Jump to content

Салити

Sality — это классификация семейства вредоносных программ ( malware ), которые заражают Microsoft Windows системные файлы . Sality был впервые обнаружен в 2003 году и превратился в динамичную, устойчивую и полнофункциональную форму вредоносного кода. Системы, зараженные Sality, могут взаимодействовать через одноранговую (P2P) сеть, образуя ботнет для ретрансляции спама , проксирования сообщений, кражи конфиденциальных данных, компрометации веб-серверов и/или координации распределенных вычислительных задач для обработки интенсивных задач (например, паролей). трескается). С 2010 года в некоторые варианты Sality также включены функции руткитов в рамках продолжающейся эволюции семейства вредоносных программ. Благодаря постоянному развитию и возможностям Sality считается одной из самых сложных и грозных форм вредоносного ПО на сегодняшний день.

Псевдонимы

[ редактировать ]

Большинство поставщиков антивирусных программ (A/V) используют следующие соглашения об именах при упоминании этого семейства вредоносных программ:

  • Салити
  • Саллоад
  • Персонал
  • СалиКод
  • Кукушка

Обзор

[ редактировать ]

Sality — это семейство полиморфных файловых вирусов, нацеленных на исполняемые файлы Windows с расширениями .EXE или .SCR . [ 1 ] Sality использует полиморфные методы и методы скрытия точки входа (EPO) для заражения файлов с помощью следующих методов: не меняя адрес точки входа хоста и заменяя исходный код хоста в точке входа исполняемого файла переменной-заглушкой для перенаправления выполнения. к полиморфному вирусному коду, вставленному в последний раздел хост-файла; [ 2 ] [ 3 ] заглушка расшифровывает и выполняет вторичную область, известную как загрузчик; наконец, загрузчик запускается в отдельном потоке внутри зараженного процесса, чтобы в конечном итоге загрузить полезную нагрузку Sality. [ 2 ]

Sality может выполнять вредоносную полезную нагрузку , которая удаляет файлы с определенными расширениями и/или начинающиеся с определенных строк , связанные с безопасностью , завершает процессы и службы , ищет в адресной книге пользователя адреса электронной почты для рассылки спам-сообщений, [ 4 ] и связывается с удаленным хостом. Sality также может загружать дополнительные исполняемые файлы для установки других вредоносных программ, а также с целью распространения приложений с оплатой за установку. Sality может содержать троянские компоненты; некоторые варианты могут иметь возможность украсть конфиденциальные личные или финансовые данные (т. е. похитители информации), [ 5 ] генерировать и ретранслировать спам, ретранслировать трафик через HTTP- прокси , заражать веб-сайты, решать задачи распределенных вычислений, такие как взлом паролей , а также другие возможности. [ 2 ]

Механизм загрузки Sality загружает и запускает дополнительные вредоносные программы, указанные в URL-адресах, полученных с помощью однорангового компонента. Распространяемое вредоносное ПО может использовать ту же «подпись кода», что и полезная нагрузка Sality, что может указывать на принадлежность к одной группе и/или на то, что они используют большую часть кода. Дополнительное вредоносное ПО обычно взаимодействует и сообщает центральным серверам управления и контроля (C&C), расположенным по всему миру. По мнению Symantec, «сочетание механизма заражения файлов и полностью децентрализованной одноранговой сети [...] делает Sality одним из наиболее эффективных и устойчивых вредоносных программ в современном мире угроз». [ 2 ]

две версии ботнета : В настоящее время активны 3 и 4. Вредоносное ПО, распространяемое в этих ботнетах, имеет цифровую подпись злоумышленников, чтобы предотвратить враждебный захват. В последние годы Sality также стала использовать методы руткитов для поддержания устойчивости скомпрометированных систем и уклонения от обнаружения на уровне хоста, например, антивирусного программного обеспечения. [ 6 ]

В число стран, наиболее пострадавших от ботнета, вошли Индия, Вьетнам и Марокко. [ 7 ]

Установка

[ редактировать ]

Sality заражает файлы на зараженном компьютере. В большинстве вариантов используется DLL , которая устанавливается один раз на каждый компьютер. Файл DLL записывается на диск в двух формах, например:

  • %SYSTEM%\wmdrtc32.dll
  • %SYSTEM%\wmdrtc32.dl_

Файл DLL содержит большую часть вирусного кода. Файл с расширением «.dl_» является сжатой копией. Последние варианты Sality, такие как Virus:Win32-Sality.AM, не удаляют DLL, а вместо этого полностью загружают ее в память , не записывая на диск. Этот вариант, наряду с другими, также удаляет драйвер со случайным именем файла в папке %SYSTEM%\drivers. Другие вредоносные программы также могут установить Sality на компьютер. Например, вариант Sality, обнаруженный как Virus:Win32-Sality.AU, удаляется Worm:Win32-Sality.AU. [ 1 ] Некоторые варианты Sality также могут включать в себя руткит, создав устройство с именем Device\amsint32 или \DosDevices\amsint32. [ 6 ]

Способ размножения

[ редактировать ]

Заражение файла

[ редактировать ]

Sality обычно нацелен на все файлы на диске C: с расширениями .SCR или .EXE, начиная с корневой папки. Размер зараженных файлов увеличивается в разной степени.

Вирус также нацелен на приложения, которые запускаются при каждом запуске Windows, и часто используемые приложения, на которые ссылаются следующие ключи реестра :

  • HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Выполнить
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run [ 1 ]

Sality избегает заражения отдельных файлов, чтобы оставаться скрытыми на компьютере:

  • Файлы, защищенные средством проверки системных файлов (SFC).
  • Файлы в папке %SystemRoot%
  • Исполняемые файлы нескольких антивирусов/ брандмауэров , игнорируя файлы, содержащие определенные подстроки.

Съемные диски и общие сетевые ресурсы

[ редактировать ]

Некоторые варианты Sality могут заражать законные файлы, которые затем перемещаются на доступные съемные диски и общие сетевые ресурсы путем перечисления всех сетевых папок и ресурсов локального компьютера, а также всех файлов на диске C: (начиная с корневой папки). Он заражает найденные файлы, добавляя на хост новый раздел кода и вставляя в него свой вредоносный код. Если существует законный файл, вредоносная программа скопирует его в папку «Временные файлы» , а затем заразит файл. Полученный зараженный файл затем перемещается в корень всех доступных съемных дисков и сетевых ресурсов любым из следующих способов:

  • случайное имя файла .pif
  • случайное имя файла .exe
  • случайное имя файла .cmd

Вариант Sality также создает в корне всех этих дисков файл autorun.inf, указывающий на копию вируса. При обращении к диску с компьютера, поддерживающего функцию автозапуска , вирус запускается автоматически. [ 1 ] Некоторые варианты Sality могут также удалять файл с расширением .tmp в обнаруженные сетевые ресурсы и общие ресурсы, а также удалять файл .LNK для запуска удаленного вируса. [ 8 ]

Полезная нагрузка

[ редактировать ]
  • Sality может внедрять код в запущенные процессы, устанавливая перехватчик сообщений. [ 9 ]
  • Sality обычно ищет и пытается удалить файлы, связанные с обновлениями антивирусов, и завершает работу приложений безопасности, таких как антивирусные программы и программы персонального брандмауэра; пытается завершить работу приложений безопасности, содержащих те же строки, что и файлы, которые он не заражает; а также может прекратить работу служб, связанных с безопасностью, и заблокировать доступ к веб-сайтам, связанным с безопасностью, которые содержат определенные подстроки. [ 1 ] [ 2 ] [ 3 ] [ 8 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ] [ 17 ]
  • Варианты Sality могут изменять реестр компьютера, чтобы снизить безопасность Windows, отключить использование редактора реестра Windows и/или запретить просмотр файлов со скрытыми атрибутами; Некоторые варианты Sality рекурсивно удаляют все значения реестра и данные в подразделах реестра для HKCU\System\CurrentControlSet\Control\SafeBoot и HKLM\System\CurrentControlSet\Control\SafeBoot, чтобы запретить пользователю запускать Windows в безопасном режиме. [ 1 ] [ 4 ] [ 8 ] [ 10 ] [ 11 ] [ 18 ] [ 19 ] [ 20 ]
  • Некоторые варианты Sality могут красть конфиденциальную информацию, такую ​​как кэшированные пароли и зарегистрированные нажатия клавиш, которые были введены на зараженном компьютере. [ 1 ] [ 13 ] [ 15 ]
  • Варианты Sality обычно пытаются загрузить и выполнить другие файлы, включая исполняемые файлы с оплатой за установку, используя предварительно настроенный список, содержащий до 1000 узлов; цель P2P-сети — обмен списками URL-адресов для передачи функциям загрузчика; файлы загружаются в папку временных файлов Windows и расшифровываются с использованием одного из нескольких жестко запрограммированных паролей. [ 1 ] [ 2 ] [ 3 ] [ 5 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ] [ 18 ] [ 20 ] [ 21 ]
  • Большая часть полезной нагрузки Sality выполняется в контексте других процессов, что затрудняет очистку и позволяет вредоносному ПО обходить некоторые межсетевые экраны; Чтобы избежать многократного внедрения в один и тот же процесс, используется общесистемный мьютекс, называемый <process name>.exeM_<process ID>_ создается для каждого процесса, в который внедряется код, что предотвратит одновременную работу в памяти более одного экземпляра. [ 1 ]
  • Некоторые варианты Win32-Sality помещают драйвер со случайным именем файла в папку %SYSTEM%\drivers для выполнения аналогичных функций, таких как завершение процессов, связанных с безопасностью, и блокирование доступа к веб-сайтам, связанным с безопасностью, а также могут отключить любой дескриптор системной службы. таблицы (SSDT) ​​для предотвращения правильной работы определенного программного обеспечения безопасности [ 1 ] [ 2 ] [ 3 ] [ 10 ] [ 11 ] [ 12 ] [ 18 ] [ 20 ] [ 22 ] [ 23 ]
  • Некоторые варианты Sality распространяются путем перемещения на доступные съемные/удаленные диски и общие сетевые ресурсы. [ 1 ] [ 2 ] [ 3 ] [ 8 ] [ 9 ] [ 11 ] [ 12 ] [ 20 ]
  • Некоторые варианты Sality сбрасывают файлы .LNK, которые автоматически запускают удаленный вирус. [ 8 ]
  • Некоторые варианты Sality могут искать в адресной книге пользователя Outlook и кэшированных файлах Internet Explorer адреса электронной почты для рассылки спам-сообщений, которые затем рассылают спам-сообщения на основе информации, полученной с удаленного сервера. [ 4 ]
  • Sality может добавлять раздел в файл конфигурации %SystemRoot%\system.ini в качестве маркера заражения, связываться с удаленными хостами для подтверждения подключения к Интернету, сообщать о новом заражении его автору, получать конфигурацию или другие данные, загружать и выполнять произвольные файлы (включая обновления или дополнительное вредоносное ПО), получать инструкции от удаленного злоумышленника и/или загружать данные, взятые с пораженного компьютера; некоторые варианты Sality могут открывать удаленное соединение, позволяя удаленному злоумышленнику загружать и выполнять произвольные файлы на зараженном компьютере. [ 4 ] [ 9 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ] [ 18 ] [ 20 ] [ 21 ]
  • Компьютеры, зараженные последними версиями Sality, такими как Virus:Win32-Sality.AT и Virus:Win32-Sality.AU, подключаются к другим зараженным компьютерам, присоединяясь к одноранговой (P2P) сети, чтобы получать URL-адреса, указывающие на дополнительные компоненты вредоносного ПО; протокол P2P работает поверх UDP , все сообщения, которыми обмениваются в сети P2P, шифруются, а номер локального порта UDP, используемый для подключения к сети, генерируется как функция имени компьютера. [ 1 ]
  • Sality может добавить руткит, который включает в себя драйвер с такими возможностями, как завершение процессов через NtTerminateProcess, а также блокирование доступа к выбранным антивирусным ресурсам (например, веб-сайтам поставщиков антивирусных программ) посредством IP-фильтрации; последний требует, чтобы драйвер зарегистрировал функцию обратного вызова, которая будет использоваться для определения того, следует ли отбрасывать или пересылать пакеты (например, отбрасывать пакеты, если строка содержит имя поставщика антивирусного ПО из составленного списка) [ 6 ]

Восстановление

[ редактировать ]

Microsoft выявила десятки файлов, которые обычно связаны с вредоносным ПО. [ 1 ] [ 4 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ] [ 17 ] [ 21 ] [ 22 ] [ 23 ] [ 24 ] [ 25 ] [ 26 ] [ 27 ] Sality использует скрытые меры для поддержания устойчивости системы; таким образом, пользователям может потребоваться загрузиться в доверенную среду, чтобы удалить ее. Sality также может вносить изменения в конфигурацию, например в реестр Windows, что затрудняет загрузку, установку и/или обновление защиты от вирусов. Кроме того, поскольку многие варианты Sality пытаются распространиться на доступные съемные/удаленные диски и общие сетевые ресурсы, важно обеспечить, чтобы процесс восстановления тщательно обнаруживал и удалял вредоносное ПО из всех известных/возможных мест.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б с д и ж г час я дж к л м Центр защиты от вредоносных программ Microsoft (07.08.2010). «Win32-Салити» . Майкрософт. Архивировано из оригинала 17 сентября 2013 г. Проверено 22 апреля 2012 г.
  2. ^ Jump up to: а б с д и ж г час Николя Фаллиер (3 августа 2011 г.). «Sality: история одноранговой вирусной сети» (PDF) . Симантек. Архивировано из оригинала (PDF) 24 сентября 2015 года . Проверено 12 января 2012 г.
  3. ^ Jump up to: а б с д и Анджела Тигпен и Эрик Чиен (20 мая 2010 г.). «W32.Салити» . Симантек. Архивировано из оригинала 5 октября 2013 г. Проверено 22 апреля 2012 г.
  4. ^ Jump up to: а б с д и Центр защиты от вредоносных программ Microsoft (29 мая 2009 г.). «Win32-Sality.A» . Майкрософт . Проверено 22 апреля 2012 г.
  5. ^ Jump up to: а б FireEye, Inc (14 февраля 2012 г.). «Отчет о расширенных угрозах FireEye — второе полугодие 2011 г.» (PDF) . Огненный Глаз. Архивировано из оригинала (PDF) 22 мая 2012 г. Проверено 22 апреля 2012 г.
  6. ^ Jump up to: а б с Артем Иванович Баранов (15 января 2013 г.). «Анализ руткитов Sality» . Архивировано из оригинала 10 августа 2013 г. Проверено 19 января 2013 г.
  7. ^ «Угрозы Касперского — Салити» . Threats.kaspersky.com .
  8. ^ Jump up to: а б с д и ж Центр защиты от вредоносных программ Microsoft (30 июля 2010 г.). «Червь:Win32-Sality.AU» . Майкрософт. Архивировано из оригинала 27 сентября 2013 г. Проверено 22 апреля 2012 г.
  9. ^ Jump up to: а б с д и Центр защиты от вредоносных программ Microsoft (28 апреля 2010 г.). «Вирус:Win32-Sality.G.dll» . Майкрософт . Проверено 22 апреля 2012 г.
  10. ^ Jump up to: а б с д и Центр защиты от вредоносных программ Microsoft (28 июня 2010 г.). «Вирус:Win32-Sality.AH» . Майкрософт . Проверено 22 апреля 2012 г.
  11. ^ Jump up to: а б с д и ж г Центр защиты от вредоносных программ Microsoft (27 августа 2010 г.). «Вирус:Win32-Sality.gen!AT» . Майкрософт . Проверено 22 апреля 2012 г.
  12. ^ Jump up to: а б с д и ж Центр защиты от вредоносных программ Microsoft (21 октября 2010 г.). «Вирус:Win32-Sality.gen!Q» . Майкрософт . Проверено 22 апреля 2012 г.
  13. ^ Jump up to: а б с д и Центр защиты от вредоносных программ Microsoft (03.07.2008). «Вирус:Win32-Sality.R» . Майкрософт. Архивировано из оригинала 4 апреля 2014 г. Проверено 22 апреля 2012 г.
  14. ^ Jump up to: а б с д Центр защиты от вредоносных программ Microsoft (07.07.2008). «Вирус:Win32-Sality.T» . Майкрософт. Архивировано из оригинала 4 апреля 2014 г. Проверено 22 апреля 2012 г.
  15. ^ Jump up to: а б с д и Центр защиты от вредоносных программ Microsoft (07.07.2008). «Вирус:Win32-Sality.AN» . Майкрософт . Проверено 22 апреля 2012 г.
  16. ^ Jump up to: а б с д Центр защиты от вредоносных программ Microsoft (06 марта 2009 г.). «Вирус:Win32-Sality.S» . Майкрософт . Проверено 22 апреля 2012 г.
  17. ^ Jump up to: а б Центр защиты от вредоносных программ Microsoft (08.07.2008). «Вирус:Win32-Sality» . Майкрософт. Архивировано из оригинала 1 января 2012 г. Проверено 22 апреля 2012 г.
  18. ^ Jump up to: а б с д Центр защиты от вредоносных программ Microsoft (30 июля 2010 г.). «Вирус:Win32-Sality.AU» . Майкрософт. Архивировано из оригинала 27 сентября 2013 г. Проверено 22 апреля 2012 г.
  19. ^ Центр защиты от вредоносных программ Microsoft (30 июля 2010 г.). «TrojanDropper:Win32-Sality.AU» . Майкрософт . Проверено 22 апреля 2012 г.
  20. ^ Jump up to: а б с д и Центр защиты от вредоносных программ Microsoft (26 апреля 2010 г.). «Вирус:Win32-Sality.AT» . Майкрософт. Архивировано из оригинала 30 января 2014 г. Проверено 22 апреля 2012 г.
  21. ^ Jump up to: а б с Центр защиты от вредоносных программ Microsoft (16 ноября 2007 г.). «Вирус:Win32-Sality.M» . Майкрософт. Архивировано из оригинала 5 апреля 2014 г. Проверено 22 апреля 2012 г.
  22. ^ Jump up to: а б Центр защиты от вредоносных программ Microsoft (10 августа 2010 г.). «Троянец:WinNT-Sality» . Майкрософт. Архивировано из оригинала 5 декабря 2013 г. Проверено 22 апреля 2012 г.
  23. ^ Jump up to: а б Центр защиты от вредоносных программ Microsoft (17 сентября 2010 г.). «WinNT-Салити» . Майкрософт . Проверено 22 апреля 2012 г.
  24. ^ Центр защиты от вредоносных программ Microsoft (14 апреля 2010 г.). «Вирус:Win32-Sality.G» . Майкрософт. Архивировано из оригинала 5 апреля 2014 г. Проверено 22 апреля 2012 г.
  25. ^ Центр защиты от вредоносных программ Microsoft (08.07.2008). «Вирус:Win32-Sality.AM» . Майкрософт. Архивировано из оригинала 9 декабря 2013 г. Проверено 22 апреля 2012 г.
  26. ^ Центр защиты от вредоносных программ Microsoft (17 июня 2009 г.). «Вирус:Win32-Sality.gen!P» . Майкрософт . Проверено 22 апреля 2012 г.
  27. ^ Центр защиты от вредоносных программ Microsoft (02 сентября 2009 г.). «Вирус:Win32-Sality.gen» . Майкрософт . Проверено 22 апреля 2012 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Sality&oldid=1221434037"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 37badd576aec99a5ee582b4ba7fb0113__1714419780
URL1:https://arc.ask3.ru/arc/aa/37/13/37badd576aec99a5ee582b4ba7fb0113.html
Заголовок, (Title) документа по адресу, URL1:
Sality - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)