Антивирусная защита *

В заметке описывается драйвер, который загружается вирусом, рассмотренным в предыдущей части. Драйвер работает на уровне ядра операционной системы, и обеспечивает «привилегированное» прикрытие основной функциональности трояна, которая работает в режиме пользователя (авторское название компоненты — winnt32.dll. Подробнее о ней см. habrahabr.ru/blog/virus/43787.html).

Краткое описание.
Программа представляет собой nt-драйвер (так же известны, как legacy-драйвера, то есть не связанные ни с каким физическим устройством). Является руткитом: используя механизмы ядра ОС, лишает другие программы доступа к некоторым файлам и ключам реестра.
Детектируется касперским как Trojan-Dropper.Win32.Agent.rek. Размер 27548 байтов.

Лирическое отсутпление. «Обычный» руткит может использовать недостатки в реализации ОС для сокрытия объектов: файлов, сетевых соединений, и так далее вплоть до секторов жесткого диска. Для этого в простейшем случае делается перехват системного вызова. Системный вызов по сути — это вызов функции, а вызов функции — это передача управления по указанному адресу. Руткит записывает по этому адресу свой код, который трансформирует результат оригинальной функции. К примеру, проверяет, пытается ли кто-то открывать файл с телом вируса, и возвращает какой-нибудь код ошибки, например «доступ заперещен».

Руткит перехватывает обращения с реестру и файлам, используя легальные методы самой ОС.

Вчера я разбирал «нецензурный» троян (http://vilgeforce.habrahabr.ru/blog/44130.html), а сегодня разделываю его потомка — ftp34.dll. Эта тваринка, кстати, куда как интереснее подавляющего большинства троянов. Хотя бы тем, что ворует информацию не с диска, а прямо из сетевого траффика. Как? Смотрите под кат.

В общем, с этим трояном все было понятно с самого начала: что-то он из сети качает. Но в силу некоторых причин (одна из них — детект каспером как P2P-Worm.Win32.Socks.s) я решил его «разобрать». Под катом — технические подробности вскрытия трояна. Внимание, наличествуют не совсем цензурные слова и много технических подробностей!

Начало тут: vilgeforce.habrahabr.ru/blog/43746.html

Так или иначе, на компьютере жертвы оказывался файл WinNt32.dll, который загружался в память и тем самым его код исполнялся. Этот файл качал из сети два шифрованных файла, один из которых запускал, а второй инжектил в svchost (назовем его Injected).

Анализ первого файла (Dropper) показал следующее. Первые стадии его работы идентичны таковым для WinNt32.dll — Sysenter, расшифровка, загрузка в память и исполнение. Только в данном случае зашифровано было 3 файла. Первый — непосредственно полезная нагрузка, а второй и третий использовались полезной нагрузкой. В чем же заключается полезная нагрузка? Функционал просто и незамысловатый — скинуть два уже расшифрованных ранее файла на диск, один из них — под именем WinNt32.dll, а второй под случайным именем с расширением Sys. Прописать оба файла в реестре, причем *.sys прописывается сервисом. После чего запустить соответсвующий сервис и вызвать одну из функций DLL. Функционал драйвера я не исследовал — сложное это дело, увы. А вот дропнутая DLL — та самая, с которой все и начиналось! То есть Downloader качает Dropper, а Dropper сохраняет и запускает Downloader. Такой вот «замкнутый круг».

Файл, который инжектится в svchost (Injected) не зашифрован, в отличии от Downloader'а и Dropper'а и даже не разбираясь в его работе, только по текстовым строкам, можно понять что он работает с почтой. Скорее всего, рассылает спам. В файле прописано несколько почтовых серверов — и отечественных и зарубежных, и даже сервер google.
Таким образом, спам-рассылка, скорее всего, была предназначена для создания армии спамботов, и пострадать от нее могли не только пользователи Одноклассников, но и все остальные.

Спасибо, вам, о Хабралюди, за небольшую прибавку к карме. Теперь я наконец-то смогу написать про вчерашние события на Одноклассниках с техническими подробностями.

Троян, без ведома пользователей подменяющий рекламные объявления (тексты и ссылки) Google, обнаружен специалистами BitDefender. Названная Trojan.Qhost.WU, эта троянская программа изменяет на зараженном компьютере Hosts-файл с доменными именами и IP-адресами, которые, соответственно, и передаются серверам доменных имен для загрузки нежелательного контента.

Опасность, которую несет в себе этот троян, двойная. Во-первых, проблемы могут возникнуть у держателей рекламных площадок, так как Trojan.Qhost.WU просто-напросто переадресует пользователей на другие сайты. Лишая, тем самым, рекламодателей потенциального заработка. Ну и, во-вторых, вирус может быть опасен и для пользователей, так как сайты, на которые ведут «поддельные» рекламные объявления могут с большой долей вероятности содержать вредоносный код.

via 3DNews

Исследователи из F-Secure сообщают, что киберпреступники уменьшают размеры своих ботнетов, дабы усложнить компаниям, специализирующимся на ПО для защиты информационной безопасности, отслеживать и препятствовать работе ботнетов.

Компьютеры, заражённые вирусом, становятся т.н. «зомби» в ботнете — сети, которая используется для рассылки спама и для проведения атак на другие машины. Армией зомбированных машин можно управлять удалённо, и, как правило, их создатели обычно пытаются создать наиболее большой ботнет для проведения DoS-атак на заказ.

Однако исследователи из антивирусной компании F-Secure заметили, что крупные ботнеты разбиваются на более мелкие, так как создание крупных ботнетов не увеличивает прибыль киберпреступников. Сейчас, конечно, продолжают «работать» старые крупные ботнеты, но вирусописатели, создающие ботнеты в данный момент, не пытаются сделать их крупными, так как один крупный ботнет не даёт больше денег, чем кучка маленьких.

Кроме того киберпреступники просто-напросто стали опасаться того, что в один момент центральный управляющий сервер такого крупного ботнета упадёт и вся сеть потеряется.

Ещё одним фактором, выделенным F-Secure, является то, что вирусописатели стали ленивее (других кодеров это тоже касается?) и не пытаются создавать нестандартные, «неуловимые» антивирусным ПО вирусы.

Ошибка в обработке изображений, обнаруженная в кроссплатформенном пакете OpenOffice, опасна даже пользователям систем, традиционно считающихся защищенными — Linux и Mac. Windows, разумеется, тоже.

Ни один антивирус из арсенала virustotal.com не обнаружил EICAR в тестовом файле.

По сообщению лаборатории Касперского, появился вирус, способный работать как в Windows, так и в Linux. Он имеет двойное название — Virus.Linux.Bi.a/ Virus.Win32.Bi.a. Код написан на ассемблере и способен заражать бинарные файлы формата ELF и PE. По словам представителей лаборатории, вирус пока безобиден и является лишь концептуальной моделью, подтверждающей возможность универсальной «заразы», но в скором времени могут появиться и менее безобидные вариации. Впрочем, следует отметить, что способность вируса заражать как Windows, так и Linux-машины ещё не означает, что и повреждения будут одинаковыми. Соблюдения простейших правил безопасности (не работать под root'ом, не запускать неизвестные исполняемые файлы, держать в системных процессах активный антивирусный демон и т.д.) позволит пользователям Linux-систем гораздо спокойнее переносить инфицирование.

Подробности здесь.

via LinuxCenter