Оффлайн
- Регистрация
- 25.01.17
- Сообщения
- 763
- Реакции
- 225
- Репутация
- 292
В поисках очередного способа унижения троянцев вымогателей пришла в голову мысль воспользоваться отложенным переименованием средствами системного реестра. А тут и "клиент" как нельзя более подходящий подвернулся - Trojan-Ransom.Win32.PogBlock.xg
Блокирование системы получается несколько компромиссным:
С одной стороны перекрыт практически весь экран, но с другой - эксплорер запущен, о чем свидетельствует наличие меню "Пуск".
Детальное изучение вредоноса показало, что заражение происходит так:
1. Троянец извлекает из своего тела исполняемый файл и помещает его во временный каталог текущего пользователя.
2. Кроме этого, в тот же каталог, извлекается вредоносная библиотека.
3. Автоматический запуск осуществляется банальным добавлением извлеченного исполняемого файла в ключ:
Бывалый антивирусный аналитик ухмыльнется и скажет: "Перезагрузка в безопасном режиме позволит избежать запуска троянца". И будет прав. Но мы то хотим использовать необычный способ.
Механизм самозащиты троянца заключается в следующем - сообщение о выкупе выводит исполняемый файл. Этот же файл инжектирует код из библиотеки во все запущенные процессы. Этот код следит за тем, запущен ли исполняемый файл и если не обнаруживает вредоносного процесса, то запускает его. Таким образом просто завершить вредоносный процесс не достаточно. При этом троянец постоянно следит и за ключом автозапуска и восстанавливает его в случае удаления. Удалить вредоносный исполняемый файл и библиотеку нельзя, так как они постоянно запущенны.
Вот тут самое время вспомнить об отложенном переименовании:
В системном реестре начиная с Windows 2000 есть возможность создать в ключе
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager мультистрочныйпараметр
PendingFileRenameOperations
Этот параметр предусматривает наличие двух строк: в первой имя файла, который нужно переименовать; во второй - имя, на которое нужно сменить. Если второй строки не задать, то файл будет просто удалён. Причем происходит все это на очень ранней стадии загрузки операционной системы - до того, как срабатывают пользовательские автозапуски.
При этом имя файла нужно задавать с полным путём к нему, добавив перед ним два знака вопроса в обратных слешах. В нашем случае путь к вредоносному файлу будет выглядеть так:
Но возникает вопрос: "А как же записать это в системный реестр, если весь экран перекрыт требованием выкупа?"
Поможет в этом... автораннер!
Как уже было сказано - эксплорер запущен, а значит и автоматический запуск сработает (если конечно не выключать его).
Можно воспользоваться флешкой или записать диск. На сменный носитель нужно поместить autorun.inf примерно такого содержания:
Листинг :
Код "позаимствован" из настоящего троянца-автораннера.
На тот же носитель нужно поместить батник, который в данном примере носит незамысловатое название "run.bat". В этот файл нужно вписать консольную команду для работы с системным реестром:
Листинг :
Вставляем флешку/диск в зараженный компьютер.
Перезагружаемся и получаем нормальный рабочий стол
А во временном каталоге текущего пользователя мирно лежит переименованный троянец и незапущенная библиотека, с которыми можно продолжать эксперименты:
Всё это, разумеется, возможно только после детального изучения троянца, но основная идея - для удаления/переименования можно воспользоваться ключом отложенного переименования, который, в свою очередь, можно автоматически создать при помощи той же технологии, которую используют авторан-черви.
Блокирование системы получается несколько компромиссным:
С одной стороны перекрыт практически весь экран, но с другой - эксплорер запущен, о чем свидетельствует наличие меню "Пуск".
Детальное изучение вредоноса показало, что заражение происходит так:
1. Троянец извлекает из своего тела исполняемый файл и помещает его во временный каталог текущего пользователя.
2. Кроме этого, в тот же каталог, извлекается вредоносная библиотека.
3. Автоматический запуск осуществляется банальным добавлением извлеченного исполняемого файла в ключ:
Бывалый антивирусный аналитик ухмыльнется и скажет: "Перезагрузка в безопасном режиме позволит избежать запуска троянца". И будет прав. Но мы то хотим использовать необычный способ.
Механизм самозащиты троянца заключается в следующем - сообщение о выкупе выводит исполняемый файл. Этот же файл инжектирует код из библиотеки во все запущенные процессы. Этот код следит за тем, запущен ли исполняемый файл и если не обнаруживает вредоносного процесса, то запускает его. Таким образом просто завершить вредоносный процесс не достаточно. При этом троянец постоянно следит и за ключом автозапуска и восстанавливает его в случае удаления. Удалить вредоносный исполняемый файл и библиотеку нельзя, так как они постоянно запущенны.
Вот тут самое время вспомнить об отложенном переименовании:
В системном реестре начиная с Windows 2000 есть возможность создать в ключе
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager мультистрочныйпараметр
PendingFileRenameOperations
Этот параметр предусматривает наличие двух строк: в первой имя файла, который нужно переименовать; во второй - имя, на которое нужно сменить. Если второй строки не задать, то файл будет просто удалён. Причем происходит все это на очень ранней стадии загрузки операционной системы - до того, как срабатывают пользовательские автозапуски.
При этом имя файла нужно задавать с полным путём к нему, добавив перед ним два знака вопроса в обратных слешах. В нашем случае путь к вредоносному файлу будет выглядеть так:
Но возникает вопрос: "А как же записать это в системный реестр, если весь экран перекрыт требованием выкупа?"
Поможет в этом... автораннер!
Как уже было сказано - эксплорер запущен, а значит и автоматический запуск сработает (если конечно не выключать его).
Можно воспользоваться флешкой или записать диск. На сменный носитель нужно поместить autorun.inf примерно такого содержания:
Листинг :
Код "позаимствован" из настоящего троянца-автораннера.
На тот же носитель нужно поместить батник, который в данном примере носит незамысловатое название "run.bat". В этот файл нужно вписать консольную команду для работы с системным реестром:
Листинг :
Вставляем флешку/диск в зараженный компьютер.
Перезагружаемся и получаем нормальный рабочий стол
А во временном каталоге текущего пользователя мирно лежит переименованный троянец и незапущенная библиотека, с которыми можно продолжать эксперименты:
Всё это, разумеется, возможно только после детального изучения троянца, но основная идея - для удаления/переименования можно воспользоваться ключом отложенного переименования, который, в свою очередь, можно автоматически создать при помощи той же технологии, которую используют авторан-черви.