Архив

Team — вирус под Windows 2000/XP

Это Windows 2000/XP-совместимый вирус, который при заражении файлов использует метод «stream companion». Этот метод основан на возможности файловой системы NTFS создавать дополнительные блоки данных («потоки» данных — streams), которые ассоциированы с конкретным файлом.


Потоки данных NTFS

На файловой системе NTFS каждый файл имеет как минимум один стандартный поток данных, к которому можно обратиться по имени файла. Каждый файл может также иметь дополнительные потоки данных, которые имеют свои персональные имена (filename:streamname).

Стандартный поток в файле является собственно телом файла (в до-NTFS-ных терминах). Например, при запуске EXE-файла его код и данные считываются из стандартного потока; при открытии документа его текст считывается также из стандартного потока.

Дополнительные потоки данных в файлах могут иметь данные произвольного типа (например, данные о правах доступа к данному файлу). Они являются принадлежностью файла и жестко к нему привязаны. Потоки данных в файле не могут быть прочитаны и изменены без упоминания имени файла; при удалении файла удаляются все его потоки; при переименовании файла к его потокам затем можно обращаться только при помощи нового имени файла.

Стандартные утилиты просмотра/редактирования потоков данных в поставке Windows отсутствуют. Для «ручного» просмотра можно использовать специализарованные утилиты, например, FAR с необходимым набором «плагинов».


Работа вируса

Вирус является приложением Windows (PE EXE-файл). Имеет размер около 4K. При запуске вирус заражает все файлы в текущем каталоге и возвращает управление программе-носителю. Если программа-носитель отсутствует, вирус показывает следующее сообщение перед заражением файлов:

При заражении файла вирус переносит его тело (стандартный поток) в новый поток (который имеет имя «ccc») и затем записывает свой код в стандартный поток файла. Таким образом, тело зараженного файла (стандартный поток) оказывается замещенным кодом вируса, а первоначалное содержимое файла оказывается перемещенным в его поток. При запуске зараженного файла Windows считывает и выполняет его стандартный поток (т.е. код вируса). Windows
также показывает у всех зараженных файлов одинаковую длину — длину файла-вируса (поскольку Windows сообщает длину только основного потока файла).

Для того, чтобы возвратить управление первоначальному коду зараженного файла, вирус всего-лишь запускает на выполнение соответственный поток файла, используя его имя: «FileName:ccc» (где FileName — имя файла).

Подобный метод заражения должен работать на любой операционной системе, которая поддерживает NTFS, однако вирус проверяет версию ОС и исполняется только в Win2000/XP.

Team — вирус под Windows 2000/XP

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике