Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 13.04.2010, 19:58

Virus.Win32. Sality.ag

13 апреля, 2010

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++.
Инсталляция

При запуске, вредоносная программа извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:
%System%\drivers\<rnd>.sys
где rnd – случайные латинские прописные буквы, например, "INDSNN". Данный файл является драйвером режима ядра, имеет размер 5157 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.ag.

Извлеченный драйвер устанавливается и запускается в системе как сервис с именем "amsint32".
Распространение

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:
EXE
SCR
Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредоносная программа копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:
%Temp%\__Rar\<the path to the virus’s original file>.exe
Для автозапуска своего оригинального файла, вредоносная программа копирует себя на все логические диски под произвольным именем, при этом расширение файла выбирается случайно из следующих значений:
.exe
.pif.
.cmd
А также создает в корневом каталоге этих дисков скрытый файл:
:\autorun.inf
в котором содержится команда для запуска вредоносного файла. Таким образом, при открытии логического диска в "Проводнике" происходит запуск вредоносной программы.
Деструктивная активность

После запуска, для контроля уникальности своего процесса в системе вредоносная программа создает уникальный идентификаторы с именем "Ap1mutx7".

Пытается выполнить загрузку файлов, расположенных по ссылкам:
http://sagocugenc.sa.funpic.de/images/logos.gif
http://www.eleonuccorini.com/images/logos.gif
http://www.cityofangelsmagazine.com/images/logos.gif
http://www.21yybuyukanadolu.com/images/logos.gif
http://yucelcavdar.com/logos_s.gif
http://www.luster-adv.com/gallery/Fu...ages/logos.gif
http://89.119.67.154/testo5/
http://kukutrustnet777.info/home.gif
http://kukutrustnet888.info/home.gif
http://kukutrustnet987.info/home.gif
http://www.klkjwre9fqwieluoi.info/
http://kukutrustnet777888.info/
http://klkjwre77638dfqwieuoi888.info/
Загруженные файлы сохраняются в папке %Temp% и запускаются.

На момент составления описания по вышеуказанным ссылкам вирус скачивал следующие вредоносные программы:
Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu
Все загруженные вирусом вредоносные программы были предназначены для рассылки спама.

Кроме загрузки файлов, вирус может изменять множество параметров операционной системы, в том числе:
Отключает диспетчер задач и запрещает редактирование реестра, изменяя следующие параметры системного реестра:
[HKСU\Software\Microsoft\Windows\CurrentVersion\Pol icies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
Изменяет настройки Центра Обеспечения безопасности Windows, создавая следующие параметры ключей реестра:
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
Advanced]
"Hidden"=dword:00000002
Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]
"GlobalUserOffline"=dword:00000000
Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system]
"EnableLUA"=dword:00000000
Добавляет себя в список разрешенных для доступа в сеть приложений встроенного сетевого экрана ОС Windows, сохраняя следующий параметр в ключе реестра:
[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
"<путь_к_оригинальному_файлу_вируса>"
= "<путь_к_оригинальному_файлу_вируса>:*:Enabled:ips ec"
Далее создает ключи реестра, в которых сохраняет свою служебную информацию:
HKCU\Software\<rnd>
Где <rnd> - произвольное значение.
Затем находит файл с именем:
%WinDir%\system.ini
и добавляет в него следующую запись:
[MCIDRV_VER]
DEVICEMB=509102504668 (номер может быть произвольным)
Отключает запуск ОС в безопасном режиме, удаляя полностью ключи реестра
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:
%Temp%\
Выполняет поиск и удаление файлов со следующими расширениями:
"VDB", "KEY", "AVC", "drw"
При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки:
upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity. s
pywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
Останавливает и удаляет службы со следующими именами:
Agnitum Client Security Service
ALG Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4
Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
avp1
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
tmproxy
tcpsr
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP

Также вирус пытается завершить процессы различных антивирусов и широко известных утилит для борьбы с вирусами.

13.04.2010, 19:58	#6
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,562 Сказал(а) спасибо: 2,820 Поблагодарили 5,656 раз(а) в 4,455 сообщениях Вес репутации: 46	Virus.Win32. Sality.ag 13 апреля, 2010 Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++. Инсталляция При запуске, вредоносная программа извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows: %System%\drivers\<rnd>.sys где rnd – случайные латинские прописные буквы, например, "INDSNN". Данный файл является драйвером режима ядра, имеет размер 5157 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.ag. Извлеченный драйвер устанавливается и запускается в системе как сервис с именем "amsint32". Распространение Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: EXE SCR Заражаются только файлы, которые содержат в PE-заголовке секции: TEXT UPX CODE При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредоносная программа копирует оригинальное не зараженное тело файла в созданный временный каталог с именем: %Temp%\__Rar\<the path to the virus’s original file>.exe Для автозапуска своего оригинального файла, вредоносная программа копирует себя на все логические диски под произвольным именем, при этом расширение файла выбирается случайно из следующих значений: .exe .pif. .cmd А также создает в корневом каталоге этих дисков скрытый файл: :\autorun.inf в котором содержится команда для запуска вредоносного файла. Таким образом, при открытии логического диска в "Проводнике" происходит запуск вредоносной программы. Деструктивная активность После запуска, для контроля уникальности своего процесса в системе вредоносная программа создает уникальный идентификаторы с именем "Ap1mutx7". Пытается выполнить загрузку файлов, расположенных по ссылкам: http://sagocugenc.sa.funpic.de/images/logos.gif http://www.eleonuccorini.com/images/logos.gif http://www.cityofangelsmagazine.com/images/logos.gif http://www.21yybuyukanadolu.com/images/logos.gif http://yucelcavdar.com/logos_s.gif http://www.luster-adv.com/gallery/Fu...ages/logos.gif http://89.119.67.154/testo5/ http://kukutrustnet777.info/home.gif http://kukutrustnet888.info/home.gif http://kukutrustnet987.info/home.gif http://www.klkjwre9fqwieluoi.info/ http://kukutrustnet777888.info/ http://klkjwre77638dfqwieuoi888.info/ Загруженные файлы сохраняются в папке %Temp% и запускаются. На момент составления описания по вышеуказанным ссылкам вирус скачивал следующие вредоносные программы: Backdoor.Win32.Mazben.ah Backdoor.Win32.Mazben.ax Trojan.Win32.Agent.didu Все загруженные вирусом вредоносные программы были предназначены для рассылки спама. Кроме загрузки файлов, вирус может изменять множество параметров операционной системы, в том числе: Отключает диспетчер задач и запрещает редактирование реестра, изменяя следующие параметры системного реестра: [HKСU\Software\Microsoft\Windows\CurrentVersion\Pol icies\system] "DisableRegistryTools"=dword:00000001 "DisableTaskMgr"=dword:00000001 Изменяет настройки Центра Обеспечения безопасности Windows, создавая следующие параметры ключей реестра: [HKLM\SOFTWARE\Microsoft\Security Center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "UacDisableNotify"=dword:00000001 [HKLM\SOFTWARE\Microsoft\Security Center\Svc] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "FirewallOverride"=dword:00000001 "UacDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр: [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ Advanced] "Hidden"=dword:00000002 Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию: [HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings] "GlobalUserOffline"=dword:00000000 Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system] "EnableLUA"=dword:00000000 Добавляет себя в список разрешенных для доступа в сеть приложений встроенного сетевого экрана ОС Windows, сохраняя следующий параметр в ключе реестра: [HKLM\System\CurrentControlSet\Services\SharedAcces s\ Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List] "<путь_к_оригинальному_файлу_вируса>" = "<путь_к_оригинальному_файлу_вируса>:*:Enabled:ips ec" Далее создает ключи реестра, в которых сохраняет свою служебную информацию: HKCU\Software\<rnd> Где <rnd> - произвольное значение. Затем находит файл с именем: %WinDir%\system.ini и добавляет в него следующую запись: [MCIDRV_VER] DEVICEMB=509102504668 (номер может быть произвольным) Отключает запуск ОС в безопасном режиме, удаляя полностью ключи реестра HKLM\System\CurrentControlSet\Control\SafeBoot HKCU\System\CurrentControlSet\Control\SafeBoot Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя: %Temp%\ Выполняет поиск и удаление файлов со следующими расширениями: "VDB", "KEY", "AVC", "drw" При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки: upload_virus sality-remov virusinfo. cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity. s pywareguide. bitdefender. pandasoftware. agnmitum. virustotal. sophos. trendmicro. etrust.com symantec. mcafee. f-secure. eset.com kaspersky Останавливает и удаляет службы со следующими именами: Agnitum Client Security Service ALG Amon monitor aswUpdSv aswMon2 aswRdr aswSP aswTdi aswFsBlk acssrv AV Engine avast! iAVS4 Control Service avast! Antivirus avast! Mail Scanner avast! Web Scanner avast! Asynchronous Virus Monitor avast! Self Protection AVG E-mail Scanner Avira AntiVir Premium Guard Avira AntiVir Premium WebGuard Avira AntiVir Premium MailGuard avp1 BackWeb Plug-in - 4476822 bdss BGLiveSvc BlackICE CAISafe ccEvtMgr ccProxy ccSetMgr COMODO Firewall Pro Sandbox Driver cmdGuard cmdAgent Eset Service Eset HTTP Server Eset Personal Firewall F-Prot Antivirus Update Monitor fsbwsys FSDFWD F-Secure Gatekeeper Handler Starter FSMA Google Online Services InoRPC InoRT InoTask ISSVC KPF4 KLIF LavasoftFirewall LIVESRV McAfeeFramework McShield McTaskManager navapsvc NOD32krn NPFMntor NSCService Outpost Firewall main module OutpostFirewall PAVFIRES PAVFNSVR PavProt PavPrSrv PAVSRV PcCtlCom PersonalFirewal PREVSRV ProtoPort Firewall service PSIMSVC RapApp SmcService SNDSrvc SPBBCSvc SpIDer FS Monitor for Windows NT SpIDer Guard File System Monitor SPIDERNT Symantec Core LC Symantec Password Validation Symantec AntiVirus Definition Watcher SavRoam Symantec AntiVirus Tmntsrv TmPfw tmproxy tcpsr UmxAgent UmxCfg UmxLU UmxPol vsmon VSSERV WebrootDesktopFirewallDataService WebrootFirewall XCOMM AVP Также вирус пытается завершить процессы различных антивирусов и широко известных утилит для борьбы с вирусами. __________________