Специалисты ЛК обнаружили новую модификацию вируса Sality

Теги: Лаборатория Касперского, вирус

В прошедшую пятницу специалистами ЛК была обнаружена новая модификация наиболее популярного в настоящее время полиморфного инфицирующего вируса – Sality.aa.

В прошедшую пятницу специалистами ЛК была обнаружена новая модификация наиболее популярного в настоящее время полиморфного инфицирующего вируса – Sality.aa.

Новой разновидности была присвоена модификация ag. Специалисты ЛК обнаружили,  что в ней применяется качественно новый алгоритм дешифровки и множество новых "полезных" инструкций.

Основной функционал этого вируса – BackDoor. При попадании в систему Sality.ag первым делом устанавливает библиотеку и драйвер, который фильтрует интернет-трафик. Библиотека используется для противостояния разнообразным антивирусам и файрволам.

Ниже представлен скриншот фрагмета распакованной библиотеки, на котором содержатся строки, относящиеся как раз к такому ПО: “avast! Self Protection”, “NOD32krn”, “Avira AntiVir Premium”, “DRWEBSCD” и т.д. Sality использует в том числе один из простейших способов отключения антивирусов - он будет пытаться закрыть окна и процессы с соответствующими названиями.

Также вносятся дополнительные записи в реестр, которые отключают TaskManager, UAC, а также добавляют драйвер в ветку реестра “System\CurrentControlSet\Control\SafeBoot”, что позволяет драйверу загрузиться в безопасном режиме.

Драйвер создаёт устройство с названием “amsint32” и взаимодействует с “\Device\IPFILTERDRIVER”, т.е. с драйвером фильтра IP-пакетов, что дает ему возможность фильтровать трафик. Сам файл драйвера содержится в библиотеке, которая хранится в теле вируса и упакована упаковщиком UPX.

Основное тело, в то же время, создает синхронизирующие объекты, чтобы обнаружить другие запуски инфицированных файлов: “uxJLpe1m”, “Ap1mutx7”, а также устанавливает уже упомянутую библиотеку и загружает служебные данные со страниц, на которые ведут нижеприведенные ссылки: http://sagocugenc.sa.funpic.de/images/*****.gif http://www.eleonuccorini.com/images/*****.gif http://www.cityofangelsmagazine.com/images/*****.gif http://www.21yybuyukanadolu.com/images/*****.gif http://yucelcavdar.com/*****.gif http://www.luster-adv.com/gallery/Fusion/images/*****.gif После всех приготовлений Sality пытается подключиться к удалённому серверу и выполняет его команды, действуя, как обычный BackDoor.

Сама техника заражения осталась похожей на применяемую в модификации “aa”. Код по точке входа заменяется переходом на основное тело. Переход представляет собой обычную инструкцию перехода по регистру – jmp reg, который очень сильно обфусцирован. Само тело имеет размер 0x11000 байт и расположено в конце последней секции, которая специально для этого расширяется. Дополнительно к флагам секции добавляется разрешение на запись и исполнение. Первая 0x1000 байт кода подвергнута мощной обфускации, но выполняет дешифровку остальной части кода. Если в модификации “aa” применялся алгоритм RC4, то здесь используется алгоритм, который за один цикл расшифровывает два двойных слова. Каждый цикл включает в себя 0x3F итераций, в которых используются операции сложения, вычитания, сдвига и задействуется таблица двойных слов в начале инфицированного участка.


или введите имя

CAPTCHA
26663
31-03-2010 10:13:59
Кто видел его трафиг, запилите правило для snort'а.
0 |
Guest
31-03-2010 12:00:45
навую модификацию
0 |
anonymous
31-03-2010 12:18:18
> Специалисты ЛК обнаружили навую модификацию вируса Sality обратить внимание НАВУЮ а по существую - изобрели, а не обнаружили
0 |
Ваше имя
31-03-2010 13:13:58
Кто-нибудь билдер видел от Sality или от kido ?
0 |
azg
31-03-2010 17:57:52
а нафиг тебе? Sality чересчур палится, когда антивири не запускаются а снести достаточно просто salitykiller`ом
0 |
Гость
31-03-2010 20:35:15
salitykiller не помогает в новой модификации,cureit,kaspersky removal tool тоже,как быть?
0 |
01-04-2010 14:12:03
LiveCD спасёт отца русской демократии и вообще, привыкай лечить харды, не загружаясь с них, полезно
0 |