Penetrator (rosszindulatú program)
Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2015. május 16-án áttekintett
verziótól ; az ellenőrzések 25 szerkesztést igényelnek .
| Penetrator vagy "Penetrator" |
|---|
| Teljes név (Kaspersky) |
Trojan-Downloader.Win32.VB.bnp |
| Típusú |
trójai |
| Megjelenés éve |
2007 |
| Használt szoftver |
EXE ,
indítható |
| Symantec leírás |
A Penetrator (az angol penetrate - „introduce”) szóból egy trójai program , amelyet Dmitrij Uvarov orosz diák hozott létre [1] . A trójai Visual Basic nyelven íródott, és x86 processzorral rendelkező Windows operációs rendszerekhez készült . Beadja magát az operációs rendszerbe, és pusztító műveleteket hajt végre a .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip január elseje éjjelén [2] .
Háttér
A trójai megjelenésének pontos dátuma nem ismert. Feltételezések szerint 2007 márciusában jelent meg . A kártevőkről szóló első jelentések ősszel kezdtek megjelenni [2] . Ugyanakkor megjelent egy legenda, miszerint az orosz programozó úgy döntött, hogy bosszút áll az őt elutasító lányon, és az egész digitális világgal együtt [3] .
A trójai járvány első hulláma 2008. január 1-jén következett be . Nemcsak a személyi számítógépek fertőződtek meg, hanem a vállalati hálózatok és a kormányzati szervek is. Az Amur régióban több ezer számítógép sérült meg . A második hullám 2009. január 1-jén következett be . Ezt a trójai programot a regionális adófelügyelőség és az ügyészség számítógépein találták meg [4] .
2008. január 18- án Kalinyingrádban őrizetbe vettek egy húszéves fiatalembert, akit e program létrehozásával vádoltak [4] . Dmitrij Uvarov teljes mértékben elismerte bűnösségét, segítette a nyomozást, és ennek eredményeként 3000 rubel pénzbüntetésre ítélték [1] .
Jellemzők
A trójai a flash.scr fájl (117248 bájt, létrehozva: 2003.08.04. 9:00:00 AM) használatával kerül terjesztésre, ezáltal képernyővédő programnak álcázza magát . Voltak olyan egyedi esetek is, amikor mp3 fájlnak álcázták .
A futtatható fájl elindításakor a trójai bekerül a "\Documents and Settings\All Users\Documents\" mappába, a Documents.scr fájl segítségével, Windows XP operációs rendszer esetén , miután bekerült a RAM-ba és a indítási szakasz. A fájlfertőzés csak január 1-jén kezdődik.
Január 1-jén aktiválódik a trójai:
- a \WINDOWS\system32\ mappában létrehoz egy mappát DETER177 ;
- a \WINDOWS\system32\DETER177\ mappában létrehoz egy rejtett lsass.exe fájlt (117248 bájt; ellentétben az igazi lsass.exe fájllal , amely a \WINDOWS\system32 mappában található );
- a \WINDOWS\system32\DETER177\ mappában létrehoz egy rejtett smss.exe fájlt (117248 bájt; ellentétben a valódi smss.exe fájllal , amely a \WINDOWS\system32 mappában található );
- a \WINDOWS\system32\DETER177\ mappában létrehoz egy rejtett svchost.exe fájlt (117248 bájt; a "c" és "o" betűk cirill betűsek, ellentétben az igazi svchost.exe fájllal );
- a \WINDOWS\system32\ mappában létrehoz egy rejtett AHTOMSYS19.exe fájlt ( 117248 bájt);
- a \WINDOWS\system32\ mappában létrehoz egy rejtett ctfmon.exe fájlt ( 117248 bájt; a "c" és "o" betűk cirill betűk, ellentétben a valódi ctfmon.exe fájllal);
- a \WINDOWS\system32\ mappában létrehoz egy rejtett psador18.dll fájlt (32 bájt);
- a \WINDOWS\system32\ mappában létrehoz egy rejtett psagor18.sys fájlt (117248 bájt);
- A АHTOMSYS19.exe , \WINDOWS\system32\DETER177\lsass.exe és \WINDOWS\system32\stfmon.exe fájlok automatikusan betöltődnek , és folyamatosan jelen vannak a RAM -ban ;
- a trójai pusztító akciója az .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls fájlokra irányul. , .zip fájlok ;
- az összes .jpg-fájlt (.jpg, .jpeg) egy bmp-kép helyettesíti a shell alatt .jpg 69x15 pixel méretű, 3174 bájt méretű, Penetrator stilizált felirattal . A .bmp, .png, .tiff fájlokat nem érinti a trójai;
- a .doc és .xls fájlok tartalmát egy obszcén szöveges üzenet helyettesíti (a fájlok mérete 196 bájt lesz - a szöveges üzenet mennyiségétől függően);
- a trójai létrehoz egy Burn mappát CDburn.exe és autorun.inf fájlokkal (mappa helye: Windows XP - \Documents and Settings\<Felhasználónév>\Local Settings\Application Data\Microsoft\Windows ; Windows Vista és Windows 7 - \Users\ Master\ AppData\Local\Microsoft\Windows\Burn );
- a lemez minden mappájában (beleértve az almappákat is), amelyen a flash.scr fájl elindult, a trójai létrehozza a <mappa_neve>.scr másolatait (117248 bájt); ezt követően a lemezen lévő flash.scr fájl (amely már megfertőződött) rendszerint önmagát megsemmisíti, így a lemezek gyökérkönyvtárában egy rejtett trójai fájl (név nélkül) marad .scr kiterjesztéssel;
- a helyi/cserélhető meghajtók megnyitásakor/csatlakozásakor a trójai a nem fertőzött adathordozóra másolódik;
- rejtett hívást indít a következő dll-könyvtárak számára: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT. DLL .
A rendszerben a trójai a következőképpen van álcázva:
- Elrejti a "rejtett fájlok és mappák" megjelenítését
- Elrejti a fájlkiterjesztések megjelenítését
- Elérhetetlenné teszi a "Mappabeállítások" menüpontot
- Megakadályozza a „Registry Editor” elindítását
- Blokkolja a víruskereső telepítését
- Megakadályozza a rendszerbeállító segédprogramok futását
- A beállításkulcsokat úgy állítja be, hogy a flash.scr fájl normál mappának tűnjön
Trójai felismerés az antivírusok által
A különböző víruskeresők eltérően ismerik fel:
Jegyzetek
- ↑ 1 2 A "Penetrator" vírus szerzője pénzbírsággal megúszta . Letöltve: 2012. november 28. Az eredetiből archiválva : 2014. november 13.. (határozatlan)
- ↑ 1 2 Hogyan lehet elpusztítani a Penetrator vírust? (nem elérhető link)
- ↑ Hogyan kezeljük a Penetrator vírust? . Hozzáférés dátuma: 2012. november 28. Az eredetiből archiválva : 2012. augusztus 22. (határozatlan)
- ↑ 1 2 Kalinyingrádban elkapták az Amur vírus szerzőjét . Letöltve: 2012. november 28. Az eredetiből archiválva : 2011. október 2.. (határozatlan)
Linkek