Penetrator (malware)
Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den
version , der blev gennemgået den 16. maj 2015; checks kræver
25 redigeringer .
| Penetrator eller "Penetrator" |
|---|
| Fulde navn (Kaspersky) |
Trojan-Downloader.Win32.VB.bnp |
| Type |
Trojan |
| År for optræden |
2007 |
| Software brugt |
EXE ,
bootbar |
| Symantec beskrivelse |
Penetrator (fra engelsk penetrate - "introducere") er et trojansk program skabt af den russiske studerende Dmitry Uvarov [1] . Trojaneren blev skrevet i Visual Basic og var beregnet til Windows -operativsystemer med en x86-processor . Injicerer sig selv i operativsystemet og udfører destruktive handlinger på .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip natten til den første januar [2] .
Baggrund
Den nøjagtige dato for fremkomsten af trojaneren er ukendt. Det antages, at han dukkede op i marts 2007 . De første rapporter om malware begyndte at dukke op i efteråret [2] . Samtidig dukkede en legende op om, at den russiske programmør besluttede at hævne sig på pigen, der afviste ham, og sammen med hele den digitale verden [3] .
Den første bølge af den trojanske epidemi fandt sted den 1. januar 2008 . Ikke kun personlige computere blev inficeret, men også virksomhedsnetværk og offentlige myndigheder. Flere tusinde computere i Amur-regionen blev beskadiget . Den anden bølge fandt sted den 1. januar 2009 . Denne trojaner blev fundet på computere fra det regionale skattetilsyn og anklagemyndigheden [4] .
Den 18. januar 2008 blev en 20-årig ung mand tilbageholdt i Kaliningrad, som blev anklaget for at lave dette program [4] . Dmitry Uvarov indrømmede fuldt ud sin skyld, hjalp efterforskningen, og som et resultat blev han idømt en bøde på 3.000 rubler [1] .
Karakteristika
Trojaneren distribueres ved hjælp af filen flash.scr (117248 bytes, oprettet den 08/04/2003 9:00:00 AM), og forklædt derved sig selv som et pauseskærmsprogram . Der har også været isolerede tilfælde, hvor den var forklædt som en mp3 -fil .
Når den eksekverbare fil startes, introduceres trojaneren i mappen "\Documents and Settings\All Users\Documents\" af filen Documents.scr , for operativsystemet Windows XP , efter at være blevet introduceret i RAM'en og i opstartssektion. Filinfektion starter først den 1. januar.
Den 1. januar aktiveres trojaneren:
- i mappen \WINDOWS\system32\ opretter en mappe DETER177 ;
- i mappen \WINDOWS\system32\DETER177\ opretter en skjult fil lsass.exe (117248 bytes; i modsætning til den rigtige lsass.exe placeret i mappen \WINDOWS\system32 );
- i mappen \WINDOWS\system32\DETER177\ opretter en skjult smss.exe -fil (117248 bytes; i modsætning til den rigtige smss.exe placeret i mappen \WINDOWS\system32 );
- i mappen \WINDOWS\system32\DETER177\ opretter en skjult fil svchost.exe (117248 bytes; bogstaverne "c" og "o" er kyrilliske, i modsætning til den rigtige svchost.exe );
- i mappen \WINDOWS\system32\ opretter en skjult fil AHTOMSYS19.exe (117248 bytes);
- i mappen \WINDOWS\system32\ opretter en skjult fil ctfmon.exe (117248 bytes; bogstaverne "c" og "o" er kyrilliske, i modsætning til den rigtige ctfmon.exe);
- i mappen \WINDOWS\system32\ opretter en skjult fil psador18.dll (32 bytes);
- i mappen \WINDOWS\system32\ opretter en skjult psagor18.sys -fil (117248 bytes);
- filerne АHTOMSYS19.exe , \WINDOWS\system32\DETER177\lsass.exe og \WINDOWS\system32\stfmon.exe indlæses automatisk og er konstant til stede i RAM ;
- trojanerens ødelæggende handling er rettet mod .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls , .zip filer ;
- alle .jpg-filer (.jpg, .jpeg) erstattes af et bmp-billede under skallen .jpg med størrelse 69x15 pixels, 3174 bytes med en stiliseret inskription Penetrator . Filerne .bmp, .png, .tiff berøres ikke af trojaneren;
- indholdet af .doc- og .xls-filerne erstattes med en uanstændig tekstbesked (størrelsen af disse filer bliver 196 bytes - alt efter mængden af tekstbeskeden);
- trojaneren opretter en Burn-mappe med CDburn.exe- og autorun.inf-filer (mappeplacering: Windows XP - \Documents and Settings\<Brugernavn>\Local Settings\Application Data\Microsoft\Windows ; Windows Vista og Windows 7 - \Users\ Master\ AppData\Local\Microsoft\Windows\Burn );
- i hver mappe (inklusive undermapper) på disken, hvorpå flash.scr-filen blev lanceret, opretter trojaneren sine kopier af <mappenavn>.scr (117248 bytes); derefter destruerer flash.scr-filen på denne disk (som allerede er inficeret) som regel selv, og efterlader en skjult trojansk fil (uden navn) med .scr-udvidelsen i diskenes rodmapper;
- når du åbner/tilslutter lokale/flytbare drev, kopieres trojaneren til uinficerede medier;
- foretager et skjult kald til følgende system-dll-biblioteker: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT. DLL .
Trojaneren er forklædt i systemet som følger:
- Skjuler visningen af "skjulte filer og mapper"
- Skjuler visningen af filtypenavne
- Gør menupunktet "Mappeindstillinger" utilgængeligt
- Forhindrer 'registry editor' i at starte
- Blokerer antivirusinstallation
- Blokerer systemopsætningsværktøjer i at køre
- Justerer registreringsdatabasenøgler, så flash.scr -filen ligner en almindelig mappe
Trojanske genkendelse af antivirus
Forskellige antivirus genkender det forskelligt:
Noter
- ↑ 1 2 Forfatteren til "Penetrator"-virussen slap med en bøde . Hentet 28. november 2012. Arkiveret fra originalen 13. november 2014. (ubestemt)
- ↑ 1 2 Hvordan ødelægger man Penetrator-virussen? (utilgængeligt link)
- ↑ Hvordan håndterer man Penetrator-virussen? . Dato for adgang: 28. november 2012. Arkiveret fra originalen 22. august 2012. (ubestemt)
- ↑ 1 2 Forfatteren til Amur-virussen blev fanget i Kaliningrad . Hentet 28. november 2012. Arkiveret fra originalen 2. oktober 2011. (ubestemt)
Links