Мои статьи [18] |
CSS [4] |
CS 1.6 [1] |
Разное [2] |
Главная » Статьи » Мои статьи |
В операционных системах Windows Vista и Windows 7 троян пытается
повысить собственные права, т.е. постоянно перезапускает самого себя с
запросом на повышение привилегий. Однако такой процесс можно завершить в
"Диспетчере задач".
Завершение троянского процесса через "Диспетчер задач" Дроппер несет в себе 32-х и 64-битный драйвер, способный обеспечить
загрузку основного функционала данной вредоносной программы. В
зависимости от разрядности пользовательской ОС, на диске сохраняется
соответствующий драйвер, который может быть записан как в начало диска
(до первого активного раздела), если там достаточно места, так и в его
конец. Однако, если загрузочным разделом окажется не первый, то
троянский драйвер может перезаписать случайные данные любого раздела до
загрузочного, т. к. позиция для записи выбирается случайно в пределах
свободных секторов. Сравнение первых секторов VBR чистой и зараженной системы, красным показаны различия — код вирусного загрузчика Получив управление, вирусный загрузчик действует по классической для
MBR/BOOT-вирусов схеме. "Откусывает" себе небольшой кусок системной
памяти, переносит себя туда и перехватывает прерывание int 13h для
просмотра содержимого считываемых с диска секторов. Затем он целиком
загружает с диска свой драйвер и распаковывает на прежнее место
оригинальный код VBR. Управление возвращается системному загрузчику.
Таким образом, вредоносная программа имитирует свою загрузку в качестве обычного boot-драйвера. В то же время среди загруженных модулей есть еще одно "ядро", с параметрами DllBase и SizeOfImage принадлежащими вредоносному драйверу. Проверить систему на наличие или отсутствие заражения можно использовать простую команду "echo hello >nul", которая на неинфицированной системе успешно выполняется, а на зараженной выдает сообщение об ошибке. Задачей драйвера является инжект (внедерение) своего кода в запущенные процессы. 64-битный драйвер, красным выделены динамические библиотеки, которые упакованы aplib Внедрение кода осуществляется обычной установкой нотификаций через функции PsCreateProcessNotifyRoutine и PsCreateProcessNotifyRoutine с последующим вызовом асинхронной функции через механизм APC. В процессе исследования выяснилось, что 64-битный драйвер несет "на борту" две библиотеки. При этом полезная нагрузка находится только в одной из них, а вторая, по всей видимости, является "заделом на будущее". 32-битный драйвер, который осуществляет заброс шелл-кода в процессы В остальном же драйвер не представляет особого интереса. На сегодняшний день используемый Trojan.Mayachok.2 механизм заражения является уникальным среди известных угроз. Предполагается, что в недалеком будущем стоит ожидать использования подобной техники заражения другими вредоносными программами. | |
Просмотров: 607 | Рейтинг: 4.0/1 |
Всего комментариев: 0 | |