Бразильский вирус

В Бразилии всегда как-то шли своим путём. Захотели они сделать так, чтобы автомобили ездили на водке -- и таки сделали. Как пример.

Так вот, бразильские вирусы -- тоже уникальные, свои. Столкнулся вчера в первый раз. Заражение происходит в две стадии -- ехешник распаковывает другой ехешник, и выполняет его. Второй ехешник уже выполняет всю грязную работу -- создаёт скрытый процесс, создаёт сервер, слушающий на порту 49164, и перехватывает весь интернет траффик, пропуская его через себя. При заходе на вебсайты бразильских банков -- резко активируется, раз в секунду посылая трафик на свой центр управления. Короче, имя пользователя и пароль он крадёт.

Первый ехешник отлавливается 4 из 57 существующих антивирусов. Второй ехешник не ловит ни один антивирус. Более того, virustotal, про попытке проанализировать этот файл валится наглухо -- "звыняйте, пане, что-то пошло не так".

Интересно тут что? Интересно тут то, насколько этот вирус эндемичен. Его интересует только бразильский траффик, и информацию он отсылает тоже на бразильский айпи адрес. Такое, вообще-то, случается редко. Если ты интернет-преступник, то ты стараешься в стране, где живёшь, не гадить. Потому что резко повышается вероятность прихода в гости пативэна от местных органов. Поэтому, например, шифровальщик Locky не заражает компьютеры, где установлена поддержка русского языка. Боятся, боятся они ФСБ. А тут, вишь, внаглую, в своей стране... удивительно.
А может у него происхождение не бразильское? :)
Судя по обилию португальского языка, который я нашёл внутри ехешника, очень даже бразильское :) Что и удивительно. Мне начальник так и сказал, мол, когда тебе попадается бразильский вирус, никогда не знаешь, что внутри!

Надо же как много на свете интересного. А что такое скрытый процесс, можно ли его отловить, уничтожить и найти его exe в домашних условиях?

Можно конечно.

Наиболее полезным инструментом для этого я назову программу process hacker. При помощи этой программы очень удобно смотреть, что, где, с кем общается, и что слушает.

Скрытый процесс -- это просто процесс, который не имеет никакого интерфейса, но не является при этом каким-то сервисом.

Я думаю написать небольшой пост о несложном анализе вирусов в домашних условиях. Время только вот где найти бы....
для людей без спец-образования я все же рекомендовал бы начать исследование своей системы с process explorer русинского. В смысле что много интересного можно узнать что и где происходит, что стоит за невзрачным процесом svchost, которых почему-то целая куча в системе, какие строковые литералы найдены в файле, какие треды запущенны процессом итд.
Они примерно одинаковые по функционалу. Работать можно и с тем и с тем.

С process explorer я знаком, но там без поллитра не поймешь горе искать вирусы. Уж очень много всего происходит.

Я еще как-то развлекался со словленым неопытным юзером на работе вирусом-шифровальщиком в песочнице из Vmware + wireshark. Почерпнул много нового для себя. В частности выяснил, что пароли при заражении компьютера на шифрованные архивы генерятся на левом сервере, новые при каждом обращении и весьма длинные, а была надежда, что пароль один и тот же. Пришлось старые бэкапы поднимать для восстановления инфы.
Это ещё ничего, а то некоторые криптовирусы используют уникальные ключи для каждого отдельного файла.