[XTRM ]
Главная » 2012 » Август » 2 » Virus.Sality.Win32.15
15:51
Virus.Sality.Win32.15

Virus.Sality.Win32.15 (Zillya), Win32:Sality (AVAST), Win32.Sality.OG (BitDefender), Win32.Sector.12 (DrWeb), Virus.Win32.Sality.aa (Kaspersky), W32/Sality.gen (McAfee), Win32/Sality.NAU (NOD32), W32.Sality.AE (Symantec), PE_SALITY.JER (TrendMicro), Virus.Win32.Sality.baka (VBA32)

Virus.Sality.Win32.15 – сложный полиморфный вирус, заражающий PE файлы.

Sality - это комплекс, состоящий из вируса который производит заражение компьютеров, и набора разнообразных троянских программ, Кей логгеров, спам ботов и т.п., которые вирус закачивает из сети Internet в процессе своей работы.

Методы распространения 

Распространяется через съёмные носители информации и зараженные исполняемые файлы.

Для распространения через съёмные носители информации - вирус копирует своё тело в корень каждого диска и создает сопутствующий файл Autorun.inf, который позволит выполниться копии вируса, если на атакуемом компьютере включен автозапуск. Кроме того вирус пытается заразить исполняемые файлы находящиеся на съемном носителе.

Функциональные возможности

 При запуске вирус:

  • Отключает диспетчер задач
  • Запрещает редактирование реестра
  • Отключает оповещения Windows об отключенном брандмауэре, антивирусе и обновлении.
  • Отключает User Account Control
  • Запрещает Internet Explorer работать в автономном режиме
  • Запрещает отображение скрытых папок и файлов
  • Отключает возможность запуска Windows в безопасном режиме
  • Добавляет исходный PE файл в доверенные приложения встроенного брандмауэра Windows.
  • Регистрирует и запускает свою службу, которая обеспечивает запуск исходного тела вируса при каждом перезапуске Windows, а также фильтрует трафик и блокирует обращения к сайтам антивирусных компаний.
  • Удаляет файлы антивирусных баз.
  • Закрывает окна, в заголовках которых содержаться строки "dr.web", "cureit".
  • Перехватывает несколько Windows API функций для маскировки и распространения себя в системе.
  • Пытается зарегистрировать DNS имя в локальном домене
  • Пытается внедрить свой код в адресное пространство активных процессов (в частности в Explorer.exe).
  • Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall.

Вирус заражает исполняемые файлы методом перехвата запуска файла, внедрения в него своего кода, сохранения и повторного запуска этого же файла. Заражению подвергаются ".exe” и ".scr” находящихся на логических и съемных носителях, а также подключенных сетевых дисках.

Технические особенности 

Virus.Sality.Win32.15  - очень сложный полиморфный вирус.

Полиморфность означает, что в каждом новом файле тело вируса будет выглядеть по-разному и данный вирус нельзя обнаружить методом фиксированных вирусных сигнатур.

При заражении вирус создаёт новую секцию в PE файле и записывает в ее конец свое тело. Для некоторых файлов вместо создания новой секции - вирус расширяет последнюю секцию и дописывает туда своё тело. Атрибуты последней секции изменяются таким образом, чтобы  можно было читать, писать и исполнять.

Для передачи управления на своё тело - вирус заменяет оригинальный код приложения, расположенный по точке входа (EntryPoint), на свой собственный, сгенерированный «на лету». Заменённый блок кода, как и само тело вируса, сильно обфусцирован – то есть  значащие команды кода щедро размыты "мусорными командами” или же заменены на последовательность операций.

Обфускация – это приведение исполняемого кода программы к виду, сохраняющему его функциональность, но затрудняющему его анализ и понимание алгоритма работы.

К примеру - команда Mov eax, 10h Может быть заменена последовательность команд:

Mov ebx,04h
Mov ecx,01h
Inc ecx
Add ebx ,01
Xor eax,eax
Add ecx, 09h
Sub ecx, 06h 
Add eax, ebx
Add eax, ecx

или же размыта "мусорными командами”:

Nop
Nop
Push ecx
Pop ecx
Mov eax, 10h
Xchg eax, ebx
Xchg ebx, eax

Из-за обфускации то, что можно исполнить с помощью нескольких  инструкций, растянуто на несколько сотен команд. Так как вирус полиморфный – то команды, их количество и порядок следования, меняются в каждом новом зараженном файле, что сильно затрудняет лечение и детектирование вируса.

Тело вируса зашифровано потоковым шифром RC4 (широко применяющегося в различных системах защиты информации - протоколы SSL и TLS, алгоритм WEP). Алгоритм RC4 строится на основе параметризованного ключом генератора псевдослучайных битов с равномерным распределением.
Длина ключа  для расшифровки тела вируса варьируется от 8 до 176 бит. Сам ключ различный для каждого зараженного файла последовательно зашифрован 2 разными полиморфными алгоритмами.

Вирус состоит из 5и основных блоков:

Первый блок -  располагается по адресу точки входа и представляет собой сильно офусцированый код, который служит для сохранения оригинальных значений регистров и флагов, а также выполняет переход на тело вируса. Длина этого блока варьируется от 32 байт до 2х кбайт.
С целью защиты от отладки вирус применяет метод под названием FakeApi. В произвольных позициях первого блока производится вызов случайных API функции. Что приводит к прекращению работы некоторых виртуальных машин и отладчиков, не могущих корректно работать с таблицей импорта.

Второй блок  - это простенький полиморфный декриптор, который расшифровывает следующий блок и передает на него управление.

Третий блок – это сложный полиморфный декриптор, состоящий из большого количества операций. Данный блок предназначен для расшифровки ключа и алгоритма реализующего потоковый шифр RС4.

Четвёртый блок  - обфусцированая версия потокового шифра RС4. При помощи ключа, алгоритм строит таблицу начальных состояний, которой и расшифровывает основное тело вируса.

Пятый блок -  само тело вируса.

Еще одной особенностью вируса Virus.Win32.Sality.15 является то, что количество полиморфных декрипторов и длинна расшифровываемого ими кода не постоянна – к примеру, может использовать только первый или только второй полиморфный декриптор + алгоритм RC4, или же только алгоритм RC4 с незашифрованным ключом. Первый полиморфный декриптор может расшифровать только часть второго полиморфного декриптора и передать на него управление (в этом случае - часть второго декриптора зашифрованна, а часть нет) и т.п. Данная методика очень осложняет написание алгоритма детектирования и лечения вируса.

Деструктивные возможности

Пытается выполнить загрузку файлов (под видом картинок) из сети Internet и запустить их на выполнение, загруженные файлы имеют функциональность Trojan, Backdoor и RootKit. Целью вируса является внедрение на машину вредоносного ПО, которое обеспечит полный доступ к компьютеру и включение его в ботнет. По мере удаления вредоносных программ - вирус закачивает новые и маскирует их в системе.           
Вирус заражает исполнимые *.exe , *.scr файлы размером более 5 кб, при этом из-за ошибок в вирусе, зачастую портит файлы, что приводит к их полной неработоспособности. Поиск файлов для заражения производится на всех разделах жесткого диска, съемных носителях и всех доступных для записи сетевых папках.

 

Прикрепления: Картинка 1
Просмотров: 1077 | Добавил: Juicy | Теги: .win32, сложный вирус, варианты, описание вируса, описание борьбы с вирусом, Вирусная атака, win32, справочник по вирусам, вирус | Рейтинг: 5.0/4
Всего комментариев: 0
Имя *:
Email *:
Код *: