1. Trang chủ
  2. » Công Nghệ Thông Tin

Tìm hiểu về mẫu Virus.Win32.Sality.ag ppt

16 375 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 16
Dung lượng 192,1 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Những loại virus như thế này thường có cơ chế tự tái tạo các nguồn tài nguyên trên máy tính bị lây nhiễm, không giống như worm, các loại virus không sử dụng và khai thác các dịch vụ mạng

Trang 1

Tìm hiểu về mẫu Virus.Win32.Sality.ag

Trang 2

Những loại virus như thế này thường có cơ chế tự tái tạo các nguồn tài nguyên trên máy tính bị lây nhiễm, không giống như worm, các loại virus không sử dụng và khai thác các dịch vụ mạng để tự nhân bản và lây lan sang các máy tính khác 1 bản sao hoàn chỉnh của virus sẽ tự động

“mò” tới các máy tính nếu đối tượng bị lây nhiễm được xác định theo 1 trong các cách sau – với vài lí do hoặc nguyên nhân không hề liên quan đến các chức năng hoạt động của virus đó Ví dụ như:

- Khi đang tiến hành lây nhiễm vào 1 hoặc nhiều ổ đĩa có thể truy cập được, virus sẽ xâm nhập vào 1 hoặc nhiều file cố định trên hệ thống

- Chúng có thể tự sao chép chính bản thân vào những thiết bị lưu trữ di động

- Khi người sử dụng gửi đi 1 hoặc nhiều email với những file đính kèm đã bị nhiễm virus

Virus.Win32.Sality.ag (theo cách đặt tên của Kaspersky) còn được biết đến dưới những dạng như sau:

- Trojan.Win32.Vilsel.vyz (cũng theo Kaspersky Lab)

- W32/Sality.aa (Panda)

- Virus:Win32/Sality.AT (MS(OneCare))

Trang 3

- Win32/Sality.NBA virus (Nod32)

- Win32.Sality.3 (BitDef7)

- Win32.Sality.BK (VirusBuster)

- W32/Sality.AG (AVIRA)

- W32/Sality.BD (Norman)

- Virus.Win32.Sality.ag [AVP] (FSecure)

- PE_SALITY.BA (TrendMicro)

- Virus.Win32.Sality.at (v) (Sunbelt)

- Win32.Sality.BK (VirusBusterBeta)

Mẫu virus này được phát hiện vào ngày 7/4/2010 lúc 08:21 GMT, hoạt động vào ngày hôm sau – 8/4/2010 lúc 09:40 GMT, những thông tin phân tích được chính thức công bố cùng ngày – 8/4/2010 tại thời điểm 13:13 GMT

Phân tích chi tiết về mặt kỹ thuật

Những chương trình độc hại như này thường xuyên lây nhiễm, “bám” vào các file thực thi trên máy tính bị lây nhiễm Chúng còn có thêm chức năng tự động tải và kích hoạt thêm các chương trình nguy hiểm khác trên máy tính của nạn nhân mà họ không hề biết Và về bản chất, chúng là những file

Windows PE EXE, được viết bằng ngôn ngữ C++

Trang 4

Khi được kích hoạt, những chương trình này tự động “trích xuất” 1 hoặc nhiều file từ chính chúng và lưu tại các thư mục hệ thống của Windows với nhiều tên gọi khác nhau:

%System%\drivers\<rnd>.sys

với <rnd> là chuỗi ký tự Latin thường ngẫu nhiên được tạo ra, ví dụ như INDSNN Những file dạng này thường là driver kernel mode của 5157 byte

Và theo Kaspersky Anti-Virus chúng được xếp vào lớp

Virus.Win32.Sality.ag

Các driver được giải nén, cài đặt và kích hoạt thành 1 dịch vụ của Windows được gọi là amsint32

Quá trình lây nhiễm

Về bản chất, chúng được tạo ra để lây nhiễm vào tất cả các file thực thi của Windows với đuôi mở rộng dạng *.EXE và *.SCR Nhưng chỉ những file chứa những section trong phần PE header bị lây nhiễm: TEXT, UPX và CODE

Trang 5

Khi lây nhiễm thành công vào file PE, virus sẽ kế thừa các section cuối cùng trong file và copy phần thân tới phần cuối của section Sau đó, chúng sẽ lây lan tới khắp mọi nơi trên ổ cứng và tiếp tục tìm thêm file để lây nhiễm Và khi những file lây nhiễm này được kích hoạt, chúng sẽ lập tức copy phần thân của file nguyên bản vào 1 thư mục tạm được tạo ra với tên sau:

%Temp%\ Rar\.exe

Để chắc chắn rằng chúng tự động kích hoạt khi hệ thống khởi động, chúng sẽ

tự copy bản thân chúng tới tất cả các phân vung logical với những tên ngẫu nhiên và phần mở rộng trong danh sách sau: *.exe, *.pif và *.cmd Đồng thời, chúng tạo tiếp các file ẩn trong thư mục gốc của những ổ đĩa này:

:\autorun.inf – tại đây những doạn mã, câu lệnh để kích hoạt các file mã độc được lưu trữ Hoặc khi người dùng mở Windows Explorer thì những virus này cũng sẽ được kích hoạt

Phương thức Payload

Một khi hoạt động, chúng sẽ tạo ra các thông số nhận diện thống nhất được gọi là Ap1mutx7 để đánh dấu sự hiện diện của chúng trong hệ thống Và sau

đó, chúng sẽ tiếp tục tải dữ liệu từ những địa chỉ sau:

Trang 6

http://*******nc.sa.funpic.de/images/logos.gif

http://www.*********ccorini.com/images/logos.gif

http://www.********gelsmagazine.com/images/logos.gif

http://www.********ukanadolu.com/images/logos.gif

http://******vdar.com/logos_s.gif

http://www.****r-adv.com/gallery/Fusion/images/logos.gif

http://********67.154/testo5/

http://*********stnet777.info/home.gif

http://*******stnet888.info/home.gif

http://***********net987.info/home.gif

http://www.**********wieluoi.info/

http://**********et777888.info/

http://********7638dfqwieuoi888.info/

Những file này sẽ được lưu vào thư mục %Temp% và tự động kích hoạt Tại thời điểm này, những mẫu sau sẽ được tải về hệ thống từ những đường dẫn liệt kê bên trên:

Trang 7

- Backdoor.Win32.Mazben.ah

- Backdoor.Win32.Mazben.ax

- Trojan.Win32.Agent.didu

Những mẫu trên được tạo ra chủ yếu để spam, phát tán thư rác Ngoài nhiệm

vụ tải thêm các malware độc hại khác, những virus trên còn có thể chỉnh sửa lại các thông số hệ thống của Windows, chẳng hạn như:

- Khóa chức năng hoạt động của Task Manager, từ chối chỉnh sửa Registry bằng cách thay đổi khóa sau:

[HKÑU\Software\Microsoft\Windows\CurrentVersion\Policies\system]

"DisableRegistryTools"=dword:00000001

"DisableTaskMgr"=dword:00000001

- Thay đổi các thiết lập của Windows Security Center bằng cách can thiệp và Registry theo cách sau:

[HKLM\SOFTWARE\Microsoft\Security Center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001

Trang 8

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]

"AntiVirusDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

- Các file ẩn sẽ không thể bị hiển thị bằng cách thêm các tham số sau vào Registry:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\

Advanced]

"Hidden"=dword:00000002

Thay đổi các lựa chọn trong các trình duyệt mặc định luôn luôn kích hoạt chế

độ online:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

"GlobalUserOffline"=dword:00000000

Trang 9

Tắt bỏ chức năng UAC (User Account Control) bằng cách thay đổi thông số

EnableLUA trong Registry thành 0:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]

"EnableLUA"=dword:00000000

- Tự gán chính chúng vào danh sách ứng dụng an toàn của Windows firewall

để được phép truy cập Internet và mạng hệ thống:

[HKLM\System\CurrentControlSet\Services\SharedAccess\

Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"<the path to the virus’s original file>"

= "<the path to the virus’s original file>:*:Enabled:ipsec"

- Tạo tiếp khóa registry để lưu trữ dữ liệu:

HKCU\Software\<rnd>

Tại đây <rnd> là giá trị tùy biến

- Tiếp tục, chúng sẽ tìm kiếm file:

%WinDir%\system.ini

và gán những giá trị bản ghi sau vào file đó:

Trang 10

[MCIDRV_VER]

DEVICEMB=509102504668 (any arbitrary number)

- Đồng thời, chúng xóa đi những khóa sau để làm cho máy tính không thể khởi động được bằng chế độ Safe Mode:

HKLM\System\CurrentControlSet\Control\SafeBoot

HKCU\System\CurrentControlSet\Control\SafeBoot

- Xóa tất cả những file *.exe và *.rar tại thư mục tạm của tất cả các tài khoản

người dùng: %Temp%\

- Tiếp tục tìm và xóa những file với định dạng: *.VDB, *.KEY, *.AVC và

*.drw

mặt khác, chúng sử dụng những drive đã được giải nén trước đó để chặn tất

cả những yêu cầu kết nối tới những domain có chứa nhưng chuỗi ký tự sau:

upload_virus

sality-remov

virusinfo

cureit

bitdefender

pandasoftware

agnmitum

virustotal

Trang 11

drweb

onlinescan

spywareinfo

ewido

virusscan

windowsecurity s

pywareguide

sophos

trendmicro

etrust.com symantec

mcafee

f-secure

eset.com kaspersky

- Ngắt hoạt động và xóa các dịch vụ sau:

Agnitum

Client

Security

Service

ALG Amon

monitor

aswUpdSv

aswMon2

Premium WebGuar

d Avira AntiVir Premium MailGuar

d

Update Monitor fsbwsysFSDFW

D F-Secure Gatekeeper Handler Starter FSMA

Google Online

PersonalFirewal PREVSRV ProtoPort Firewall service PSIMSVC

RapApp SmcService SNDSrvc SPBBCSvc

Trang 12

aswRdr

aswSP

aswTdi

aswFsBlk

acssrv

AV Engine

avast!

iAVS4

Control

Service

avast!

Antivirus

avast! Mail

Scanner

avast! Web

Scanner

avast!

Asynchrono

avp1 BackWeb Plug-in -

4476822 bdss BGLiveS

vc BlackICE CAISafe ccEvtMgr ccProxy ccSetMgr COMOD

O Firewall Pro Sandbox Driver

Services InoRPC InoRT InoTask ISSVC KPF4 KLIF LavasoftFirewall LIVESRV

McAfeeFramew ork

McShield McTaskManager navapsvc

NOD32krn NPFMntor NSCService Outpost Firewall

SpIDer FS Monitor for Windows

NT SpIDer Guard File System Monitor

SPIDERNT Symantec Core LC Symantec Password Validation Symantec AntiVirus Definition Watcher

SavRoam Symantec AntiVirus Tmntsrv

TmPfw tmproxy tcpsr UmxAgent UmxCfg UmxLU

Trang 13

us Virus

Monitor

avast! Self

Protection

AVG E-mail

Scanner

Avira

AntiVir

Premium

Guard

Avira

AntiVir

cmdGuar

d cmdAgent Eset

Service Eset HTTP Server Eset Personal Firewall F-Prot Antivirus

main module OutpostFirewall PAVFIRES PAVFNSVR PavProt

PavPrSrv PAVSRV PcCtlCom

UmxPol vsmon VSSERV WebrootDesktopFirewallDataSer vice

WebrootFirewall XCOMM

AVP

- Đồng thời, chúng cũng có thể ngăn chặn các tiến trình quét và nhận dạng của các chương trình bảo mật hoặc các công cụ hỗ trợ phổ biến hiện nay

Các cách ngăn chặn và xóa bỏ virus

Trang 14

Nếu máy tính bạn đang dùng không có chương trình bảo mật đủ mạnh, hoặc không cập nhật cơ sở dữ liệu cho ứng dụng thì nguy cơ bị ảnh hưởng là rất cao Bạn hãy sử dụng những mẹo sau để giữ an toàn cho hệ thống:

- Sử dụng các sản phẩm của Kaspersky tại đây hoặc đây, đồng thời luôn cập nhật đầy đủ cho Kaspersky Tuy nhiên, người sử dụng hầu như không thể xóa được toàn bộ tất cả các file đã bị lây nhiễm, bởi vì chúng “bám” vào hầu hết các file thực thi (dạng *.exe) của Windows, do đó hãy sử dụng thêm công cụ

Sality Killer

- Khôi phục lại các khóa Registry đã bị sửa trước đó:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]

"EnableLUA" = dword:00000000

[HKLM\SOFTWARE\Microsoft\Security Center]

"AntiVirusOverride"=dword:00000000

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]

Trang 15

"AntiVirusDisableNotify"=dword:00000000

"AntiVirusOverride"=dword:00000000

"FirewallDisableNotify"=dword:00000000

"FirewallOverride"=dword:00000000

"UacDisableNotify"=dword:00000000

"UpdatesDisableNotify"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000002

- Xóa các khóa sau trong Registry:

[HKÑU\Software\Microsoft\Windows\CurrentVersion\Policies\system]

"DisableRegistryTools"

"DisableTaskMgr"

[HKCU\Software\Microsoft\Windows\CurrentVersion\

Internet Settings] "GlobalUserOffline"

- Xóa toàn bộ các file trong thư mục tạm bao gồm Temp và %Temp%

Trang 16

- Chỉ sử dụng các phần mềm bảo mật của các hãng có uy tín, khuyến khích các bạn nên mua bản quyền chính thức của ứng dụng – để đảm bảo các quyền lợi và nhận được sự hỗ trợ trực tiếp từ phía nhà sản xuất Các bạn có thể tham khảo về chương trình bảo mật tại đây

Ngày đăng: 28/06/2014, 18:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w