Студопедия
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
|
Обнаружение вируса и устранение последствий его влияния
УФИМСКИЙ КОЛЛЕДЖ РАДИОЭЛЕКТРОНИКИ, ТЕЛЕКОММУНИКАЦИЙ И БЕЗОПАСНОСТИ
Практическая работа № 4-5
Обнаружение вируса и устранение последствий его влияния
Выполнили:
ст. гр. 9ПКС-51-13
Мор И.С.
Шамсутдинов Р.Р.
Насыров А.З.
Гафиуллин Р.Р.
Уфа-2017
Цель работы: изучение методов обнаружения вирусов и методов удаления последствий заражения вирусами с использованием антивирусной утилиты AVZ.
| Категории вредоносных программ
| Наименование и описание вируса
| Видимые проявления
| | Adware и SpyWare
| Adware.Win32.Look2me наиболее "знаменит" тем, что это один из наиболее сложноудаляемыхAdWare.
Файлы Adware.Look2me размещаются в папке System32 и имеют имена типа lvlm0931e.dll, sMfrcdlg.dll, azam0931e.dll, noxpnt.dll, guard.tmp ... - имена файлов изменяются после каждой перезагрузки, что затрудняет их удаление при помощи отложенного удаления и делает невозможным поиск файлов по характерным именам. Исключение из этого правила - файл с именем guard.tmp, который по статистике встречается чаще всего.
| 1.В теле принадлежащих Adware.Look2me DLL открытым текстом видны строки "Look2Me" и "http://www.ad-w-a-r-e.com/eula.html". Файлы имеют атрибуты "системный" и "только чтение", зарегистрированы как расширение Winlogon и Explorer.
2.Постоянные обращения процесса winlogon.exe к ключу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify (может быть обнаружено утилитой RegMon).
| | Backdoor
| Backdoor.Win32.Small.ls Состоит из инсталлятора-дроппера размером 58 кб и BHO размером 45 кб
Процесс wininet.exe скрытно обменивается с сайтом в Интернет (URL жестко задан в теле трояна), загружает файл ips.txt с набором IP адресов. После этого он открывает на прослушивание порт TCP (номер порта меняется при каждом запуске), затем повторно связывается с сайтом и передает номер открытого порта и версию ОС.
| В случае запуска скрытно выполняет следующие операции: 1. Создает копию своего исполняемого файла под именем WINDOWS\system32\wininet.exe 2. Создает на диске файл WINDOWS\system32\svshost.dll размером 2.5 кб 3. Регистрирует в автозапуске ShellServiceObjectDelayLoad\SysRun объект с CLSID {D7FFD784-5276-42D1-887B-00267870A4C7} 4. Регистрирует класс с {D7FFD784-5276-42D1-887B-00267870A4C7}, исполняемый файл WINDOWS\system32\svshost.dll 5. Запускает WINDOWS\system32\wininet.exe и завершает работу
|
| Hoax
| 1. Hoax.Win32.GoldFake.a
ДанныйHoaxмаскируетсяпод "E-GoldServicePackInstallation". Написан на Basic, для его работы на компьютере требуется наличие MSVBVM60.DLL.
2) Hoax.Win32.Renos.a-b ФайлданногоHoaxименуетсяwinlogon.exe, размер - 24064 байта, ничемнесжат
3) Hoax.Win32.Avgold является типовым представителем семейства Hoax Данный "зверь" состоит из единственного файла, который размещается в папке System32 и именую себя hookdump.exe. Размер файла - 36864 байта, он ничем не упакован. В момент запуска он копирует себя в System32\hookdump.exe и прописывается в автозапуске. 4) Hoax.Win32.SpyWare.b Состоит из инсталлятора-дроппера размером 58 кб и BHO размером 45 кб
5) Hoax.Win32.Renos.fl
6) Hoax.Win32.Fera.i
| 1) Содержит картинку, которая отображается на его форме и имитирует внешний вид ПО для E-Gold. При нажатии кнопки "Install" имитирует процесс инсталляции, отображая прогресс-интдикатор. В ходе этого "процесса" не производится ровным счетом ничего, кроме перемещения ползунка на прогресс-индикаторе.
2) В момент запуска проводит скрытный обен с сервером 69.50.166.196-custblock.intercage.com, откуда качает и инсталлирует программу SpywareNo объемом около 900 кб и прописывает ее в автозапуск. После этого Hoax.Win32.Renos.a портит обои на рабочем столе, подменяя их картинкой с текстом: "WindowsError. System has detected spyware activity. Some system functions are blocked out. Windows recommends you to clean your PC with a spyware removal tool. This has to be done as soon as possible to prevent loss of data.", послечегоделаетнедоступнымменюсменыобоев.
3) Проявляет он себя иконкой в виде красного креста в трее, при наведении на нее выскакивает сообщение "Youcomputerisinfected" и сообщением, что для защиты компьютера нужен антивирус. При щелчке по иконке открывается сайт хттп://www.antivirus-gold.com, где предлагается купить некий антивирус AntiVirusGold за 30$.
4) Создает файл WINDOWS\system32\desktop.html и модифицирует настройки рабочего стола, регистрируя этот HTML в качестве элемента ActiveDesktop
Запускает InternetExplorer и завершает работу. Режим запуска - с невидимым окном В ходе запуска IE производится загрузка зарегистрированного BHO. Деятельность BHO проявляется в виде иконки в трее
5) Создает копию своего исполняемого файла в корне диска под именем winstall.exe Регистрирует файл winstall.exe в автозапуске стандартным образом, ключ SOFTWARE\Microsoft\Windows\CurrentVersion\Run, параметр Windowsinstaller Проверяет наличие файла ProgramFiles\SpySheriff\SpySheriff.exe После запуска данная Hoax программа отображает в трее иконку в виде красного перечеркнутого круга и выводит всплывающие сообщения о том, что компьютер заражен Spyware и рекомендуется использовать специализированный «антишпион» - как несложно догадаться, тот самый SpySheriff.
6) Заблокирован редактор реестра и диспетчер задач Выводятся посторонние окна с сообщением о заражении ПК
| | Trojan
| 1) Trojan.Win32.KillAV.ee является типичным предствителем семейства KillAV - троянов, убивающих антивирусное ПО. Он состоит из единственно DLL, имеющей имя icota32.dll
2) Trojan.Win32.LowZones.y является типичным представителем категории "LowZones", постоянно выходят его новые разновидности. Типичный размер - 7-8 кб, как правило сжат UPX.
3) Trojan.Win32.Agent.fc состоит из двух компонент: jaaste.dll, является DLL файлом, 3072 байта размером, сжат UPX, распакованный размер 4096 байта.
4)Trojan.Win32.StartPage.aju
Данная троянская программа обычно имеет имя keyboard25.exe и размер 32 кб, размещается в корне диска (обычно она загружается другой троянской программой - Trojan-Downloader.Win32.Adload.
5)Trojan.Win32.DelAll.q
Опасная троянская программа, удаляет все файлы в текущей папке без уведомления пользователя и запроса подтверждения.
6)Trojan.Win32.StartPage.aak
Исполняемый файл имеет размер 20 кб, сжат UPX
7)Trojan.Win32.StartPage.agb
Исполняемый файл известен под именем paytime.exe, размер 4 кб, сжат FSG.
8) Trojan.Win32.StartPage.aib
Размер 40 кб, исполняемый файл известен под именем winsysupd12.exe. Написан на Basic, не сжат и не зашифрован.
9) Trojan.Win32.KillAV.be
Состоит из единственного EXE файла размером 5632 байта, файл не сжат и не зашифрован, в зараженной системе файл имеет имя mserv.exe.
10) Trojan.Win32.LowZones.dt
Исполняемый файл размером 4 кб, сжат FSG, распакованный размер порядка 25 кб.
11) Trojan.Win32.Startpage, дополненныйруткитом для блокировки восстановления настроек браузера в реестре. Исполняемый файл имеет размер 14336 байта, не сжат и не зашифрован.
| 1) В теле файла имеется массив ASCIIZ строк с именами процессов, специфичных для антивирусов - например, Avp32.exe, Spider.exe, Drweb32w.exe, Navw32.exe.
2) Внутри EXE файла содержится масса констант, хранящих имена ключей реестра, отвечающих за настройки безопасности InternetExplorer. Троян изменяет и создает эти ключи, в результате чего происходит перенастройка безопасности IE.
3) Экспортирует две функции - Hook и UnHook. Устанавливает перехватчики стандартным образом (типа 5 - WH_CBT), что позволяет следить за созданием/перемещением/разрушением окон, системными событиями и т.п.
4) Подмена стартовой страницы на http://www.findthewebsiteyouneed.com Подмена страницы поиска на http://searchbar.findthewebsiteyouneed.com Появление в корне диска постороннего файла defender26.exe и ряда других исполняемых файлов в корне диска
5) Удаление файлов с диска
6) Появление посторонней MsInfo.Dll библиотеки в адресном пространстве explorer.exe Периодическое открытие страниц
7) Появление в корне диска постороннего файла secure32.htm Подмена стартовой страницы на локальный файл secure32.htm
8) Подмена стартовой страницы на findthewebsiteyouneed.com Модификация нестроек поиска в браузере Появление в корне системного диска посторонних исполняемых файлов
9) Остановка процессов и служб, принадлежащих антивирусам и Firewall
10) Посторонняя программа bikini.exe в автозапуске
11) Подмена стартовой страницы Невозможность восстановления стартовой страницы IE AVZ детектирует перехват функции ZwSetValueKey драйвером paraudio.sys
| | Trojan-Clicker
| 1)Trojan-Clicker.Win32.Delf.dm
Неопасная троянская программа, размер 15 кб. Написана на Delphi, не сжата и не зашифрована, является консольным приложением.
2) Trojan-Clicker.Win32.Costrat.n
| 1)Вся деятельнось данного приложения сводится к открытию в браузере заданного в теле программы URL. Исследованный образец в случае запуска открывает URL www.ifreeclub.com, после чего завершает работу.
2) AVZ обнаруживаетперехват SYSENTER подозрениенаRootKit pe386 C:\WINDOWS\system32:lzx32.sys
| | Trojan-Downloader
| 1)Trojan-Downloader.Win32.Delf.cxa
Размер исполняемого файла 22 кб, исполняемый файл упакован.
2)Trojan-Downloader.Win32.Small.fkm
Троянский загрузчик, размер 6 кб, не сжат и не зашифрован.
3) Trojan-Downloader.Win32.CWS.j Исполняемый файл известен под именем message.exe, размер 13824 байта, сжат UPX.
| 1) 1) Файл MicrSoft.exe в корне дисков Заблокирован запуск процессов антивирусов AVZ находит множество отладчиков процессов, отладчиком является MicrSoft.exe
2) 2) Появление посторониих файлов в системной папке
3) 3) Появление на диске и в автозапуске множества посторонних программ Файл inetXXXXX\services.exe в автозапуске
| | Trojan-Spy
| Программы категории Trojan-SPY: Trojan-Spy.Win32.Webmoner.cy, Trojan-Spy.Win32.Delf.lk, Trojan-PSW.Win32.QQPass.rj, Trojan-Spy.Win32.Delf.pg, Trojan-Spy.Win32.Perfloger.f . Они предназначены для явного шпионажа за пользователем. Это в первую очередь клавиатурные шпионы, всевозможные системы слежения за активностью пользователя. Интересной особенностью многих программ данной категории является то, что они зачастую вполне легально распространяются и продаются, снабжены подробной документаций и инсталлятором. Однако решаемые ими задачи (скрытный сбор информации, скрытная отправка собранной информации в соответствии с настройками не оставляет сомнений в вредоносности данных программ).
| 1) Подмена номеров кошельков в буфере обмена;
2) Посторонние процессы в памяти; 3) Сообщение AVZ о нестандартном значении ключа Shell\Open для EXE файлов;
4) Файл MSINFO\SysInfo.wmp детектируется антикейлоггером AVZ и находится в автозапуске; 5) Появление на ПК множетсва посторонних файлов и процессов;
6) AVZ детектирует внедрение библиотеки IEXPLORE.Dat.
| | Trojan-PSW
| Троянские программы категории Trojan-PSW представляют большую опасность для пользователя, т.к. их основное назначение состоит в поиске на пораженном компьютере паролей пользователя для их последующей отправки злоумышленникам.
1) Trojan-PSW.Win32.LdPinch.bky: Троянскаяпрограмма, размер 33666 байта, сжат UPX. Копирайты файла и его описание похожи на копирайты и описание системных объектов.
2) Trojan-PSW.Win32.LdPinch.bqx: Троянскаяпрограмма, размер 258 кб, исполняемыйфайлизвестенподименем GoodNight.exe.
3) Trojan-PSW.Win32.Agent.eb: Троянская программа, исполняемый файл имеет размер 14 кб, упакован, иконка визуально похожа на иконку JPEG файла.
4) Trojan-Spy.Win32.Webmoner.bq: Троянская программа, размер 150 кб, защищен SVKP протектором.
5) Trojan-PSW.Win32.LdPinch.bmk:
Троянская программа, размер 51147 байта, машинный код зашифрован.
| 1) Посторонний процесс svchоst.exe:
2) Собирает логины/пароли из настроек различных приложений (почта, ICQ, FTP клиенты) и передает злоумышленнику;
3) Посторонние исполняемые файлы Tapi32init.exe и REGSVR.EXE в системной папке;
4) Подмена номеров кошельков WebMoney и Яндекс.Деньги в буфере обмена;
| | Net-Worm
| Вирус Net-Worm.Win32.Padobot.z обладает встроеннымруткитом. Именно руткитом он и интересен, т.к. качественно маскирует процессы и файлы и его защитный механизм в принципе работоспособен в 9x и NT.
| Сам вирус копирует себя в папку System32, имена файлов судя по всему случайные.
| | Worm
| 1) Worm.Win32.Feebs: Семейство червей Worm.Win32.Feebs обладает рядом интересных особенностей, что делает данныого червя достаточно опасным.
Первой особенностью является наличие "на борту" червя достоточно мощного UserModeруткита.
2) Worm.Win32.Banwor.a: В ходе работы червь пытается предавать почтовые сообщения, соединяясь напряму с сервером согласно прошитым в его теле параметрам.
| 1) Ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSxx, в которо хранит различную информацию. В частности, раздел DAT этого ключа хранит найденные на компьютере email адреса;
2) Находятся в папке System32, запускаются из ключа Run реестра.
| | Trojan-Dropper
| 1)Trojan-Dropper.Win32.Agent.bcb:выполняет сбор информации об учетных записях пользователей и паролях и передает данные злоумышленнику.
2) Trojan-Dropper.Win32.Small.ou: Состоит из исполняемого файла t.exe размером 41936 байт, файл размещается в системной папке.источник - Trojan-Downloader.Win32.Small.vq, выполняющий его скрытную загрузку и запуск.
3) Trojan-Dropper.Win32.Small.aps: В результате деятельности данного дроппера в систему устанавливается файл artm_new.dll размером 19482 байта, который регистрируется как расширение Winlogon
| 1) Появление в system32 файлов first_file.exe и second_file.exe. Утечка паролей
2) Посторонняя панель в IE Посторонний файл MTC.dll в системной папке
3) Появление постороннего элемента Winlogon
| | Trojan-Proxy
| 1) Trojan-Proxy.Win32.Agent.lb Троянская программа, размер 23-27 кб, исполняемый файл сжат UPX.
2) Trojan-Proxy.Win32.Small.ck Троянский прокси, размер 18 кб, сжат FSG.
3) Trojan-Proxy.Win32.Xorpix.ah
| 1) Посторонняя библиотека msvcrt64.dll в автозагрузке Перехват ряда функций в UserMode
2) Посторонний процесс TEMP\winlogon.exe Посторонняя библиотека system32\zAskop.dll Повышенный сетевой трафик
3) Появление постороннего трафика
| | Email-Worm
| 1) Email-Worm.VBS.Agent.j: Почтовый вирус с опасной деструктивной функцией - вирус затирает файлы на диске, в результат чего файлы остаются, но имеют нулевой размер.
2) Email-Worm.Win32.Zhelatin.h: Он создает на диске WINDOWS\system32\wincom32.sys и регистрирует его под именем «wincom32» в реестре.
