BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Tehditler Virus Win32

Virus.Win32.Crypto

Sınıf
Virus
Platform
Win32

Ana sınıf: VirWare

Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında ​​gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.

Sınıf: Virus

Virüsler yerel makinenin kaynakları üzerinde çoğalırlar. Solucanlardan farklı olarak, virüsler diğer bilgisayarları yaymak veya bunlara nüfuz etmek için ağ hizmetlerini kullanmaz. Virüsün bir kopyası, yalnızca virüslü nesnenin, virüs işleviyle alakası olmayan bir nedenle başka bir bilgisayarda etkinleştirilmişse, uzak bilgisayarlara ulaşacaktır. Örneğin: erişilebilir disklere virüs bulaştığında, bir virüs bir ağ kaynağında bulunan bir dosyaya girer, bir virüs kendisini çıkarılabilir bir depolama aygıtına kopyalar veya bir dosyayı virüslü bir eki olan bir e-posta gönderir.

Platform: Win32

Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.

Açıklama

Teknik detaylar

Bu metin, Adrian Marinescu, GeCAD Yazılımı yardımıyla yazılmıştır.

Bu, yaklaşık 20K uzunluğunda çok tehlikeli bir hafıza ikamet parazitik polimorfik Win32 virüsüdür. Bu KERNEL32.DLL ve PE EXE dosyalarını bozar: bu kod, dosyanın sonuna yazar ve enfekte bir dosya çalıştırıldığında kontrol kazanmak için PE başlığında gerekli alanları değiştirir. Virüs ayrıca "damlalıklarını" farklı tipteki arşivlere (ACE, RAR, ZIP, CAB, ARJ) ve bazı kendi kendine ayıklanan paketlere (SFX ACE ve RAR dosyaları) ekler.

Virüs, PE EXE dosyalarını ve arşivlerini yalnızca virüslere bulaştırarak bir polimorfik motor kullanır ve virüs resmini KERNEL32.DLL dosyasında şifrelenmemiş halde bırakır.

Virüs anti-hata ayıklama hileleri kullanır, anti-virüs erişimi olan tarayıcıları (Avast, AVP, AVG ve Amon) devre dışı bırakır, anti-virüs veri dosyalarını siler (AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS , CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT), LGUARD.VPS dosyasını (anti-virüs veritabanı?) Yamalar ve birçok virüsten koruma programlarının bulaşmasını önler: TB, F- AW, AV, NAV, PAV, RAV, NVC, FPR, DSS, IBM, INOC, ANTI, SCN, VSAF, VSWP, PANDA, DRWEB, FSAV, SPIDER, ADINF, SONIQUE, SQSTART.

En önemli virüs özelliklerinden biri, yüklendiğinde "anında" Windows kitaplıklarını (DLL dosyaları) şifreleyip / çözdüğü gerçeğidir - bir kitaplığı yükledikten sonra virüs, şifresini çözer, virüs boşaltır, virüs şifreler. dosya gövdesi. DLL dosyalarını şifrelemek için, virüs güçlü şifreleme algoritmaları kullanır (Windows'da bulunan Crypt API'sı tarafından sağlanır). Sonuç olarak, virüs bulaşmış bir sistem, yalnızca virüs kodunun bellekte mevcut olması durumunda çalışmaya devam eder ve bu şifreleme / şifre çözme işlemini gerçekleştirir. Sistemin dezenfekte edilmesi durumunda, DLL kitaplıkları şifrelenir ve sistem bunları yükleyemez. Bu teknolojiyi kullanan ilk virüs, 1990'ların ikinci yarısında “iyi bilinen” Onehalf multipartite virüsüdür.

Virüs Win95 ve Win98 standart sürümleri gibi çeşitli Win32 sürümleriyle uyumsuzdur. Bu koşullar altında, virüs kendini sisteme yüklemez (KERNEL32.DLL bulaşmaz) ve / veya PE EXE dosyaları bulaşmaz.

Sisteme yükleme

Virüs bulaşmış bir dosya ilk kez temiz bir sistemde yürütüldüğünde, polimorfik decryptor döngüsü kontrolü kazanır, orijinal dosya kodunu temiz biçimde geri yükler ve kontrole buradan geçer. Kurulum rutin kontrolü kazanır ve birkaç anti-debugging ve anti-anti-virüs prosedürleri gerçekleştirdikten sonra, virüs kopyasını sisteme yükler.

Yüklerken, virüs KERNEL32.DLL dosyasını bozar, böylece bir sonraki açılışta, Windows virüs kodunu KERNEL32 kütüphanesinin bir parçası olarak yükler. Virüs bulaşırken virüs, KERNEL32 dışa aktarma tablolarını yayar ve böylece bir sonraki yüklemede virüs KERNEL32.DLL'den (FileFile, OpenFile, __lopen, CopyFile, MoveFile, MoveFileEx, LoadLibrary, LoadLibraryEx, FreeLibrary) dışa aktarılan çeşitli dosya erişim işlevlerini durdurur ve filtreler. - ANSI ve UNICODE formlarında).

KERNEL32.DLL (bu kitaplık, virüs çalıştırıldığında belleğe yüklenir, böylece yazmak için Windows tarafından korunur), virüs, KERNEL32.DLL dosyasını Windows klasörüne kopyalar, bu kopyaya bulaşır ve sonra Windows zorlar. Bir sonraki önyüklemede eski dosyayı virüslü ile değiştirin. Sonuç olarak, bir sonraki yeniden başlatma üzerine, Windows bulaşmış KERNEL32.DLL ile yüklenir - virüs filtreler dosya erişim olayları ve PE EXE ve arşiv-enfeksiyon rutinleri çalıştırır.

KERNEL32.DLL bulaştıktan sonra virüs, kod belleğinden siler ve ana programa denetimi döndürür.

Virüs yayılıyor

Windows bulaşmış bir KERNEL32.DLL ile yüklendiğinde, virüs bellekte KERNEL32.DLL bileşeni olarak kalır ve birçok KERNEL32 dışa aktarılan işlevi kancalar. Bu işlevlere ilk çağrıldığında, virüs arka planda kurban dosyalarını (PE EXE) arayan ve bunları enfekte eden enfeksiyon rutinini etkinleştirir. Virüs, tüm sürücülerdeki dosyaları C'den Z'ye arar.

Tarama işlemini daha az göze çarpan hale getirmek için, virüs her bir sürücü taramasından önce üç saniye bekler.

Bir dosyaya virüs bulaşırken, son dosya bölümünü genişletir ve kod için alan ayırır, daha sonra şifrelenmiş kodu orada bulunan polimorfik decryptor ile birlikte yazar ve program giriş noktasını şifre çözme rutinine ayarlar.

Arşiv enfeksiyonu

Virüs, çeşitli türlerdeki arşivlere damlatıcıları ekleyebilir: ACE ve RAR (SFX kendi kendine ayıklanan dosyalar dahil), ayrıca ZIP, CAB, ARJ. Arşivlerdeki virüs damlalıkları, değişkenlerden rastgele seçilen bir isim alır:

KURULUM, KURULUM, ÇALIŞTIR, SES, KONFİG, YARDIM, GRATİS, ÇATLAK, GÜNCELLEME, README

'!' ile başlayan ve / veya biten Char. Dosya adı uzantısı .EXE.

Damlalıklarını bir arşive eklemek için, virüs bir disk dosyası olarak bir damlalık oluşturur ve ilgili arşiv türünü işlemek için gereken harici programı çalıştırır. Bu yöntemi kullanarak, virüs, arşivleme programına bağlı olarak rastgele seçilen bir yöntemle sıkıştırılmış damlalığı ekleyebilir.

Şifreleme kütüphaneleri

Virüs, virüsün yükleme bölümünde (Windows'da bulunan Crypt API'sini kullanarak) şifreleme anahtarları oluşturur. Anahtarlar başarıyla oluşturulduysa, virüs, uygulamalar tarafından kullanılan DLL dosyalarının kodlarını şifreleyebilir (ihtiyaç durumunda Windows tarafından yüklenir). Bunu yapmak için, virüs LoadLibrary ve FreeLibrary kancalarını kullanır, kütüphane yüklemesini engeller ve bunları anında şifreler / şifresini çözer.

Aşağıdaki desenlerden biriyle başlayan ad ile herhangi bir DLL, SFC, MPR, OLE32, NTDLL, GDI32, RPCRT4, USER32, RSASIG, SHELL32, CRYPT32, RSABASE, PSTOREC, KERNEL32, ADVAPI32, RUNDLL32, SFCFILES. Ayrıca, aşağıdaki listelerde listelenen DLL'ler şifrelenmez: 

 SystemCurrentControlSetControlSessionManagerKnownDLLs  SystemCurrentControlSetControlSessionManagerKnown16DLLs

En önemli husus şifreleme anahtarı ve şifreleme algoritmasının her bir enfekte sistem için benzersiz olmasıdır. WinCrypt, Windows dışındaki diğer sistemlerden dezenfekte edilmesini sağlayan özel şifreleme algoritmalarını desteklemektedir. DLL'lerin şifrelenmesi birçok zaman / CPU kaynağı tüketir - virüs her zaman gerekli anahtarları kayıt defterinden okur.

Windows'da bulunan Crypt API'sini kullanabilmek için, virüsün adı "Prizzy / 29A" olarak ayarlanmış yeni bir anahtar oluşturmalıdır. İlk olarak, virüs varlığını kontrol eder ve anahtar mevcut değilse, yeni bir tane oluşturmak için özel API denir. Ardından, virüs oluşturulan anahtarı saklamak gerekir - bunun için, virüs sistem kayıt defterini kullanacaktır. Bu noktada, virüs bir sınırlama içerir - anahtar SOFTWAREMicrosoftCryptographyUserKeysPrizzy / 29A CryptAquireContext API çağrısı sonra oluşturulacağını varsayacaktır. Virüs, yeni oluşturulan anahtarın 'Öpücük Ofisi' değerini ayarlayacaktır.

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Şunlar için çözümler
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Select language
Sorting
Tehdit
Confirm changes?
Your message has been sent successfully.