Sality - Sality
Sality классификация семейства вредоносных программ (вредоносное ПО ), который заражает файлы на Майкрософт Виндоус системы. Sality был впервые обнаружен в 2003 году и с годами превратился в динамическую, устойчивую и полнофункциональную форму вредоносного кода. Системы, зараженные Sality, могут обмениваться данными через пиринговый (P2P) сети, чтобы сформировать ботнет с целью ретрансляции спам, проксирование сообщений, кража конфиденциальных данных, компрометация веб-серверы и / или координация распределенных вычислительных задач с целью обработки интенсивных задач (например, взлом пароля). С 2010 года некоторые варианты Sality также включают использование руткит функционирует как часть продолжающейся эволюции семейства вредоносных программ. Благодаря постоянному развитию и возможностям, Sality считается одной из самых сложных и опасных форм вредоносного ПО на сегодняшний день.
Псевдонимы
Большая часть чего-либо Антивирус При упоминании этого семейства вредоносных программ производители (A / V) используют следующие соглашения об именах:
- Sality
- SalLoad
- Куку
- SaliCode
- Кукачка
Профиль вредоносного ПО
Резюме
Салити - это семья полиморфный файловые инфекторы, которые нацелены на исполняемые файлы Windows с расширениями .ИСПОЛНЯЕМЫЙ ФАЙЛ или .SCR.[1] Sality использует методы полиморфизма и скрытия точки входа (EPO) для заражения файлы используя следующие методы: не менять адрес точки входа хозяин и замену исходного кода хоста в точке входа исполняемого файла на заглушку переменной для перенаправления выполнения на полиморфный вирусный код, который был вставлен в последний раздел файла хоста;[2][3] заглушка расшифровывает и выполняет вторичную область, известную как загрузчик; наконец, загрузчик запускается в отдельном потоке внутри зараженного процесса, чтобы в конечном итоге загрузить полезную нагрузку Sality.[2]
Sality может совершить злонамеренное полезная нагрузка который удаляет файлы с определенными расширения и / или начиная с конкретных струны, завершает связанный с безопасностью процессы и Сервисы, ищет в адресной книге пользователя адреса электронной почты для рассылки спама,[4] и связывается с удаленным хостом. Sality может также загружать дополнительные исполняемые файлы для установки других вредоносных программ и с целью распространения приложений с оплатой за каждую установку. Sality может содержать Троян компоненты; некоторые варианты могут иметь возможность украсть конфиденциальные личные или финансовые данные (например, кражи информации),[5] генерировать и ретранслировать спам, ретранслировать трафик по HTTP прокси, заражать веб-сайты, выполнять задачи распределенных вычислений, такие как взлом пароля, а также другие возможности.[2]
Механизм загрузки Sality загружает и запускает дополнительные вредоносные программы, перечисленные в URL-адреса полученные с помощью однорангового компонента. Распространенное вредоносное ПО может использовать ту же «подпись кода», что и полезные данные Sality, что может указывать на принадлежность к одной группе и / или то, что они разделяют большую часть кода. Дополнительная вредоносная программа обычно обменивается данными с центральными серверами управления (C&C), расположенными по всему миру, и сообщает им. Согласно Symantec, «сочетание механизма заражения файлов и полностью децентрализованной одноранговой сети [...] делает Sality одним из наиболее эффективных и устойчивых вредоносных программ в современном мире угроз».[2]
Две версии ботнет в настоящее время активны, версии 3 и 4. Вредоносные программы, распространяемые в этих ботнетах, с цифровой подписью нападавшими, чтобы предотвратить враждебный захват. В последние годы Sality также использовала методы руткитов для сохранения устойчивости к скомпрометированным системам и уклонения от обнаружений хоста, таких как антивирусное программное обеспечение.[6]
Установка
Sality заражает файлы на зараженном компьютере. В большинстве вариантов используется DLL который сбрасывается один раз на каждом компьютере. Файл DLL записывается на диск в двух формах, например:
- % SYSTEM% wmdrtc32.dll
- % SYSTEM% wmdrtc32.dl_
DLL-файл содержит большую часть вирус код. Файл с расширением ".dl_" является сжатой копией. Последние варианты Sality, такие как Virus: Win32-Sality.AM, не удаляют DLL, а вместо этого загружают ее полностью в объем памяти без записи на диск. Этот вариант, наряду с другими, также дает Водитель со случайным именем файла в папке% SYSTEM% drivers. Другие вредоносные программы также могут сбрасывать Sality на компьютер. Например, вариант Sality, обнаруженный как Virus: Win32-Sality.AU, удаляется червем: Win32-Sality.AU.[1] Некоторые варианты Sality могут также включать руткит, создав устройство с именем Device amsint32 или DosDevices amsint32.[6]
Способ размножения
Файловое заражение
Sality обычно нацелена на все файлы на диске C: с расширениями файлов .SCR или .EXE, начиная с корень папка. Зараженные файлы увеличиваются в разном размере.
Вирус также нацелен на приложения, запускаемые при каждом запуске Windows, и часто используемые приложения, на которые ссылаются следующие ключи реестра:
- HKCU Программное обеспечение Microsoft Windows ShellNoRoam MUICache
- HKCU Software Microsoft Windows CurrentVersion Run
- HKLM Software Microsoft Windows CurrentVersion Run[1]
Sality избегает заражения определенных файлов, чтобы оставаться скрытыми на компьютере:
- Файлы, защищенные средством проверки системных файлов (SFC)
- Файлы в папке% SystemRoot%
- Исполняемые файлы нескольких антивирусов /брандмауэр продукты, игнорируя файлы, содержащие определенные подстроки
Некоторые варианты Sality могут заражать легитимные файлы, которые затем перемещаются в доступные съемные диски и сетевые ресурсы путем перечисления всех общих сетевых папок и ресурсов локального компьютера и всех файлов на диске C: (начиная с корневой папки). Он заражает найденные файлы, добавляя новый раздел кода на хост и вставляя свой вредоносный код во вновь добавленный раздел. Если существует легитимный файл, вредоносная программа скопирует его в Временные файлы папку, а затем заразить файл. Полученный зараженный файл затем перемещается в корень всех доступных съемных дисков и сетевых ресурсов в соответствии с одним из следующих способов:
- <случайное имя файла> .pif
- <случайное имя файла> .exe
- <случайное имя файла> .cmd
Вариант Sality также создает файл autorun.inf в корне всех этих дисков, который указывает на копию вируса. Когда к диску осуществляется доступ с компьютера, поддерживающего Автозапуск После этого вирус запускается автоматически.[1] Некоторые варианты Sality могут также отбрасывать файл с расширением .tmp в обнаруженные общие сетевые ресурсы и ресурсы, а также отбрасывать .LNK файл для запуска сброшенного вируса.[7]
Полезная нагрузка
- Sality может внедрять код в запущенные процессы, установив сообщение[8]
- Sality обычно ищет и пытается удалить файлы, связанные с обновлениями антивируса, и завершает работу приложений безопасности, таких как антивирусные программы и программы персонального брандмауэра; пытается завершить работу приложений безопасности, содержащих те же строки, что и файлы, которые он избегает заражения; а также может прекращать предоставление услуг, связанных с безопасностью, и блокировать доступ к веб-сайтам, связанным с безопасностью, которые содержат определенные подстроки[1][2][3][7][9][10][11][12][13][14][15][16]
- Варианты Sality могут изменять реестр компьютера, чтобы снизить уровень безопасности Windows, отключить использование редактора реестра Windows и / или предотвратить просмотр файлов со скрытыми атрибутами; Некоторые варианты Sality рекурсивно удаляют все значения реестра и данные в подразделах реестра для HKCU System CurrentControlSet Control SafeBoot и HKLM System CurrentControlSet Control SafeBoot, чтобы предотвратить запуск Windows в безопасном режиме.[1][4][7][9][10][17][18][19]
- Некоторые варианты Sality могут украсть конфиденциальную информацию, такую как кэшированные пароли и зарегистрированные нажатия клавиш, которые были введены на зараженном компьютере.[1][12][14]
- Варианты Sality обычно пытаются загрузить и выполнить другие файлы, включая исполняемые файлы с оплатой за каждую установку, используя предварительно настроенный список до 1000 одноранговых узлов; цель P2P-сети состоит в том, чтобы обмениваться списками URL-адресов для передачи функциональности загрузчика; файлы загружаются в папку временных файлов Windows и расшифровываются с помощью одного из нескольких жестко заданных паролей.[1][2][3][5][8][9][10][11][12][13][14][15][17][19][20]
- Большая часть полезной нагрузки Sality выполняется в контексте других процессов, что затрудняет очистку и позволяет вредоносной программе обходить некоторые брандмауэры; чтобы избежать многократных инъекций в одном процессе, общесистемный мьютекс "<имя процесса> .exeM_ <идентификатор процесса> _" создается для каждого процесса, в который вводится код, что предотвращает одновременный запуск нескольких экземпляров в памяти.[1]
- Некоторые варианты Win32-Sality удаляют драйвер со случайным именем файла в папке% SYSTEM% drivers для выполнения аналогичных функций, таких как завершение процессов, связанных с безопасностью, и блокирование доступа к веб-сайтам, связанным с безопасностью, а также могут отключать любые таблица дескрипторов системной службы (SSDT) хуки для предотвращения правильной работы определенного программного обеспечения безопасности[1][2][3][9][10][11][17][19][21][22]
- Некоторые варианты Sality распространяются путем перехода на доступные съемные / удаленные диски и сетевые ресурсы.[1][2][3][7][8][10][11][19]
- Некоторые варианты Sality удаляют файлы .LNK, которые автоматически запускают сброшенный вирус.[7]
- Некоторые варианты Sality могут выполнять поиск адресов электронной почты в адресной книге Outlook и в кэшированных файлах Internet Explorer пользователя для отправки спам-сообщений, а затем рассылает спам-сообщения на основе информации, полученной с удаленного сервера.[4]
- Sality может добавить раздел в файл конфигурации% SystemRoot% system.ini в качестве маркера заражения, связаться с удаленными узлами для подтверждения подключения к Интернету, сообщить о новом заражении своему автору, получить конфигурацию или другие данные, загрузить и выполнить произвольные файлы (включая обновления или дополнительные вредоносные программы), получать инструкции от удаленного злоумышленника и / или загружать данные, взятые с пораженного компьютера; некоторые варианты Sality могут открывать удаленное соединение, позволяя удаленному злоумышленнику загружать и запускать произвольные файлы на зараженном компьютере.[4][8][10][11][12][13][14][15][17][19][20]
- Компьютеры, зараженные последними версиями Sality, такими как Virus: Win32-Sality.AT и Virus: Win32-Sality.AU, подключаются к другим зараженным компьютерам путем присоединения к одноранговой (P2P) сети для получения URL-адресов, указывающих на дополнительные компоненты вредоносного ПО; протокол P2P переходит UDP, все сообщения, которыми обмениваются в сети P2P, зашифрованы, а номер локального порта UDP, используемый для подключения к сети, генерируется как функция имени компьютера.[1]
- Sality может добавить руткит, который включает драйвер с такими возможностями, как завершение процессов через NtTerminateProcess, а также блокирование доступа к выбранным антивирусным ресурсам (например, веб-сайтам поставщиков антивирусных программ) посредством фильтрации IP; последний требует, чтобы драйвер зарегистрировал функцию обратного вызова, которая будет использоваться для определения, следует ли отбрасывать или пересылать пакеты (например, отбрасывать пакеты, если строка содержит имя поставщика антивируса из составленного списка)[6]
Восстановление
Microsoft выявила десятки файлов, которые обычно ассоциируются с вредоносным ПО.[1][4][7][8][9][10][11][12][13][14][15][16][20][21][22][23][24][25][26] Sality использует скрытые меры для поддержания устойчивости системы; таким образом, пользователям может потребоваться ботинок в доверенную среду, чтобы удалить его. Sality также может вносить изменения в конфигурацию, например, в реестр Windows, что затрудняет загрузку, установку и / или обновление защиты от вирусов. Кроме того, поскольку многие варианты Sality пытаются распространиться на доступные съемные / удаленные диски и общие сетевые ресурсы, важно обеспечить, чтобы процесс восстановления полностью обнаруживал и удалял вредоносное ПО из всех и всех известных / возможных мест.
Смотрите также
использованная литература
- ^ а б c d е ж г час я j k л м Центр защиты от вредоносных программ Microsoft (07.08.2010). «Win32-Sality». Microsoft. Архивировано из оригинал на 2013-09-17. Получено 2012-04-22.
- ^ а б c d е ж г час Николя Фальер (03.08.2011). "Sality: история одноранговой вирусной сети" (PDF). Symantec. Получено 2012-01-12.
- ^ а б c d е Анджела Тигпен и Эрик Чьен (20 мая 2010 г.). "W32.Sality". Symantec. Архивировано из оригинал на 2013-10-05. Получено 2012-04-22.
- ^ а б c d е Центр защиты от вредоносных программ Microsoft (29 мая 2009 г.). "Win32-Sality.A". Microsoft. Получено 2012-04-22.
- ^ а б FireEye, Inc (14 февраля 2012 г.). «Отчет о расширенных угрозах FireEye - 2 полугодие 2011 г.» (PDF). FireEye. Архивировано из оригинал (PDF) на 2012-05-22. Получено 2012-04-22.
- ^ а б c Артем Иванович Баранов (15.01.2013). «Анализ руткитов Sality». Архивировано из оригинал на 2013-08-10. Получено 2013-01-19.
- ^ а б c d е ж Центр защиты от вредоносных программ Microsoft (30 июля 2010 г.). "Червь: Win32-Sality.AU". Microsoft. Архивировано из оригинал на 2013-09-27. Получено 2012-04-22.
- ^ а б c d е Центр защиты от вредоносных программ Microsoft (28 апреля 2010 г.). "Вирус: Win32-Sality.G.dll". Microsoft. Получено 2012-04-22.
- ^ а б c d е Центр защиты от вредоносных программ Microsoft (28 июня 2010 г.). "Вирус: Win32-Sality.AH". Microsoft. Получено 2012-04-22.
- ^ а б c d е ж г Центр защиты от вредоносных программ Microsoft (27 августа 2010 г.). "Вирус: Win32-Sality.gen! AT". Microsoft. Получено 2012-04-22.
- ^ а б c d е ж Центр защиты от вредоносных программ Microsoft (21 октября 2010 г.). "Вирус: Win32-Sality.gen! Q". Microsoft. Получено 2012-04-22.
- ^ а б c d е Центр защиты от вредоносных программ Microsoft (2008-07-03). "Вирус: Win32-Sality.R". Microsoft. Архивировано из оригинал на 2014-04-04. Получено 2012-04-22.
- ^ а б c d Центр защиты от вредоносных программ Microsoft (2007-07-07). "Вирус: Win32-Sality.T". Microsoft. Архивировано из оригинал на 2014-04-04. Получено 2012-04-22.
- ^ а б c d е Центр защиты от вредоносных программ Microsoft (2007-07-07). "Вирус: Win32-Sality.AN". Microsoft. Получено 2012-04-22.
- ^ а б c d Центр защиты от вредоносных программ Microsoft (06.03.2009). "Вирус: Win32-Sality.S". Microsoft. Получено 2012-04-22.
- ^ а б Центр защиты от вредоносных программ Microsoft (2008-07-08). «Вирус: Win32-Sality». Microsoft. Архивировано из оригинал на 2012-01-01. Получено 2012-04-22.
- ^ а б c d Центр защиты от вредоносных программ Microsoft (30 июля 2010 г.). "Вирус: Win32-Sality.AU". Microsoft. Архивировано из оригинал на 2013-09-27. Получено 2012-04-22.
- ^ Центр защиты от вредоносных программ Microsoft (30 июля 2010 г.). "TrojanDropper: Win32-Sality.AU". Microsoft. Получено 2012-04-22.
- ^ а б c d е Центр защиты от вредоносных программ Microsoft (26 апреля 2010 г.). "Вирус: Win32-Sality.AT". Microsoft. Архивировано из оригинал на 2014-01-30. Получено 2012-04-22.
- ^ а б c Центр защиты от вредоносных программ Microsoft (16 ноября 2007 г.). "Вирус: Win32-Sality.M". Microsoft. Архивировано из оригинал на 2014-04-05. Получено 2012-04-22.
- ^ а б Центр защиты от вредоносных программ Microsoft (10 августа 2010 г.). «Троян: WinNT-Sality». Microsoft. Архивировано из оригинал на 2013-12-05. Получено 2012-04-22.
- ^ а б Центр защиты от вредоносных программ Microsoft (17 сентября 2010 г.). «ВинНТ-Салити». Microsoft. Получено 2012-04-22.
- ^ Центр защиты от вредоносных программ Microsoft (14 апреля 2010 г.). "Вирус: Win32-Sality.G". Microsoft. Архивировано из оригинал на 2014-04-05. Получено 2012-04-22.
- ^ Центр защиты от вредоносных программ Microsoft (2008-07-08). "Вирус: Win32-Sality.AM". Microsoft. Архивировано из оригинал на 2013-12-09. Получено 2012-04-22.
- ^ Центр защиты от вредоносных программ Microsoft (17 июня 2009 г.). «Вирус: Win32-Sality.gen! P». Microsoft. Получено 2012-04-22.
- ^ Центр защиты от вредоносных программ Microsoft (2 сентября 2009 г.). "Вирус: Win32-Sality.gen". Microsoft. Получено 2012-04-22.