Описание вредоносного ПО

Затейливый криптор

Сегодня на черном рынке, как известно, свои услуги предлагают многие начинающие вирусописатели. Некоторые из них хотят привлечь внимание к своим продуктам, предлагая новые возможности и технологии, не встречавшиеся ранее.

Не так давно на просторах интернета один, по-видимому начинающий, вирусописатель представил темной публике свое творение на Visual Basic’е: криптор, обладающий множеством дополнительных функций — на любой вкус. Среди возможностей этого криптора, помимо стандартной упаковки файла, указывалась и функция даунлоудера, и детектирование всех виртуальных сред «новым» методом, и выбор одного из 12 процессов Windows для внедрения своего кода, и защита файлов паролем. Список впечатляет. Специальные «вирусные» опции также представлены клиенту:

Здесь очень много занимательных пунктов, но особенно интересны два последних: это атака на BIOS и затирание разделов дисков. Меня заинтересовало, как же реализованы эти функции. Оказалось, что атака на BIOS представляет собой запись в bat-файл на исполнение операционной системой следующего непревзойденного кода на ассемблере:

К слову сказать, этот код никогда не будет исполняться на машинах предполагаемых жертв из bat-файла. По-видимому, автор просто нашел в сети примеры ассемблерного кода, позволяющего осуществить затирание данных в BIOS, и не удосужился что-либо исправить. Свидетельством этого является присутствие в bat-файле строки ENTER, являющейся в оригинальном примере комментарием к нажатию соответствующей клавиши в командной строке после ввода необходимых инструкций.

Затирание разделов дисков происходит таким же оригинальным способом записи ассемблерного кода в bat-файл.

Молодой ситх, однако, демонстрирует хорошее знание vbs, ведь часть своих вредоносных функций в крипторе он реализует с помощью vbs-скриптов, которые записываются на диск прямо из исходного файла. Вот пример части скрипта, заполняющего дисковое пространство путем создания множества файлов с произвольными данными, с забавными комментариями автора:

Хотя данный скрипт и будет отрабатываться, весь код криптора, безусловно, является подтверждением невысокого профессионализма данного вирусописателя, и в очередной раз наводит на мысль, что не стоит судить о книге по обложке… точнее, о программе по красивому графическому интерфейсу

Затейливый криптор

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике