привет школа
Вирус без программирования
Введение
Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему. Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:\Windows, то вирь всё равно устанавливается в C:\Windows\System32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его - появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто - убийством дерева процессов.Исследование
Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен. Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца! В конце файла находилось несколько сот строк текста в UTF-8 кодировке:
Мой HEX редактор не поддерживает UTF-8 кодировку, поэтому я открыл исполняемый файл как текстовой:
Среди этого текста меня заинтересовало следующее:
Правильно, смотрим что такое, «Алгоритм2». Описание с сайта автора: "Алгоритм 2 - это бесплатная программа для создания программ и игр дома! С ее помощью любой человек может создавать программы, не имея никаких знаний программирования.". Некое подобие среды разработки приложений мышью без ввода какого либо кода, написанное с использованием .NET. Не стал задерживаться на том сайте, скачав и посмотрев примеры, я запустил upp1.exe в IL дизассемблере:
К сожалению, кроме названия классов и пространства имён, ничего интересного обнаружить не удалось. Кроме того, было обнаружено, что процесс качает MDAC_TYP.EXE с сайта microsoft.com. Могу предположить, что зловред умеет обновляться и работает с MDAC. В system32 создаются файлы upp1.ver, upp2.ver и каталог engine. В каталоге engine во время выполнения обнаружил файлы g.obo, gm.obo, k.obo, ki.obo, t.obo, содержащие обрывки зашифрованной информации, расшифровать которую мне не удалось:9tcLzYklFri4ABxuu0spYAad5Ed13rA+HUwS6+fz3d 1JTRrhQ3eqHF4MwCU2k5pfE2FiOR6jz8+NLOtK5YyIjBBo7RodD/8r2G1KapUdSWfBzmH IauGuEQ53iweGHB3ooaFZVZwjeX2QMmWqPauhKidIJxBQeNT3LSzxYtZhlO4= 9tcLzYklFri4ABxuu0spYAad5Ed13rA+HUwS6+fz3d1JTRrhQ3eqHF4MwCU2k 5pfE2FiOR6jz8+NLOtK5YyIjKRrAUB+hCDBr98XIlTnh/nVoZqntqgO61R16bOGF7uk И др.
Заключение
На этом, пожалуй, всё. Если кому-то интересно «покопать», пожалуйста - system32.zip (парольsystem32). Прошу простить, что так мало информации, анализом чужих приложений никогда не интересовался и не имею в этом опыта.Печально всё это: вирус, написанный без программирования, весом больше 1 МБ, да ещё и требующий .NET.
Введение
Хороший знакомый, в свободное время занимающийся ремонтом компьютеров, поделился очередным выловленным вирусом. Популярный антивирус его не определял, что вовсе неудивительно и скоро вы поймёте почему. Процесс был скрыт от Диспетчера задач Windows, но Auslogics Task Manager отображал его как upp1.exe, находящийся в системном System32 каталоге. Причём, если ОС 64-разрядная или установлена не по адресу C:\Windows, то вирь всё равно устанавливается в C:\Windows\System32, по пути создавая несуществующие каталоги соответственно. Процесс находился в списке автозапуска и с помощью Autoruns была удалена ветвь. Но как только Autoruns закрывается, запускается новая копия вируса с именем upp2.exe. Удаляешь его - появляется rundl132.exe и так по кругу. По всей видимости, они запускают сами себя и происходит проверка на отсутствие процесса. Решилось очень просто - убийством дерева процессов.Исследование
Первое, на что я обратил внимание, так это на размер исполняемых файлов, кой был чуть больше 1 МБ на каждый exe. Сомневаюсь, что хоть один уважающий себя вирусописатель на такое способен. Перейдём к более интересному. Загрузив один из исполняемых файлов в HEX редактор, я стал бегло осматривать его с конца… И не зря с конца! В конце файла находилось несколько сот строк текста в UTF-8 кодировке:
Мой HEX редактор не поддерживает UTF-8 кодировку, поэтому я открыл исполняемый файл как текстовой:
Среди этого текста меня заинтересовало следующее:
Правильно, смотрим что такое, «Алгоритм2». Описание с сайта автора: "Алгоритм 2 - это бесплатная программа для создания программ и игр дома! С ее помощью любой человек может создавать программы, не имея никаких знаний программирования.". Некое подобие среды разработки приложений мышью без ввода какого либо кода, написанное с использованием .NET. Не стал задерживаться на том сайте, скачав и посмотрев примеры, я запустил upp1.exe в IL дизассемблере:
К сожалению, кроме названия классов и пространства имён, ничего интересного обнаружить не удалось. Кроме того, было обнаружено, что процесс качает MDAC_TYP.EXE с сайта microsoft.com. Могу предположить, что зловред умеет обновляться и работает с MDAC. В system32 создаются файлы upp1.ver, upp2.ver и каталог engine. В каталоге engine во время выполнения обнаружил файлы g.obo, gm.obo, k.obo, ki.obo, t.obo, содержащие обрывки зашифрованной информации, расшифровать которую мне не удалось:9tcLzYklFri4ABxuu0spYAad5Ed13rA+HUwS6+fz3d 1JTRrhQ3eqHF4MwCU2k5pfE2FiOR6jz8+NLOtK5YyIjBBo7RodD/8r2G1KapUdSWfBzmH IauGuEQ53iweGHB3ooaFZVZwjeX2QMmWqPauhKidIJxBQeNT3LSzxYtZhlO4= 9tcLzYklFri4ABxuu0spYAad5Ed13rA+HUwS6+fz3d1JTRrhQ3eqHF4MwCU2k 5pfE2FiOR6jz8+NLOtK5YyIjKRrAUB+hCDBr98XIlTnh/nVoZqntqgO61R16bOGF7uk И др.
Заключение
На этом, пожалуй, всё. Если кому-то интересно «покопать», пожалуйста - system32.zip (парольsystem32). Прошу простить, что так мало информации, анализом чужих приложений никогда не интересовался и не имею в этом опыта.Печально всё это: вирус, написанный без программирования, весом больше 1 МБ, да ещё и требующий .NET.