. Sistemin dezenfekte edilmesi durumunda, DLL kitaplıkları şifrelenir ve sistem bunları yükleyemez. Bu teknolojiyi kullanan ilk virüs, 1990'ların ikinci yarısında “iyi bilinen” Onehalf multipartite virüsüdür.

Virüs Win95 ve Win98 standart sürümleri gibi çeşitli Win32 sürümleriyle uyumsuzdur. Bu koşullar altında, virüs kendini sisteme yüklemez (KERNEL32.DLL bulaşmaz) ve / veya PE EXE dosyaları bulaşmaz.

Sisteme yükleme

Virüs bulaşmış bir dosya ilk kez temiz bir sistemde yürütüldüğünde, polimorfik decryptor döngüsü kontrolü kazanır, orijinal dosya kodunu temiz biçimde geri yükler ve kontrole buradan geçer. Kurulum rutin kontrolü kazanır ve birkaç anti-debugging ve anti-anti-virüs prosedürleri gerçekleştirdikten sonra, virüs kopyasını sisteme yükler.

Yüklerken, virüs KERNEL32.DLL dosyasını bozar, böylece bir sonraki açılışta, Windows virüs kodunu KERNEL32 kütüphanesinin bir parçası olarak yükler. Virüs bulaşırken virüs, KERNEL32 dışa aktarma tablolarını yayar ve böylece bir sonraki yüklemede virüs KERNEL32.DLL'den (FileFile, OpenFile, __lopen, CopyFile, MoveFile, MoveFileEx, LoadLibrary, LoadLibraryEx, FreeLibrary) dışa aktarılan çeşitli dosya erişim işlevlerini durdurur ve filtreler. – ANSI ve UNICODE formlarında).

KERNEL32.DLL (bu kitaplık, virüs çalıştırıldığında belleğe yüklenir, böylece yazmak için Windows tarafından korunur), virüs, KERNEL32.DLL dosyasını Windows klasörüne kopyalar, bu kopyaya bulaşır ve sonra Windows zorlar. Bir sonraki önyüklemede eski dosyayı virüslü ile değiştirin. Sonuç olarak, bir sonraki yeniden başlatma üzerine, Windows bulaşmış KERNEL32.DLL ile yüklenir – virüs filtreler dosya erişim olayları ve PE EXE ve arşiv-enfeksiyon rutinleri çalıştırır.

KERNEL32.DLL bulaştıktan sonra virüs, kod belleğinden siler ve ana programa denetimi döndürür.

Virüs yayılıyor

Windows bulaşmış bir KERNEL32.DLL ile yüklendiğinde, virüs bellekte KERNEL32.DLL bileşeni olarak kalır ve birçok KERNEL32 dışa aktarılan işlevi kancalar. Bu işlevlere ilk çağrıldığında, virüs arka planda kurban dosyalarını (PE EXE) arayan ve bunları enfekte eden enfeksiyon rutinini etkinleştirir. Virüs, tüm sürücülerdeki dosyaları C'den Z'ye arar.

Tarama işlemini daha az göze çarpan hale getirmek için, virüs her bir sürücü taramasından önce üç saniye bekler.

Bir dosyaya virüs bulaşırken, son dosya bölümünü genişletir ve kod için alan ayırır, daha sonra şifrelenmiş kodu orada bulunan polimorfik decryptor ile birlikte yazar ve program giriş noktasını şifre çözme rutinine ayarlar.

Arşiv enfeksiyonu

Virüs, çeşitli türlerdeki arşivlere damlatıcıları ekleyebilir: ACE ve RAR (SFX kendi kendine ayıklanan dosyalar dahil), ayrıca ZIP, CAB, ARJ. Arşivlerdeki virüs damlalıkları, değişkenlerden rastgele seçilen bir isim alır:

KURULUM, KURULUM, ÇALIŞTIR, SES, KONFİG, YARDIM, GRATİS, ÇATLAK, GÜNCELLEME, README

'!' ile başlayan ve / veya biten Char. Dosya adı uzantısı .EXE.

Damlalıklarını bir arşive eklemek için, virüs bir disk dosyası olarak bir damlalık oluşturur ve ilgili arşiv türünü işlemek için gereken harici programı çalıştırır. Bu yöntemi kullanarak, virüs, arşivleme programına bağlı olarak rastgele seçilen bir yöntemle sıkıştırılmış damlalığı ekleyebilir.

Şifreleme kütüphaneleri

Virüs, virüsün yükleme bölümünde (Windows'da bulunan Crypt API'sini kullanarak) şifreleme anahtarları oluşturur. Anahtarlar başarıyla oluşturulduysa, virüs, uygulamalar tarafından kullanılan DLL dosyalarının kodlarını şifreleyebilir (ihtiyaç durumunda Windows tarafından yüklenir). Bunu yapmak için, virüs LoadLibrary ve FreeLibrary kancalarını kullanır, kütüphane yüklemesini engeller ve bunları anında şifreler / şifresini çözer.

Aşağıdaki desenlerden biriyle başlayan ad ile herhangi bir DLL, SFC, MPR, OLE32, NTDLL, GDI32, RPCRT4, USER32, RSASIG, SHELL32, CRYPT32, RSABASE, PSTOREC, KERNEL32, ADVAPI32, RUNDLL32, SFCFILES. Ayrıca, aşağıdaki listelerde listelenen DLL'ler şifrelenmez:

 SystemCurrentControlSetControlSessionManagerKnownDLLs 
 SystemCurrentControlSetControlSessionManagerKnown16DLLs 

En önemli husus şifreleme anahtarı ve şifreleme algoritmasının her bir enfekte sistem için benzersiz olmasıdır. WinCrypt, Windows dışındaki diğer sistemlerden dezenfekte edilmesini sağlayan özel şifreleme algoritmalarını desteklemektedir. DLL'lerin şifrelenmesi birçok zaman / CPU kaynağı tüketir – virüs her zaman gerekli anahtarları kayıt defterinden okur.

Windows'da bulunan Crypt API'sini kullanabilmek için, virüsün adı "Prizzy / 29A" olarak ayarlanmış yeni bir anahtar oluşturmalıdır. İlk olarak, virüs varlığını kontrol eder ve anahtar mevcut değilse, yeni bir tane oluşturmak için özel API denir. Ardından, virüs oluşturulan anahtarı saklamak gerekir – bunun için, virüs sistem kayıt defterini kullanacaktır. Bu noktada, virüs bir sınırlama içerir – anahtar SOFTWAREMicrosoftCryptographyUserKeysPrizzy / 29A CryptAquireContext API çağrısı sonra oluşturulacağını varsayacaktır. Virüs, yeni oluşturulan anahtarın 'Öpücük Ofisi' değerini ayarlayacaktır.


Orijinaline link