При выполнении заражения системы перед вирмейкером всегда стоит задача определения, а не является ли данная система уже заражённой. В противном случае, выполнение повторных механизмов инфицирования в ряде случаев может привести к нарушению работы троянца либо дестабилизацией всей системы. И то и другое — нежелательно.
Одним из механизмов по предотвращению этого явления является создание специфичных мьютексов, по наличию которых делается вывод о наличии активного заражения. При этом мьютексы никак не скрываются, а потому могут быть надёжным сигналом наличия определённой инфекции.
Выполнение вывода списка хэндлов на все мьютексы, открытые в системе, можно сделать с помощью утилиты Handle от Марка Руссиновича. Это делается простой командой:
Выполнив парсинг полученного списка можно не только получить информацию о том, есть ли инфекция в системе, но и в ряде случаев получить информацию, какой именно файл является потенциально заражённым.
Учитывая то, что полный сбор логов даже на весьма загруженной машине занимает несколько секунд, представляется перспективным создание черно-белых списков мьютексов, позволяющих проводить экспресс-оценку заражённости. Например, хорошо известно, что:
_AVIRA_[буквы] или __SYSTEM__[буквы] — маркер ZBot
svchost_test_started — маркер TDL3
Flameddos — маркер Bifrost
__b4ng__b4ng__38 — маркер Tigger
Jo1ezdsl — маркер Bankpatch.C
Op1mutx9 или Ap1mutx7 — и обязательно в комплексе с *exeM_* — маркер Sality
Jhdheddfffffhjk5trh — маркер Allaple
1337bot — маркер Spybot
Rootz — маркер Sdbot
Следует отметить, что наличие специфичных мьютексов можно обнаружить и по полным дампам памяти заражённой системы с помощью плагина mutantscan Андреаса Шустера для Volatility.
Безусловно, данный способ не даёт 100% информации о полном механизме последующего лечения, кроме того вирмейкер может снять указанный «детект» всего несколькими изменениями в коде, но с другой стороны достоинством является экспрессность и простота ведения баз.
Одним из механизмов по предотвращению этого явления является создание специфичных мьютексов, по наличию которых делается вывод о наличии активного заражения. При этом мьютексы никак не скрываются, а потому могут быть надёжным сигналом наличия определённой инфекции.
Выполнение вывода списка хэндлов на все мьютексы, открытые в системе, можно сделать с помощью утилиты Handle от Марка Руссиновича. Это делается простой командой:
handle.exe -a > log.txtВыполнив парсинг полученного списка можно не только получить информацию о том, есть ли инфекция в системе, но и в ряде случаев получить информацию, какой именно файл является потенциально заражённым.
Учитывая то, что полный сбор логов даже на весьма загруженной машине занимает несколько секунд, представляется перспективным создание черно-белых списков мьютексов, позволяющих проводить экспресс-оценку заражённости. Например, хорошо известно, что:
_AVIRA_[буквы] или __SYSTEM__[буквы] — маркер ZBot
svchost_test_started — маркер TDL3
Flameddos — маркер Bifrost
__b4ng__b4ng__38 — маркер Tigger
Jo1ezdsl — маркер Bankpatch.C
Op1mutx9 или Ap1mutx7 — и обязательно в комплексе с *exeM_* — маркер Sality
Jhdheddfffffhjk5trh — маркер Allaple
1337bot — маркер Spybot
Rootz — маркер Sdbot
Следует отметить, что наличие специфичных мьютексов можно обнаружить и по полным дампам памяти заражённой системы с помощью плагина mutantscan Андреаса Шустера для Volatility.
Безусловно, данный способ не даёт 100% информации о полном механизме последующего лечения, кроме того вирмейкер может снять указанный «детект» всего несколькими изменениями в коде, но с другой стороны достоинством является экспрессность и простота ведения баз.
