Penetrator (haittaohjelma)

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 16. toukokuuta 2015 tarkistetusta versiosta . tarkastukset vaativat 25 muokkausta .

Penetrator tai "Penetrator"
Koko nimi (Kaspersky)	Trojan-Downloader.Win32.VB.bnp
Tyyppi	troijalainen
ilmestymisvuosi	2007
Käytetty ohjelmisto	EXE , käynnistettävä
Symantec Kuvaus

Penetrator ( englannin kielestä penetrate - "introduce") on venäläinen opiskelija Dmitri Uvarov [1] luoma troijalainen ohjelma . Troijalainen on kirjoitettu Visual Basicilla ja se oli tarkoitettu Windows - käyttöjärjestelmille , joissa on x86 - prosessori . Ruiskuttaa itsensä käyttöjärjestelmään ja suorittaa tuhoisia toimintoja tiedostoille .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip tammikuun ensimmäisen päivän yönä [2] .

Tausta

Troijalaisen tarkkaa ilmestymispäivää ei tiedetä. Hänen oletetaan ilmestyneen maaliskuussa 2007 . Ensimmäiset raportit haittaohjelmista alkoivat ilmestyä syksyllä [2] . Samaan aikaan ilmestyi legenda, että venäläinen ohjelmoija päätti kostaa hänet hylänneelle tytölle ja koko digitaaliselle maailmalle [3] .

Troijan epidemian ensimmäinen aalto tapahtui 1. tammikuuta 2008 . Ei vain henkilökohtaisia tietokoneita, vaan myös yritysverkkoja ja valtion virastoja. Useita tuhansia tietokoneita Amurin alueella vaurioitui . Toinen aalto tapahtui 1. tammikuuta 2009 . Tämä troijalainen löydettiin alueellisen veroviraston ja syyttäjänviraston tietokoneilta [4] .

18. tammikuuta 2008 Kaliningradissa pidätettiin 20-vuotias nuori mies, jota syytettiin tämän ohjelman luomisesta [4] . Dmitri Uvarov myönsi täysin syyllisyytensä, auttoi tutkinnassa, minkä seurauksena hänet tuomittiin 3 000 ruplan sakkoon [1] .

Ominaisuudet

Troijalainen levitetään käyttämällä flash.scr- tiedostoa (117248 tavua, luotu 08/04/2003 9:00:00 AM), mikä naamioituu näytönsäästäjäohjelmaksi . On myös yksittäisiä tapauksia, joissa se on naamioitu mp3 -tiedostoksi .

Kun suoritettava tiedosto käynnistetään, troijalainen lisätään kansioon "\Documents and Settings\All Users\Documents\" tiedostolla Documents.scr , käyttöjärjestelmälle Windows XP , sen jälkeen, kun se on lisätty RAM-muistiin ja aloitusosio. Tiedostojen tartunta alkaa vasta 1. tammikuuta.

1. tammikuuta troijalainen aktivoituu:

\WINDOWS\system32\ -kansioon luo kansion DETER177 ;
luo \WINDOWS\system32\DETER177\-kansioon piilotetun tiedoston lsass.exe (117248 tavua; toisin kuin \WINDOWS\system32-kansiossa oleva todellinen lsass.exe );
\WINDOWS\system32\DETER177\-kansioon luo piilotetun smss.exe -tiedoston (117248 tavua; toisin kuin todellinen smss.exe , joka sijaitsee kansiossa \WINDOWS\system32 );
\WINDOWS\system32\DETER177\-kansioon luo piilotetun tiedoston svchost.exe (117248 tavua; kirjaimet "c" ja "o" ovat kyrillisiä, toisin kuin todellinen svchost.exe );
luo \WINDOWS\system32\-kansioon piilotetun tiedoston AHTOMSYS19.exe (117248 tavua);
\WINDOWS\system32\-kansioon luo piilotetun tiedoston ctfmon.exe (117248 tavua; kirjaimet "c" ja "o" ovat kyrillisiä, toisin kuin todellinen ctfmon.exe);
luo \WINDOWS\system32\-kansioon piilotetun tiedoston psador18.dll (32 tavua);
luo \WINDOWS\system32\-kansioon piilotetun psagor18.sys- tiedoston (117248 tavua);
tiedostot АHTOMSYS19.exe , \WINDOWS\system32\DETER177\lsass.exe ja \WINDOWS\system32\stfmon.exe ladataan automaattisesti ja ovat jatkuvasti RAM -muistissa ;
Troijalaisen tuhoisa toiminta on suunnattu kohteisiin .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls , .zip-tiedostot ;

kaikki .jpg-tiedostot (.jpg, .jpeg) korvataan kuoren alla olevalla bmp-kuvalla .jpg, jonka koko on 69x15 pikseliä, 3174 tavua ja tyylitelty merkintä Penetrator . Troijalainen ei koske tiedostoihin .bmp, .png, .tiff;
.doc- ja .xls-tiedostojen sisältö korvataan säädyttömällä tekstiviestillä (näiden tiedostojen kooksi tulee 196 tavua - tekstiviestin määrän mukaan);
troijalainen luo Burn-kansion CDburn.exe- ja autorun.inf-tiedostoilla (kansion sijainti: Windows XP - \Documents and Settings\<Käyttäjänimi>\Local Settings\Application Data\Microsoft\Windows ; Windows Vista ja Windows 7 - \Users\ Master\ AppData\Local\Microsoft\Windows\Burn );
jokaiseen sen levyn kansioon (mukaan lukien alikansiot), jolla flash.scr-tiedosto käynnistettiin, troijalainen luo kopiot tiedostosta <kansion_nimi>.scr (117248 tavua); sen jälkeen tällä levyllä oleva flash.scr-tiedosto (joka on jo saanut tartunnan) yleensä tuhoutuu itsestään, jolloin levyjen juurihakemistoihin jää piilotettu troijalainen tiedosto (ilman nimeä), jonka tunniste on .scr;
kun paikallisia/irrotettavia asemia avataan/kytketään, troijalainen kopioidaan saastumattomalle tietovälineelle;
tekee piilokutsun seuraaviin järjestelmän dll-kirjastoihin: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT. DLL .

Troijalainen on naamioitu järjestelmässä seuraavasti:

Piilottaa "piilotetut tiedostot ja kansiot"
Piilottaa tiedostopäätteiden näytön
Tekee "Kansion asetukset" -valikkokohdan pois käytöstä
Estää "rekisterieditoria" käynnistymästä
Estää virustentorjunnan asennuksen
Estää järjestelmän asennusapuohjelmien suorittamisen
Säätää rekisteriavaimet niin, että flash.scr- tiedosto näyttää tavalliselta kansiolta

Troijan tunnistus virustentorjunnasta

Eri virustorjuntaohjelmat tunnistavat sen eri tavalla:

Avira AntiVir - TR/Dldr.VB.bnp;
Avast -Win32:Troijalainen;
AVG -Downloader.VB.AIM;
BitDefender - Trojan.Downloader.VB.VKV;
ClamAV - Trojan.Downloader-15571;
DrWeb -Win32.HLLW.Kati;
Eset NOD32 - Win32/VB.NNJ mato;
F-Secure Anti-Virus - Trojan-Downloader.Win32.VB.bnp;
Kaspersky Anti-Virus - Trojan-Downloader.Win32.VB.bnp;
McAfee -Downloader.gen.a
Panda Security - W32/Penetrator.A.worm;
VBA32 – Trojan-Downloader.Win32.VB.bnp.

Muistiinpanot

↑ 1 2 "Petrator"-viruksen kirjoittaja selvisi sakolla . Haettu 28. marraskuuta 2012. Arkistoitu alkuperäisestä 13. marraskuuta 2014. (määrätön)
↑ 1 2 Kuinka tuhota Penetrator-virus? (linkki ei saatavilla)
↑ Kuinka käsitellä Penetrator-virusta? . Käyttöpäivä: 28. marraskuuta 2012. Arkistoitu alkuperäisestä 22. elokuuta 2012. (määrätön)
↑ 1 2 Amur - viruksen tekijä jäi kiinni Kaliningradista . Haettu 28. marraskuuta 2012. Arkistoitu alkuperäisestä 2. lokakuuta 2011. (määrätön)

Linkit

2000-luvun hakkerihyökkäykset
Suurimmat hyökkäykset	Operaatio Bot Roast Operaatio Red October Hanke "Kanologia" titaaninen sade
Hakkereiden ryhmät ja yhteisöt	Nimetön Yksikkö 61398 (PLA)
yksinäisiä hakkereita	Dmitri Sklyarov
Havaittiin kriittisiä haavoittuvuuksia	Särkyttävä hyökkäys
Tietokonevirukset	Agent.BTZ Anna Kurnikova Asprox Backdoor.Win32.Sinoval Bagle Blaster Bredolab Cabir Huolehtia punainen koodi Koodi punainen II Commwarrior Conficker Cutwail donbot Festi Fizzer MINÄ RAKASTAN SINUA Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Läpäisevä Hyppysellinen Myrkkymuratti RFID-virus Rustock Suolaisuus Santy Sasser Raitis Niin iso SpyEye SQL Slammer Srizby Myrskymato Torpig Virut Vulcanbot Waledac Nolla pääsy Zeus Zobot
1990 -luku • 2000 -luku • 2010-luku