Что такое вирус вин32

Обновлено: 28.03.2024

Windows Server 2008 Datacenter without Hyper-V Windows Server 2008 Enterprise without Hyper-V Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Standard without Hyper-V Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Service Pack 2 Microsoft Windows XP Home Edition Microsoft Windows XP Professional Microsoft Windows XP Service Pack 3 Microsoft Windows XP Home Edition Microsoft Windows XP Professional Еще. Меньше

Поддержка системы Windows Vista с пакетом обновления 1 (SP1) прекратилась 12 июля 2011 г. Чтобы по-прежнему получать обновления для системы безопасности Windows, установите пакет обновления 2 (SP2) для Windows Vista. Дополнительные сведения см. на веб-сайте корпорации Майкрософт по следующему адресу: Заканчивается поддержка некоторых версий Windows.

Аннотация

Дополнительные сведения о вирусе Conficker см. на веб-сайте корпорации Майкрософт по следующему адресу:

Признаки заражения

О заражении компьютера этим червем свидетельствует наличие любого из перечисленных ниже симптомов, однако в некоторых случаях признаки заражения полностью отсутствуют.

Нарушение политик блокировки учетных записей.

Отключение службы автоматического обновления, фоновой интеллектуальной службы передачи (BITS), Защитника Windows и службы регистрации ошибок.

Слишком медленные ответы контроллеров доменов на запросы клиентов.

Недоступность различных веб-сайтов, посвященных вопросам безопасности.

Неработоспособность различных средств обеспечения безопасности. Для получения списка известных средств посетите веб-сайт Майкрософт по приведенному ниже адресу и откройте вкладку Анализ, содержащую сведения о вирусе-черве Win32/Conficker.D. Дополнительные сведения см. на веб-сайте Майкрософт по следующему адресу:

Дополнительные сведения о вирусе-черве Win32/Conficker см. на веб-сайте Центра Майкрософт по защите от вредоносных программ:

Методы распространения

Вирус-червь Win32/Conficker распространяется различными способами. К ним относятся:

использование сетевых папок;

использование функциональных возможностей автозапуска.

Поэтому необходимо соблюдать особую осторожность при очистке сети: опасные файлы не должны повторно заражать уже очищенные системы.

Примечание. Вариант вируса-червя Win32/Conficker.D не заражает съемные носители или общие папки по сети. Червь Win32/Conficker.D устанавливается предыдущими вариантами Win32/Conficker.

Защита

Используйте надежные пароли администратора, уникальные для каждого компьютера.

Не входите на компьютеры с использованием учетных данных администратора домена или учетных данных, предоставляющих доступ ко всем компьютерам.

Убедитесь, что на всех системах установлены последние обновления для системы безопасности.

Удалите чрезмерные права доступа к общим папкам. К ним относятся права на запись в корень общей папки.

Действия по устранению последствий

Блокирование распространения вируса Win32/Conficker с помощью групповой политики

Важно! Перед внесением любых изменений, предлагаемых в этой статье, следует задокументировать все текущие настройки.

Эта процедура не удаляет вредоносную программу Conficker из системы, а позволяет только остановить ее распространение. Чтобы удалить вирус-червь Conficker, необходимо воспользоваться антивирусной программой. Можно также удалить его вручную. Для этого следуйте указаниям, приведенным в разделе Удаление вируса Win32/Conficker вручную.

После изменения разрешений согласно приведенным ниже рекомендациям может оказаться невозможной правильная установка приложений, пакетов обновления или других обновлений. В частности, к ним относятся обновления, устанавливаемые с использованием Центра обновлений Windows, сервера служб Windows Server Update Services (WSUS) и диспетчера System Center Configuration Manager (Configuration Manager 2007), так как работа этих продуктов зависит от компонентов автоматического обновления. После очистки системы необходимо восстановить настройки разрешений по умолчанию.

Создание объекта групповой политики

Создайте объект групповой политики, который будет применяться ко всем компьютерам в определенном подразделении, сайте или домене, в зависимости от требований конкретной среды.

Для этого выполните указанные ниже действия.

Настройте политику на удаление разрешений на запись в следующий подраздел реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Это позволит предотвратить создание в разделе реестра netsvcs вредоносной службы с произвольным именем.

Для этого выполните указанные ниже действия.

Откройте консоль управления групповыми политиками.

Создайте объект групповой политики и присвойте ему произвольное имя.

Откройте созданный объект групповой политики и перейдите в следующую папку:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Реестр

Щелкните правой кнопкой мыши элемент Реестр, а затем выберите команду Добавить раздел.

В диалоговом окне Выбор раздела реестра разверните узел Machine, а затем перейдите в следующую папку:

В появившемся диалоговом окне снимите флажок Полный доступ для группы Администраторы и System.

В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.

Настройте политику для удаления разрешений на запись в папку %windir%\Tasks. Это позволит предотвратить создание вредоносной программой Conficker назначенных задач, которые могут заразить систему повторно.

Для этого выполните указанные ниже действия.

В созданном ранее объекте групповой политики перейдите в следующую папку:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Файловая система

Щелкните правой кнопкой мыши элемент Файловая система, а затем выберите команду Добавить файл.

В диалоговом окне Добавление файла или папки перейдите к папке %windir%\Tasks. Убедитесь, что пункт Задачи выделен и указан в диалоговом окне Папка.

В появившемся диалоговом окне снимите флажки Полный доступ, Изменение и Запись для групп Администраторы и Система.

В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.

Отключите функции автозапуска. Это позволит предотвратить распространение вредоносной программы Conficker через использование функций автозапуска, встроенных в систему Windows.

Примечание. В зависимости от используемой версии Windows для правильного отключения функций автозапуска нужно установить различные обновления.

Чтобы отключить функции автозапуска в системе Windows XP, Windows Server 2003 или Windows 2000, установите обновление для системы безопасности 950582, 967715 или 953252.

Чтобы отключить функции автозапуска, выполните описанные ниже действия.

В созданном ранее объекте групповой политики перейдите в одну из указанных ниже папок.

Для домена под управлением сервера Windows Server 2003:

Конфигурация компьютера\Административные шаблоны\Система

Для домена под управлением сервера Windows Server 2008:

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Политики автозапуска

Откройте политику Отключить автозапуск.

В диалоговом окне Отключить автозапуск установите переключатель Включено.

В раскрывающемся меню выберите пункт Все диски.

Закройте консоль управления групповыми политиками.

Свяжите созданный объект групповой политики с расположением, к которому его необходимо применить.

Подождите, пока параметры групповой политики не будет обновлены на всех компьютерах. Обычно репликация групповой политики на каждый контроллер домена занимает пять минут. Последующая репликация на оставшиеся компьютеры занимает 90 минут. Продолжительность всего процесса не превышает двух часов. Однако в зависимости от среды может потребоваться больше времени.

После распространения параметров групповой политики очистите компьютеры от вредоносной программы.

Для этого выполните указанные ниже действия.

Запустите на всех компьютерах полную антивирусную проверку.

Восстановление

Запустите средство проверки безопасности (Майкрософт).

В Центре Майкрософт по защите от вредоносных программ предлагается обновленное средство проверки безопасности (Майкрософт). Это автономный двоичный файл, который используется для удаления наиболее распространенных вредоносных программ, в том числе вредоносных программ семейства Win32/Conficker.

Примечание. Средство проверки безопасности (Майкрософт) не является антивирусной программой, работающей в режиме реального времени, и не предотвращает повторное заражение.

Загрузить средство проверки безопасности Майкрософт можно на следующем веб-сайте корпорации Майкрософт:

Удаление вируса Win32/Conficker вручную

Описанные действия, выполняемые вручную, следует выполнять только при отсутствии антивирусных программ, позволяющих удалить вирус Conficker.

В зависимости от конкретного варианта червя Win32/Conficker, заразившего компьютер, некоторые значения, упомянутые в этом разделе, могут остаться неизменными.

Для удаления вируса Conficker выполните описанные ниже действия.

Войдите в систему с локальной учетной записью.

Важно! По возможности не входите в систему с учетной записью домена. В частности, не используйте для этого учетную запись администратора домена. Вредоносные программы выдают себя за вошедшего в систему пользователя и получают доступ к сетевым ресурсам, используя учетные данные такого пользователя. Это позволяет вредоносным программам распространяться.

Остановите службу сервера. В результате этого действия общие ресурсы администратора будут удалены из системы, что предотвратит распространение вредоносных программ указанным способом.

Примечание. Службу сервера нужно отключить только временно, чтобы устранить вредоносные программы из среды. Это особенно важно для рабочих серверов, так как данное действие влияет на доступность сетевых ресурсов. Службу сервера можно включить снова, как только среда будет полностью очищена.

Для остановки службы сервера необходимо использовать оснастку консоли управления (MMC) "Службы". Для этого выполните действия, указанные ниже.

В зависимости от системы выполните одно из описанных ниже действий.

В Windows Vista и Windows Server 2008 нажмите кнопку Пуск, введите services.msc в окне Начать поиск, а затем выберите services.msc в списке Программы.

В Windows 2000, Windows XP и Windows Server 2003 нажмите кнопку Пуск, затем Выполнить, введите services.msc и нажмите кнопку ОК.

Дважды щелкните элемент Сервер.

В поле Тип запуска выберите значение Отключено.

Удалите все созданные задания автозапуска. Для этого введите в командной строке команду AT /Delete /Yes.

Остановите службу планировщика заданий.

Для остановки службы планировщика заданий в Windows 2000, Windows XP и Windows Server 2003 необходимо использовать оснастку консоли управления (MMC) "Службы" или средство SC.exe.

Чтобы остановить службу планировщика заданий в Windows Vista или в Windows Server 2008, выполните перечисленные ниже действия.

Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты нужно создать резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

322756Создание резервной копии, редактирование и восстановление реестра Windows XP и Windows Server 2003.

Найдите и щелкните следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

В области сведений щелкните правой кнопкой мыши параметр DWORD Start и выберите команду Изменить.

В поле Значение введите 4 и нажмите кнопку ОК.

Закройте редактор реестра и перезагрузите компьютер.

Примечание. Службу планировщика заданий нужно отключить только на время, необходимое для удаления вредоносных программ. Это особенно важно в системах Windows Vista и Windows Server 2008, поскольку данное действие затрагивает многие встроенные запланированные задания. Сразу же после очистки среды включите службу сервера.

Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт :

Найдите и выберите следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.

Если компьютер заражен вирусом Win32/Conficker, будет указано случайное имя службы.

Примечание. При заражении компьютера вариантом вируса Win32/Conficker.B имя службы будет состоять из случайного набора букв и находиться в нижней части списка. В случае более поздних вариантов вируса имя службы может находиться в любом месте списка и выглядеть менее подозрительно. Если в нижней части списка нет службы со случайным именем, сравните список системы с таблицей служб в этой статье, чтобы установить, какое имя могло быть добавлено вирусом Win32/Conficker. Для подтверждения сравните список в таблице служб со списком на похожей незараженной системе.

Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя.

Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

Примечания к таблице служб

Все записи в таблице представляют действительные службы, за исключением элементов, выделенных полужирным шрифтом.

Элементы, выделенные полужирным шрифтом — это примеры записей, которые вирус Win32/Conficker может добавить в значение netsvcs в разделе реестра SVCHOST.

Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.

В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.

Вредоносная программа Win32/Virlock представляет из себя первый известный на сегодняшний день вымогатель (ransomware), который специализируется на заражении исполняемых файлов, т. е. ведет себя как файловый вирус. Virlock умеет блокировать рабочий стол пользователя с требованием выкупа, шифровать файлы пользователя, а также размножать свое тело как полиморфный вирус.


В некоторых случаях, вымогатель может применить гибридный подход и содержать обе этих возможности, т. е. блокирование доступа к рабочему столу или устройству сопровождается шифрованием файлов на нем. При этом код вредоносной программы будет использовать специальные механизмы для запрещения закрытия появившегося окна. Примером такой вредоносной программы является вымогатель Android/Simplocker.

В октябре мы зафиксировали новый тип такого вредоносного ПО как вымогатель. Вредоносная программа Win32/Virlock могла блокировать рабочий стол пользователя с требованием выкупа, шифровать файлы, а также заражать исполняемый файлы как полиморфный вирус, встраивая в них свой код. Недавно мы обнаружили несколько новых модификаций этого вируса, что указывает на его активное развитие со стороны злоумышленников. Код VirLock демонстрирует высокий уровень технической подготовки авторов этой вредоносной программы.

Win32/Virlock использует особый прием для шифрования файлов. Вместо обычного метода побайтового шифрования всего файла или его начала, такой файл преобразуется в исполняемый и к нему дописывается код Virlock. Вредоносная программа специализируется на компрометации следующих типов файлов: *.exe, *.doc, *.xls, *.zip, *.rar, *.pdf, *.ppt, *.mdb, *.mp3, *.mpg, *.jpg, *.jpg, *.bmp, *.p12, *.cer, *.psd, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.wma, *.jpg, *.jpg. При этом Virlock способен заражать файлы на сетевых дисках и съемных носителях.

При заражении (шифровании) файла, который не является исполняемым, Virlock создает для него новый исполняемый Win32 PE-файл, в который записывается код вируса и зашифрованное содержимое документа. Оригинальный файл удаляется, а на его месте появляется новый с тем же именем и добавленным расширением .exe к имени. При запуске такого файла на исполнение, он расшифровывает оригинальный файл, записывает его в текущую директорию и открывает.

Запуск зараженного Virlock файла сопровождается созданием двух его новых файлов, которые аналогичны оригинальному дропперу, но из-за полиморфизма содержат разный исполняемый код. Один файл создается в директории %userprofile%, а второй в %alluserprofile%. Для обеспечения автозагрузки, вредоносная программа прописывает путь к своему файлу в соответствующем разделе реестра Run обоих разделов HKLM и HKCU. Мы также наблюдали модификации Virlock, которые извлекали из себя третий исполняемый файл. Он регистрировался в качестве сервиса. Эти извлеченные файлы отвечали за дальнейшее заражение файлов в системе.

Часть кода вымогателя ответственна за отображение пользователю экрана блокировки, при этом используя уже ставшие типичными методы самозащиты, в том числе завершение процессов проводника и диспетчера задач.



Рис. Экран блокировки одной из модификаций вредоносной программы.



Рис. Другой вид экрана блокировки. Отображается вкладка оплаты.



Рис. Вкладка с информацией о работе с биткоинами в случае с Канадой.

С технической точки зрения наиболее интересной частью вредоносной программы является механизм заражения файлов и полиморфизм. Полиморфизм Virlock гарантирует уникальность тела вредоносной программы в каждом зараженном файле. Virlock использует несколько слоев шифрования файла.

Исполняемый файл Virlock включает в себя специальный код, который мы называем XOR stub builder. Он располагается в файле в не зашифрованном состоянии. Остальные данные вредоносной программы и ее код, а также данные оригинального файла (в случае, если мы имеем дело не с оригинальным дроппером, а файлом который был заражен) находятся в зашифрованном виде.

Упоминаемый XOR stub builder состоит из восьми блоков кода и используется для генерации инструкций типа XOR, которые будут использоваться для расшифровки данных файла. Один из таких блоков изображен ниже на рисунке.



Рис. Блок кода XOR stub builder.

Блоки кода XOR stub builder являются полиморфными, т. е. различаются от одного зараженного файла к другому. В любом случае, исполнение каждого из них приводит к вычислению определенного двойного слова (DWORD) и его записи по фиксированному смещению в памяти. Эти слова представляют из себя инструкции XOR stub, т. е. заглушки с инструкциями XOR, которые расшифровывают остальную часть файла.

Мы говорили про многоуровневый подход, который Virlock использует при шифровании файла. В такой схеме, XOR заглушка используется для расшифровки небольшого участка кода исполняемого файла (Часть 1). Такой код состоит из нескольких функций. На скриншоте ниже приведен фрагмент кода XOR заглушки. Для расшифровки использовался ключ 0x6B130E06, причем размер расшифровываемой части равен 0x45c.



Рис. Код XOR заглушки. Далее управление передается на расшифрованный блок кода размером 0x45C байт.

Интересной особенностью Virlock является строение его расшифрованного кода (Часть 2). Почти каждая функция в нем зашифрована еще раз и начинается с заглушки, которая расшифровывает код самой функцию. Это существенно осложняет анализ вредоносной программы, поскольку код функций нельзя проанализировать в дизассемблере. Код заглушки достаточно прост и использует алгоритм XOR для расшифровки тела функции. После исполнения функции, ее код в памяти зашифровывается обратно, при этом шифрование производится с использованием нового ключа. Ниже на рисунке показан пример такого кода. Инструкция rdtsc используется для получения ключа шифрования, далее операция XOR применяется для шифрования нескольких переменных и тела функции.



Рис. Код шифрования тела функции после ее исполнения.

Такую особенность вредоносной программы можно назвать полиморфизмом периода исполнения (run-time polymorphism). При запуске нескольких ее копий, дампы памяти исполняемого файла будут различаться.

При расшифровке Части 2, код вредоносной программы также прибегает к применению еще одной процедуры расшифровки. Как мы упоминали, Часть 1, которая расшифрована с использованием XOR stub, расшифровывает остальную часть файла вредоносной программы и содержимое зараженного файла, в случае его присутствия. Процедура расшифровки состоит в применении операции циклического сдвига вправо ROR. Используемый ключ расшифровки жестко зашит в теле вредоносной программы.

Таким образом, Virlock использует трехуровневую схему шифрования:

  • Первая часть (Часть 1) кода вредоносной программы расшифровывается кодом XOR stub, который в свою очередь формируется с помощью XOR stub builder.
  • Вторая часть (Часть 2) кода вредоносной программы расшифровывается с помощью первой части (Часть 1).
  • Каждая функция кода второй части (Часть 2) зашифрована и расшифровывается своей собственной заглушкой, которая расположена в самом начале функции. После исполнения функции, ее код в памяти зашифровывается обратно.

Выполнив все указанные шаги, Virlock записывает сформированный файл, который содержит зашифрованное тело вируса и оригинальные данные файла на диск. Для этого оригинальный файл, который подвергся заражению, перезаписывается. В случае, если зараженный файл не являлся исполняемым PE-файлом, к его имени и существующему расширению дописывается новое расширение .exe.

Наша система телеметрии LiveGrid показывает, что заражению Virlock подверглось небольшое количество пользователей. Их количество не сравнимо с количеством пользователей, которые подверглись заражению TorrentLocker или других подобных ему вымогателей. Тем не менее, анализ транзакций, проведённых по указанному счету Bitcoin, показывает, что некоторые жертвы уже оплатили выкуп злоумышленникам.

00401000>MOV ESI, Virus.004032A8
00401005 MOV ECX, 2D
0040100A>MOV AL, BYTE PTR DS:[ESI]
0040100C XOR AL,3
0040100E MOV BYTE PTR DS:[ESI], AL
00401010 INC ESI
00401011^LOOPD SHORT Virus.0040100A

Данный цикл выполняет расшифровку строковых констант, расположенных по адресу 0х004032A8 размером 0х2D байт. После расшифровки мы получим вот это:

image

image

image

Теперь обратим внимание на следующее место:

004010CD CMP EAX, 1200
004010D2 JE Virus.004011D2

Здесь программа сравнивает свой физический размер с константой 0х1200 и в зависимости от данной операции продолжает своё выполнение различным образом. Размер текущего файла также равен 0х1200. Можно сделать предположение, что данный экземпляр программы представляет собой исходный файл вируса, что впоследствии подтвердится. Смотрим, что выполниться, если же размер файла отличен от 0х1200:

image

Сначала программа создаёт временный файл, а затем расшифровывает некоторую область памяти в следующем цикле:

00401152>MOV AL, BYTE PTR DS:[ESI]
00401154 XOR AL, 3
00401156 MOV BYTE PTR DS:[ESI],AL
00401158 INC ESI
00401159^LOOPD SHORT Virus.00401152

Шифрованием является простой побайтовый XOR. Какую область памяти программа расшифровывает? Этой областью оказывается буфер, в который программа предварительно записала содержание текущего исполняемого файла, причём расшифровка начинается со смещения 0х1200. Вы ещё не догадались что происходит? Смотрим далее – после этого программа записывает расшифрованные данные во временный файл и запускает последний на исполнение, передавая текущие параметры командной строки. Теперь можно с уверенностью сказать, что данная программа самым примитивным образом заражает исполняемые файлы, шифруя их содержимое и сбрасывая полученные зашифрованные данные в оверлей собственного файла, который записывается вместо заражаемой программы. А при запуске вирус расшифровывает оверлей, сохраняет его во временный файл и запускает исходную программу на исполнение. Просто и банально.
Узнаем теперь, что же происходит дальше:

image


Дальше программа запускает ещё один поток и ждёт завершения, как исходной программы, так и созданного потока. Что же происходит в созданном потоке?

image

image

Как и ожидалось это функция рекурсивного обхода папок на диске, которая заражает все найденные исполняемые файлы. Меня здесь заинтересовало два момента. Первый – функция переходит к обработке следующего файла только через 5 секунд из-за задержки WinAPI функцией Sleep. Из этого следует что вирус будет очень-очень медленно перебирать все файлы и все время висеть в списке задач. Ну и следующий код:

004013C6 PUSH Virus.004032D6
004013CB CALL JMP.&KERNEL32.GetSystemTime
004013D0 CMP WORD PTR DS:[4032DC], 0D
004013D8 JNZ SHORT Virus_Wi.004013E6
004013DA PUSH Virus.004031A6
004013DF CALL JMP.&KERNEL32.DeleteFileA

Если сегодня 13 число любого месяца, то функция удаляет все найденный файлы… На этом весь бедный функционал данного вируса и заканчивается.

Выводы: сегодня мы разобрали простой в устройстве и быстрый в написании вирус, создание которого не требует специальных знаний и под силу практически любому начинающему программисту. При этом функционал вируса так же крайне беден. Видно, что у программиста не было никакой тяги к творчеству — всё было нацелено на быстрый результат. Хотя… Я совершенно не могу понять для какой цели данный вирус, вообще, предназначен? Все-таки за 10 лет вредоносное ПО сделало большой шаг в своём развитии.




Neshta — довольно старый файловый вирус, который до сих пор широко распространен. Изначально он был обнаружен в 2003 году и ранее ассоциировался с вредоносным ПО BlackPOS. Он добавляет вредоносный код в зараженные файлы. В основном эта угроза попадает в среду посредством непреднамеренной загрузки или с помощью других вредоносных программ. Он заражает исполняемые файлы Windows и может атаковать сетевые ресурсы и съемные носители.

Технический анализ

В этом разделе описываются симптомы заражения Neshta. Мы взяли образцы вируса закачанные на VirusTotal в 2007, 2008 и 2019.

Мы проанализировали файлы со следующими SHA-256 хэшами:

  • 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
  • 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
  • 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
  • a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
  • 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
  • c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

Статический анализ файла

Код Neshta скомпилирован с помощью Borland Delphi 4.0. Размер файла обычно составляет 41,472 байта.

Как и любой бинарный файл Delphi, Neshta имеет четыре записываемых (DATA, BSS, .idata и .tls) и три разделяемых секции (.rdata, .reloc и .rsrc):



Рисунок 1. Особенности хедеров секций.

Кроме того, код Neshta демонстрирует любопытные строки — см. рисунок 2 ниже:



Рисунок 2: Интересные строки в теле вируса

Заражение файлов

  • %Temp%
  • %SystemRoot% (usually C:\Windows)
  • \PROGRA~1\

Сводка процесса заражения описана ниже и на рисунке 3.

  1. Считывает 41,472 (0xA200) байта с начала целевого исходного файла.
  2. Создает два раздела и выделяет память с атрибутом PAGE_READWRITE в начале и конце исходного файла.
  3. Помещает свой вредоносный заголовок и код в начале исходного файла. Записанные данные составляют 41,472 байта.
  4. Записывает закодированный исходный заголовок и код в файл, размер которого составляет 41,472 байта.

Эти действия позволяют запускать вредоносный код сразу после запуска зараженного файла:



Рисунок 3: Заражение файла

При запуске зараженного файла исходная программа помещается в %Temp%\3582-490\ и запускается с помощью WinExec API.

Устойчивость

Ключ реестра: HKLM\SOFTWARE\Classes\exefile\shell\open\command
Значение реестра: (Default)
Значение: %SystemRoot%\svchost.com "%1" %*
Это изменение реестра предписывает системе запускать Neshta при каждом запуске .exe-файла. "%1" %* указывает на запущенный файл .exe. Кроме того, Neshta создает именованный мьютекс для проверки существования другого работающего экземпляра:

MutexPolesskayaGlush*.*svchost.comexefile\shell\open\command‹À "%1" %*œ‘@

Вредоносные программы на компьютере — одна из самых неприятных вещей, которые могут случиться с вашим ПК. Но врага нужно знать в лицо, поэтому сегодня мы поговорим о вирусе Win32.malware.gen — инфекции, которая принадлежит к троянским коням. В этой статье мы постараемся максимально полностью разобраться с тем, Win32.malware.gen что это за инфекция, как она проникает в компьютер и чем может быть опасна. А также разберемся, как удалить ее так, чтобы она больше не докучала вам.

Win32.malware.gen — что это?


Win32.malware.gen — это злонамеренная компьютерная инфекция. По сути вирус — троянский конь. У него есть некоторые похожие характеристики на другие инфекции, поэтому его можно смело классифицировать как троянский конь. Типичным признаком, который объединяет всех “троянов” — то, что он может доставить неприятности, которые связаны в одно время и с работой ПК или ноутбука, и с личной информацией пользователя компьютера. Также очень опасно в троянских конях то, что их присутствие часто остается незамеченным для пользователя, если тот не проводит постоянную проверку с помощью антивирусника. И, действуя незаметно, он может причинять вред компьютеру, разлаживать всю систему, сливать файлы, и всячески вредить компьютеру и вам.

Что такое троянские кони?

Троянские кони — это общее название для множества вирусов, которые проходят в ваш компьютер незамеченными с какими-то другими программами или другими путями. Такое название инфекции получили за то, что для того, чтобы проникнуть в ваш компьютер, они используют нечестные и зловредные техники. Часто это — использования слабых сторон и так называемых брешей в броне вашей защитной программы на компьютере или через слабое место в операционной системе в целом.

Для того, чтобы лучше разобраться в теме компьютерных вирусов, мы советуем вам прочитать нашу статью о том, как происходит заражение вирусами. Это поможет вам избежать многих проблем с компьютером в дальнейшем.

В основном бреши появляются тогда, когда пользователь не проходит через процесс обновления программ для защиты компьютера или использует пиратские версии антивирусников, которые априори слабее, чем обычные.


Кроме того, что троянские кони для проникновения в систему используют бреши, они также часто проникают на компьютер вместе с программами и приложениями, которые вы качаете в интернете неофициально — с чатов, торрентов и других ненадежных ресурсов. Однако даже если вы ничего не скачиваете и вовремя обновляете свою лицензионную систему защиты, инфекция может проникнуть на ваш компьютер в виде автоматической загрузки ссылки на ненадежном сайте, которая активизируется тогда, когда вы на него заходите. Также часто ссылку для загрузки вредоносной программы присылают по почте в виде спама и многие пользователи по незнанию кликают на нее и скачивают себе на ПК или ноутбук опасный вирус. Также ее вам может просто принести знакомый на флешке, сам об этом не подозревая. Вот поэтому стоит всегда проводить проверку антивирусником любого незнакомого записывающего устройства прежде, чем открыть его.

Злоумышленники очень изобретательны в вопросах того, каким образом “подсунуть” вам вредоносную программу, поэтому для того, чтобы не скачать на компьютер Win32.malware.gen и не передать ее случайно другому человеку.

Почему инфекция вредоносна?

Особенностью зловредной работы троянских коней является то, что сразу после загрузки они не начинают действовать. Поэтому пользователь может очень долго не знать о заражении вирусом, если не проводит тщательную и своевременную проверку всех систем компьютера с помощью антивирусника.

Сразу после того, как троянский конь был скачан на ваш компьютер, он посылает с помощью интернета сигнал удаленному серверу и получает указания от него о том, какую информацию ему нужно собирать в данный момент. Кроме того, он как будто открывает дверь для других вирусов и инфекций на вашем компьютере, поэтому чаще всего троянский конь при проверке оказывается не единственным вирусом. С ним находят еще штук пять тех, кого он “пустил” в систему.

Очень опасным является то, что Win32.malware.gen может привести с собой вирусы, которые пока не знакомы вашей защитной системе и от которых она не сможет избавиться.

Какие проблемы создает Win32.malware.gen?

Несмотря на то, что пользователь может даже не знать о том, что его компьютер заражен опасным компьютерным вирусом, троянский конь может работать незаметно для пользователя и на заднем плане очень сильно вредить нормальной работе компьютера. Такой скрытный метод работы придуман специально для того, чтобы взломщики могли получить информацию с зараженного компьютера и пользоваться данными о кредитных картах и платежах, собирать личную информацию с документов, узнавать пароли от сайтов и почты, а также конфиденциальную информацию.


Кроме того, если вы храните на компьютере онлайн-валюту, то такой вирус может украсть ее у вас и передать злоумышленникам. Иногда хакеры с помощью инфекций могут следить за всем, что пользователь делает за компьютером, используя такие программы как Keylogger. Преступники таким образом получают всю информацию и любые данные. Даже те, которые вы стараетесь защитить особенно тщательно. Троянский вирус может даже превратить ваш компьютер в один из аппаратов, с помощью которого хакеры воплощают свои преступные планы.

Кроме того, если на вашем компьютере есть Win32.malware.gen, то определенная информация с вашего компьютера может быть уже украдена или изменена. Так, можно определить то, что на компьютере есть вирусы, по косвенным признакам. К ним относятся такие:

  1. Если вы заметили, что есть изменения в записях в реестре компьютера.
  2. Если вы замечаете постоянные проблемы в работе аппарата, но при этом с самим “железом” все хорошо.
  3. Если вы не можете запустить некоторые программы или открыть файлы. Особенно это касается лицензионных программ.
  4. Если программы, которыми вы пользуетесь чаще всего, вдруг перестают отвечать, постоянно выбивают, из памяти программ исчезают записи, которые вы там делали.
  5. Если ваш антивирусник не работает, перестает нормально анализировать состояние компьютера.
  6. Если вы не можете зайти в интернет или интернет-соединение перестает быть стабильным и быстрым. Даже если у вас хороший пакет, вы не сможете скачать что-то из-за низкой скорости или загрузить видео на хостинге.
  7. Вирус может мешать вам зайти на некоторые сайты.

Если компьютер уже заражен этим вирусом, то он будет очень сильно портить вам жизнь и может причинить реальный вред. Если даже хакер не будет воровать ваши данные о картах или не будет собирать личную информацию, то все-равно троянский конь может привести к серьезным срывам в работе, довести даже до смерти компьютера или просто стереть с компьютера всю информацию, которая там содержалась. Даже с диска D.


Как удалить Win32.malware.gen?

Если вы с помощью проверки антивирусом обнаружили, что у вас на компьютере появился вирус и это Win32.malware.gen, то его необходимо правильно и достаточно быстро удалить для того, чтобы минимизировать ущерб, который он наносит. Действительно вредоносный компьютерный злоумышленник.

Если вы только подозреваете, что у вас на компьютере есть троянский конь, который портит вам файлы и мешает работать, то проверьте антивирусом. Есть много бесплатных лицензионных программ, которые помогут вам обнаружить вредоносный файл. Так что если вы не установили себе антивирусник — сделайте это как можно скорее.


Самый лучший способ удалить вредоносный файл — сделать это через антивирусник, с помощью которого вы и нашли его. Программа часто предлагает вылечить зараженный файл, но мы советуем этого не делать, так как лечение может оказаться неэффективным. В результате этого антивирусник будет думать, что у вас на компьютере все хорошо и файл вылечен, а на самом деле там будет орудовать троян. Так что лучше удалить все файлы, которые программа идентифицировала как зараженные.

Помните о том, что если это троянский конь, то зараженных файлов может быть очень много, так что без сожаления удаляйте все — это единственный способ полностью оградиться от вируса и сделать ущерб минимальным.

В будущем вы должны избегать скачивания файлов с незнакомых сайтов. Также не стоит переходить по незнакомым и подозрительным ссылкам, которые вам присылают по почте или в социальных сетях. Кроме того, нужно установить хороший и надежный лицензионный антивирусник. И ответственно относиться к тому, чтобы проводить постоянные проверки и вовремя лечить или удалять файлы, которые, по мнению антивирусной программы, являются вредоносными или опасными.


Выводы

Как стало понятно из этой статьи Win32.malware.gen — это очень опасный троянский конь, который может не только навредить работе компьютера, но и навредить вам, ведь вирус может слить в руки недоброжелателей личные фото и папки, данные о платежах, пароли от ящиков и кредитных карт, вашу больничную карту и так далее. Поэтому мы советуем вам делать все для того, чтобы вирус не проник в ваш компьютер: установить хороший надежный антивирусник и раз в неделю или хотя бы в две недели проводить проверку на вирусы. Также не помешают обычные правила “сетевой гигиены” — не переходить по подозрительным ссылкам, которые вам отправляют по почте или в социальных сетях, не скачивать программы с непроверенных ресурсов, меньше пользоваться торрентом и не искать информацию сомнительного типа.

Если же вы все-таки столкнулись с такой проблемой, то, надеемся, благодаря нашим советам, вы быстро удалили вредный файл и ваш компьютер не успел сильно пострадать от действий троянского коня.

Читайте также: