техника

Быстрорастворимый анализ вирусов

Стандартный дисклеймер: я не несу никакой ответственности за стёртую или зашифрованную информацию, сдохнувший компьютер, стук в дверь от ФБР или иной прочий вред. Действуйте на свой страх и риск.

Или как в домашних условиях можно разобраться, чо это за вирус. Важно!!! Никогда не делайте действий, описанных ниже, если вы не используете анонимный VPN. Так можно делать только при наличии VPN. Вирусописатели не дураки, и если ваш айпишник будет ярко светиться в логах, они поймут, кто вы такой, и чего делаете. VPN нынче дёшев -- уж послушайте меня, обезопасьтесь. Это недорого стоит.

Так вот, самый быстрый способ узнать, с чем, вообще, имеем дело -- это взять и запустить вирус, и посмотреть, что будет. Только, конечно, на рабочей машине так делать не надо. Поэтому берём виртуалку. В виртуалке прежде чем запускать вирус, надо сделать снапшот, если используем что-нибудь бесплатное типа виртуалбокса. Если же мы работаем с полноценной виртуалкой типа ВМВарь Воркстейшен, то лучше всего поставить режим диска nonpersistent. Тогда никакие изменения на диск записываться не будут. Тогда не надо будет маяться со снапшотами, а то в один прекрасный момент снапшот забудешь снять и всё, вирь снесёт виртуалку под самый корень.

Ну, сначала надо взять вирус.

Вот у меня есть замечательное письмо, полученное сегодня: "Дорогой nlothik! Мы заметили, что вы до сих пор не оплатили заказ №1298703. Пожалуйста, оплатите его как можно быстрее. Детали заказа во вложенном документе."

Смотрим документ. Архив зип. В архиве -- джаваскрипт файл.



Отбираем у виртуалки доступ к сети и запускаем джаваскрипт, предварительно, разумеется, запустив фиддлер. Ба!! Смотри, какая красотишша!



Большинство вирусов работают именно так -- приезжает и запускается легковесный загрузчик, а сам вирус достаётся из недр Интернета.

Вот у нас есть все места, откуда можно сгрузить вирус. Сходим по этим адресам wget-ом (разумеется, предварительно заменив юзерагента на какой-нибудь браузер), и поглядим, что там.

А там вот что.



Бредятина, да? На выполняемый файл не похоже? Заголовок-то не MZ? Тут я сразу понял, с чем я имею дело. Я сегодня видел точно таких же файлов 140 тысяч штук. Это ехешник на самом деле. Только он перевёрнут задом-наперёд и поXORен с ключом. Приведением этого файла в исполняемое состояние занимается загрузчик.

При желании, конечно, можно достать из памяти процесса с загрузчиком ключ, только зачем? Пущай уж загрузчик за нас всю работу и проделает.

Запускаем вайршарк на материнской ОС. Хотя он вообще не всегда нужен, я и тут заранее уже знал, с чем, скорее всего, столкнусь. Мне не потребовалось смотреть результаты перехвата трафика, чтобы выяснить нужные мне вещи. Подключаем сеть виртуалке назад (ты ведь подключён к VPN, да?). И запускаем джаваскрипт заново. Для полноты эксперимента можно сделать снимок компа программой регшот. Это поможет отследить изменения (если они есть). Я не использовал регшот в данном случае, ибо догадывался, с чем столкнусь.

В процессах у нас появляется файл с неудобнопроизносимым именем.ехе. Тормозим его процесс-хакером и смотрим в память. И первое, что видим:

0x10000f (21): /upload/_dispatch.php
0x10003f (58): 185.82.216.60,217.12.223.88,195.123.209.227,93.170.169.188

Это адреса серверов управления этими вирусами, и путь к командному центру. Эти данные, вкупе с адресами загрузки вирусов я сообщаю людям, которые платят мне деньги. Они эти вещи прописывают к себе в системы IDS/IPS дабы увидеть, если кто-то в их сети словил этот вирус.

Любопытства ради сходим на domaintools.com и поглядим, где эти айпи адреса находятся. Два на Украине, один в Болгарии, один в Латвии. Дружба народов, бубеныть. Бабло -- это святое.

Отпускаем процесс работать дальше и вот, закономерный финал:



Это шифровальщик по имени Locky. Криптует он, к сожалению, неплохо. Он также имеет восточноевропейское происхождение, скорее всего, российское. В частности, этот вирус не атакует компьютеры, где включена поддержка русского языка. Делай выводы.

Ну, и скриншот с анализом того самого ехешника, который сгрузил загрузчик, с вирустотала. Для того, чтобы ты смог оценить, насколько хорошую защиту тебе дают антивирусы. Вернее, какую защиту они не дают.



Короче, если у тебя Касперский или Симантек иль там AVG или ещё кака неведома зверушка -- ты в пролёте. Нет, я ничего не хочу сказать про компанию Касперского. Просто не надо полагаться на антивирусы как на панацею. Антивирус -- это кондом. Не встречаться с женщинами лёгкого поведения значительно с большей гарантией снизит риск заболевания.

Повторюсь -- всё вышеописанное есть только наиболее быстрый способ кое-что понять. Он не всегда работает, тут много подводных камней, многое опущено, расписан только самый минимум. Но -- даёт представление. Что, наверное, главное.