Меню контента Закрыть

Описание вредоносного ПО

Затейливый криптор

Описание вредоносного ПО

мин. на чтение

Авторы

Сегодня на черном рынке, как известно, свои услуги предлагают многие начинающие вирусописатели. Некоторые из них хотят привлечь внимание к своим продуктам, предлагая новые возможности и технологии, не встречавшиеся ранее.

Не так давно на просторах интернета один, по-видимому начинающий, вирусописатель представил темной публике свое творение на Visual Basic’е: криптор, обладающий множеством дополнительных функций — на любой вкус. Среди возможностей этого криптора, помимо стандартной упаковки файла, указывалась и функция даунлоудера, и детектирование всех виртуальных сред «новым» методом, и выбор одного из 12 процессов Windows для внедрения своего кода, и защита файлов паролем. Список впечатляет. Специальные «вирусные» опции также представлены клиенту:

Здесь очень много занимательных пунктов, но особенно интересны два последних: это атака на BIOS и затирание разделов дисков. Меня заинтересовало, как же реализованы эти функции. Оказалось, что атака на BIOS представляет собой запись в bat-файл на исполнение операционной системой следующего непревзойденного кода на ассемблере:

К слову сказать, этот код никогда не будет исполняться на машинах предполагаемых жертв из bat-файла. По-видимому, автор просто нашел в сети примеры ассемблерного кода, позволяющего осуществить затирание данных в BIOS, и не удосужился что-либо исправить. Свидетельством этого является присутствие в bat-файле строки ENTER, являющейся в оригинальном примере комментарием к нажатию соответствующей клавиши в командной строке после ввода необходимых инструкций.

Затирание разделов дисков происходит таким же оригинальным способом записи ассемблерного кода в bat-файл.

Молодой ситх, однако, демонстрирует хорошее знание vbs, ведь часть своих вредоносных функций в крипторе он реализует с помощью vbs-скриптов, которые записываются на диск прямо из исходного файла. Вот пример части скрипта, заполняющего дисковое пространство путем создания множества файлов с произвольными данными, с забавными комментариями автора:

Хотя данный скрипт и будет отрабатываться, весь код криптора, безусловно, является подтверждением невысокого профессионализма данного вирусописателя, и в очередной раз наводит на мысль, что не стоит судить о книге по обложке… точнее, о программе по красивому графическому интерфейсу

Авторы

Затейливый криптор

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    Техники, тактики и процедуры атак на промышленные компании

    В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

    Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

    В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

    Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

    В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2023.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике