Virus.Sality.Win32.15

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Virus.Sality.Win32.15 - складний поліморфний вірус, що інфікує PE файли.

Sality - це комплекс, який складається з вірусу, що інфікує комп'ютери, і набору різноманітних троянських програм, кейлогерів, спамботів і т.п., які вірус закачує з мережі Internet у процесі своєї роботи.

Методи поширення

Поширюється через змінні носії інформації і інфіковані виконувані файли.

Для поширення через змінні носії інформації - вірус копіює своє тіло в корінь кожного диска і створює супутній файл Autorun.inf, який дозволить виконатися копії вірусу, якщо на комп'ютері що атакується включений автозапуск. Крім того вірус намагається інфікувати виконувані файли що знаходяться на знімному носії.

Функціональні можливості

При запуску вірус:

• Вимикає диспетчер завдань

• Забороняє редагування реєстру

• Вимикає оповіщення Windows про відключений брандмауер, антивірус та оновлення.

• Вимикає User Account Control

• Забороняє програмі Internet Explorer працювати в автономному режимі

• Забороняє відображення прихованих папок і файлів

• Вимикає можливість запуску Windows в безпечному режимі

• Додає свій PE файл в довірені програми вбудованого брандмауера Windows.

• реєструє і запускає свою службу, яка забезпечує запуск тіла вірусу при кожному перезапуску Windows, а також фільтрує мережевий трафік і блокує звернення до сайтів антивірусних компаній.

• Видаляє файли антивірусних баз.

• Закриває вікна, у заголовках яких містяться рядки "dr.web", "cureit".

• Перехоплює кілька Windows API функцій для маскування і розповсюдження себе у системі.

• Намагається впровадити свій код в адресний простір активних процесів (зокрема в Explorer.exe).

• Зупиняє служби та вивантажує з пам'яті процеси, пов'язані з антивірусним програмам і Firewall.

Вірус інфікує виконувані файли методом перехоплення запуску файлу, впровадження в нього свого коду, збереження і повторного запуску цього ж файлу. інфікуванню піддаються ". Exe" і ". Scr" файли що знаходяться на логічних і знімних носіях, а також підключених мережевих дисках.

Технічні особливості

Virus.Sality.Win32.15 - дуже складний поліморфний вірус.

Поліморфність означає, що в кожному новому файлі тіло вірусу буде виглядати по-різному і даний вірус не можна виявити методом фіксованих вірусних сигнатур.

При інфікуванні вірус створює нову секцію в PE файлі і записує в її кінець своє тіло. Для деяких файлів замість створення нової секції - вірус розширює останню секцію і дописує туди своє тіло. Атрибути останньої секції змінюються таким чином, щоб можна було читати, писати і виконувати.

Для передачі управління на своє тіло - вірус замінює оригінальний код, розташований по точці входу (EntryPoint), на свій власний, згенерований «на льоту». Замінений блок коду, як і саме тіло вірусу, сильно обфускован - тобто значущі команди коду щедро розмиті "сміттєвими командами" або ж замінені на послідовність операцій.

Обфускація - це методика приведення виконуваного коду програми до виду, що зберігає його функціональність, але ускладнює його аналіз і розуміння алгоритму роботи.

Наприклад - команда Mov eax, 10h Може бути замінена послідовність команд:

Mov ebx, 04h

Mov ecx, 01h

Inc ecx

Add ebx, 01

Xor eax, eax

Add ecx, 09h

Sub ecx, 06h

Add eax, ebx

Add eax, ecx

або ж розмита "сміттєвими командами":

Nop

Push ecx

Pop ecx

Mov eax, 10h

Xchg eax, ebx

Xchg ebx, eax

Завдяки обфускаціі те, що можна виконати за допомогою декількох інструкцій, розтягнуте на кілька сотень команд. Так як вірус поліморфний - то команди, їх кількість і порядок слідування, змінюються в кожному новому інфікованому файлі, що сильно заважає лікуванню і детектуванню вірусу.

Тіло вірусу закодоване потоковим шифром RC4 (широко застосовується в різних системах захисту інформації - протоколи SSL і TLS, алгоритм WEP). Алгоритм RC4 будується на основі параметризованих ключем генератора псевдовипадкових бітів з рівномірним розподілом.

Довжина ключа для розкодування тіла вірусу варіюється від 8 до 176 біт. Сам ключ різний для кожного зараженого файлу і послідовно закодований двома різними поліморфними алгоритмами.

Вірус складається з 5 основних блоків:

Перший блок - розташовується за адресою точки входу і являє собою сильно обфускований код, що створенний для збереження оригінальних значень регістрів і прапорів, а також виконує перехід на тіло вірусу. Довжина цього блоку варіюється від 32 байт до 2 Кбайт.

З метою захисту від аналізу, вірус застосовує метод під назвою FakeApi. У довільних позиціях першого блоку здійснюється виклик випадкових API функції, що призводить до припинення роботи деяких віртуальних машин і отладчиков, які не можуть коректно працювати з таблицею імпорту.

Другий блок - це простенький поліморфний декріптор, який декодує наступний блок і передає на нього управління.

Третій блок - це складний поліморфний декріптор, що складається з великої кількості операцій. Даний блок призначений для декодування ключа і алгоритму який реалізує потоковий шифр RС4.

Четвертий блок - обфускована версія потокового шифру RС4. За допомогою ключа, алгоритм будує таблицю початкових станів, завдяки якій і декодує тіло вірусу.

П'ятий блок - саме тіло вірусу.

Ще однією особливістю вірусу Virus.Win32.Sality.15 є те, що кількість поліморфних декріпторів і довжина декодуємого ними коду є змінними - наприклад, може використовуватися тільки перший або тільки другий поліморфний декріптор + алгоритм RC4, або ж тільки алгоритм RC4 з незакодованим ключем. Перший поліморфний декріптор може декодувати лише частину другого поліморфного декріптора і передати на нього управління (у цьому випадку - частина другого декріптора закодована, а частина ні) і т.п. Дана методика дуже ускладнює написання алгоритму детектування і лікування вірусу.

Деструктивні можливості

Вірус намагається завантажити файли (під виглядом картинок) з мережі Internet і запустити їх на виконання, завантажені файли мають функціональність Trojan, Backdoor і RootKit. Метою вірусу є впровадження на машину шкідливого ПЗ, яке забезпечить повний доступ до комп'ютера і включить його до ботнет. Якщо відбувається видалення зловмисних програм - вірус завантажує нові і маскує їх в системі.
Вірус інфікує *. exe та *. scr файли ррозміром більше 5 кб, при цьому з-за помилок у коді вірусу, він часто псує файли, що призводить до їх повної непрацездатності. Пошук файлів для інфікування робиться по всіх розділах жорсткого диска, знімних носіях і всіх доступних для запису мережевих папках.