3) Email-Worm.Win32.Warezov: Опасный почтовый червь, обладающий функцией маскировки своего процесса и средствами борьбы с антивирусным ПО.
| 1) Обнуляется размер файлов на диске;
Заблокирован редактор реестра и диспетчер задач.
2) Появление драйвера wincom32.sys и перехват функций;
Появление постороннего SMTP трафика;
Отключение встроенногоFirewall.
3) Маскирующийся процесс (serv.exe, t2serv.exe ...). Троянские библиотеки e1.dll, wupstlnt.dll, serv.dll,regaufat.dll в памяти процессов
Сообщение эвристического анализатора AVZ о скрытом запуске при помощи AppInit_DLLs
| | FraudTool
| 1)FraudTool.Win32.Reanimator.a: Исполняемый файл является загрузчиком, размер - 308 кб. Устанавливает программу-обманку, которая являясь якобы антивирусом находит массу несуществующих угроз и предлагает вылечить их за деньги.
2)FraudTool.Win32.UltimateDefender.cm: Дропнутыйфайл BEEP.SYS имеетразмероколо 35 кб, отвечаетзапротиводействиеантивирусам и антивируснымутилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).
| 1) Появление в системе "антивируса" WinReanimator, пугающего массой несуществующих угроз
2) Блокировка работы AVP, AVZ, GMER, CureIT
Подмена beep.sys
| | Trojan-Ransom
| 1) Trojan-Ransom.Win32.SMSer.ae: Вредоносная программа-вымогатель, размер исполняемого файла 94 кб, файл упакован. Осуществляет регистрацию своего исполняемого файла в автозапуске. Отображается окно с требованием выкупа с блокировкой экрана.
2) Trojan-Ransom.Win32.Krotten.hu:Исполняемый файл вредоносной программы имеет размер 139 кб, иконка визуально похожа на иконку самораспаковывающегося RAR архива. Программа содержит простейшую защиту от анализа (применен протектор Obsidium). В случае запуска данная вредоносная программа выполняет типовой набор операций, специфичный для семейства Krotten и после выполнения данных операций троян отображает окно с требованием выкупа
| 1) Блокировка работы Windows, требование послать SMS для разблокировки
2) Блокировка работы ПК и отображение требования заплатить 10$ за разблокировку
Заблокирован проводник и рабочий стол
Заблокировано большинство элементов меню "Пуск"
Заблокированредакторреестра
Заблокировандиспетчерзадач
|
Рис. 1 – Демонстрация интерфейса AVZ
Рис. 2 – Демонстрация интерфейса AVZ
Контрольные вопросы:
1. Какие существуют методы обнаружения вирусов?
- сканирование
- обнаружение изменений
- эвристический анализ
- использование резидентных сторожей
- вакцинирование программ
- аппаратно-программная защита от вирусов
2. Какие из методов позволяют определить неизвестные вирусы?
- эвристический анализ (позволяет определить неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе. Сущность метода – проверка возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов (команды создания резидентных модулей в ОП, команды прямого обращения к дискам, минуя ОС);
3. Какие существуют методы удаления последствий заражения вирусами?
первый – предполагает восстановление системы после воздействия известных вирусов (разработчики программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания);
второй – позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами (для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов.
4. Для чего предназначена антивирусная утилита AVZ?
Антивирусная утилита AVZ предназначена для обнаружения и удаления:
•SpyWare и AdWare модулей - это основное назначение утилиты;
•Dialer (Trojan.Dialer);
•Троянских программ;
•BackDoor модулей;
•Сетевых и почтовых червей;
•TrojanSpy, TrojanDownloader, TrojanDropper.
5. Что такое руткит?
- Руткит – программа или набор программ, который позволяет скрыть присутствие в системе вредоносного ПО. Как правило, руткит являет собой набор утилит, который злоумышленник устанавливает на скомпрометированную систему сразу после получения root-доступа.
Вывод: В ходе выполненной практической работы были изучены методы обнаружения вирусов и методов удаления последствий заражения вирусами с использованием антивирусной утилиты AVZ.
|
