Описание вредоносного ПО

Новый Sality — Sality.ag

В прошедшую пятницу специалистами ЛК была обнаружена новая модификация наиболее популярного в настоящее время полиморфного инфицирующего вируса – Sality.aa. Вирус Sality.aa последний раз менялся примерно год назад, причём незначительно, однако на протяжении двух последних лет он входит в пятерку вредоносных программ, чаще всего детектируемых на компьютерах пользователей. Все предыдущие модификации Sality не имели такого успеха. За «aa» последовала версия «ae», которая использовала технику заражения EPO, но из-за простого алгоритма дешифровки и неудачной техники заражения она не стала популярной у злоумышленников. Последующие версии также не снискали популярности из-за значительного упрощения алгоритма дешифровки.

Новой разновидности была присвоена модификация ag. Почему для нас так интересен этот новый экземпляр? В ней применяется качественно новый алгоритм дешифровки и множество новых «полезных» инструкций. Мы считаем, что эта модификация в скором времени заменит устаревшую версию «аа» и станет очень популярной.

Основной функционал этого вируса – BackDoor. При попадании в систему Sality.ag первым делом устанавливает библиотеку и драйвер, который фильтрует интернет-трафик. Библиотека используется для противостояния разнообразным антивирусам и файрволам.

Ниже представлен скриншот фрагмета распакованной библиотеки, на котором содержатся строки, относящиеся как раз к такому ПО: «avast! Self Protection», «NOD32krn», «Avira AntiVir Premium», «DRWEBSCD» и т.д. Sality использует в том числе один из простейших способов отключения антивирусов — он будет пытаться закрыть окна и процессы с соответствующими названиями.

Скриншот фрагмента распакованной библиотеки, используемой Sality.ag

Также вносятся дополнительные записи в реестр, которые отключают TaskManager, UAC, а также добавляют драйвер в ветку реестра «SystemCurrentControlSetControlSafeBoot», что позволяет драйверу загрузиться в безопасном режиме.

Драйвер создаёт устройство с названием «amsint32» и взаимодействует с «DeviceIPFILTERDRIVER», т.е. с драйвером фильтра IP-пакетов, что дает ему возможность фильтровать трафик. Сам файл драйвера содержится в библиотеке, которая хранится в теле вируса и упакована упаковщиком UPX.

Основное тело, в то же время, создаёт синхронизирующие объекты, чтобы обнаружить другие запуски инфицированных файлов: «uxJLpe1m», «Ap1mutx7», а также устанавливает уже упомянутую библиотеку и загружает служебные данные со страниц, на которые ведут нижеприведенные ссылки:
http://sagocugenc.sa.funpic.de/images/*****.gif http://www.eleonuccorini.com/images/*****.gif
http://www.cityofangelsmagazine.com/images/*****.gif http://www.21yybuyukanadolu.com/images/*****.gif http://yucelcavdar.com/*****.gif http://www.luster-adv.com/gallery/Fusion/images/*****.gif
После всех приготовлений Sality пытается подключиться к удалённому серверу и выполняет его команды, действуя, как обычный BackDoor.

Сама техника заражения осталась похожей на применяемую в модификации «aa». Код по точке входа заменяется переходом на основное тело. Переход представляет собой обычную инструкцию перехода по регистру – jmp reg, который очень сильно обфусцирован. Само тело имеет размер 0x11000 байт и расположено в конце последней секции, которая специально для этого расширяется. Дополнительно к флагам секции добавляется разрешение на запись и исполнение. Первая 0x1000 байт кода подвергнута мощной обфускации, но выполняет дешифровку остальной части кода. Если в модификации «aa» применялся алгоритм RC4, то здесь используется алгоритм, который за один цикл расшифровывает два двойных слова. Каждый цикл включает в себя 0x3F итераций, в которых используются операции сложения, вычитания, сдвига и задействуется таблица двойных слов в начале инфицированного участка.

Новый Sality — Sality.ag

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике