- Регистрация
- 25.01.17
- Сообщения
- 763
- Реакции
- 225
- Репутация
- 292
По просьбам трудящихся обсудим разбор Trojan.Win32.VkHost.cdf. Сложно придумать более простой вредоносный код, поэтому запись должна оказаться полезной для тех, кто только начинает знакомиться с анализом зловредов.
Так вот:
Имеем на руках подозрительный файл Podarochek.exe, добытый из не менее подозрительного места на просторах сети.
Воспользуемся каким-нибудь HEX-редактором, чтобы посмотреть на файл изнутри, я использую HIEW.
Открыв, файл я прежде всего обращаю внимание на то, что это исполняемый файл Windows (то есть .exe или библиотека .dll), о чем говорят сигнатуры "MZ" (в самом начале) и "PE " (третья строчка).
подробнее об этом вы можете узнать, в статьях про формат PE (Portable Executable) файлов.
Далее замечаю таблицу секций, с характерными для компилятора Borland Delphi названиями - CODE, DATA и BSS (а также характерные названия типов, фигурирующих в начали секции кода - TObject и StringX)
Пока вы не можете на глаз отличить компиляторы, хорошо пользоваться утилитой PEID, которая с большой вероятностью определяет компилятор, а также упаковщик, в случае, если файл упакован. Также PEID в удобном виде представляет информацию из служебного заголовка исполняемого файла
Зачем мне знать, чем файл скомпилирован? Это может помочь найти его функционал, в частности, я знаю, что компилятор Borland Delphi хранит пользовательский код и данные (то есть то, что написал программист) в конце секции CODE - отправлюсь-ка туда осмотреться.
Для этого переведу HIEW в HEX-режим из текстового режима нажатием Enter (можно еще через меню выбора режима F4) далее нажму F8, чтобы вызвать информацию из заголовка файла, далее F6, чтобы просмотреть секции файла, далее выберу секцию CODE и нажму Ctrl+Enter (нажатие Enter переместит вас в начало секции, Ctrl+Enter в конец), переведу HIEW обратно в текстовый режим (Enter) и немного поднимусь, чтобы посмотреть конец секции кода.
Что мы видим? Ничего не напоминает? Никак содержимое файла hosts, переадресующее запросы к популярным российским социальным сетям на ресурс злоумышленника, а также название временного файла 1125.tmp
В принципе, этого уже с головой хватает, чтобы поставить вердикт, но мы всё-таки убедимся в нашей правоте, перейдя на точку входа (адрес, с которого начинается выполнение программы)
Для этого переведем Hiew в HEX-режим, нажмем F8, затем F5, затем Enter, чтобы перейти в третий режим Hiew - просмотр дизассемблированного листинга.
Если уж так получилось, что в строчке выделен не первый байт, исправим эту вопиющую несправедливость нажатием " / "
Ну а теперь беглым взглядом идем вниз по коду и наблюдаем бесцеремонную запись в файл 1125.tmp злополучных строк, с последующим вызовом функции CopyFile, параметром назначения которой является путь \System32\Drivers\etc\hosts относительно системной директории.
Что и требовалось доказать.
Ах да, совсем забыл сказать: можно существенно унифицировать работу, просто просмотрев список всех строк файла (в Hiew это делается комбинацией Alt+F6)
Так вот:
Имеем на руках подозрительный файл Podarochek.exe, добытый из не менее подозрительного места на просторах сети.
Воспользуемся каким-нибудь HEX-редактором, чтобы посмотреть на файл изнутри, я использую HIEW.
Открыв, файл я прежде всего обращаю внимание на то, что это исполняемый файл Windows (то есть .exe или библиотека .dll), о чем говорят сигнатуры "MZ" (в самом начале) и "PE " (третья строчка).
подробнее об этом вы можете узнать, в статьях про формат PE (Portable Executable) файлов.
Далее замечаю таблицу секций, с характерными для компилятора Borland Delphi названиями - CODE, DATA и BSS (а также характерные названия типов, фигурирующих в начали секции кода - TObject и StringX)
Пока вы не можете на глаз отличить компиляторы, хорошо пользоваться утилитой PEID, которая с большой вероятностью определяет компилятор, а также упаковщик, в случае, если файл упакован. Также PEID в удобном виде представляет информацию из служебного заголовка исполняемого файла
Зачем мне знать, чем файл скомпилирован? Это может помочь найти его функционал, в частности, я знаю, что компилятор Borland Delphi хранит пользовательский код и данные (то есть то, что написал программист) в конце секции CODE - отправлюсь-ка туда осмотреться.
Для этого переведу HIEW в HEX-режим из текстового режима нажатием Enter (можно еще через меню выбора режима F4) далее нажму F8, чтобы вызвать информацию из заголовка файла, далее F6, чтобы просмотреть секции файла, далее выберу секцию CODE и нажму Ctrl+Enter (нажатие Enter переместит вас в начало секции, Ctrl+Enter в конец), переведу HIEW обратно в текстовый режим (Enter) и немного поднимусь, чтобы посмотреть конец секции кода.
Что мы видим? Ничего не напоминает? Никак содержимое файла hosts, переадресующее запросы к популярным российским социальным сетям на ресурс злоумышленника, а также название временного файла 1125.tmp
В принципе, этого уже с головой хватает, чтобы поставить вердикт, но мы всё-таки убедимся в нашей правоте, перейдя на точку входа (адрес, с которого начинается выполнение программы)
Для этого переведем Hiew в HEX-режим, нажмем F8, затем F5, затем Enter, чтобы перейти в третий режим Hiew - просмотр дизассемблированного листинга.
Если уж так получилось, что в строчке выделен не первый байт, исправим эту вопиющую несправедливость нажатием " / "
Ну а теперь беглым взглядом идем вниз по коду и наблюдаем бесцеремонную запись в файл 1125.tmp злополучных строк, с последующим вызовом функции CopyFile, параметром назначения которой является путь \System32\Drivers\etc\hosts относительно системной директории.
Что и требовалось доказать.
Ах да, совсем забыл сказать: можно существенно унифицировать работу, просто просмотрев список всех строк файла (в Hiew это делается комбинацией Alt+F6)