ट्रिपल इन्फ़ेक्टर

जैसा कि सभी जानते हैं, असामान्य वायरस कभी-कभी हमारे अनुसंधान और विकास विभाग में आते हैं। हम उनमें से सबसे दिलचस्प के संचालन के सिद्धांत का वर्णन करते हैं और परीक्षण के लिए हमारे पाठकों की पेशकश करते हैं, सबसे अधिक बार संसाधन www.securelist.ru पर । लेकिन अब हमारे पास एक नया ऑडियंस है - हैबर - और हमने आपके लिए एक दिलचस्प मामले का स्टॉक करने का फैसला किया है। यह सामग्री कैशेस्की लैब के एक एंटीवायरस विशेषज्ञ व्याचेस्लाव ज़कोरज़ेव्स्की द्वारा तैयार की गई थी, जो टिप्पणियों में दिलचस्प सवालों के जवाब देंगे।

इस पोस्ट को लिखने का कारण यह था कि हमने हाल ही में एक कृमि (Trojan.Win32.Lebag.afa) की खोज की थी जो एक ही बार में तीन अलग-अलग प्रकार की फाइलों को संक्रमित करता है। यह एक निष्पादन योग्य मॉड्यूल है और पोर्टेबल निष्पादन योग्य फ़ाइलों (.exe, .dll, .scr), MS Office दस्तावेज़ों (.doc, .xls) और वेब पृष्ठों (.htm, .html) को संक्रमित करने में सक्षम है। संक्रमित फ़ाइलों के माध्यम से फैलने के अलावा, यह कृमि "autorun.inf" फ़ाइल का उपयोग करके कंप्यूटर से कंप्यूटर पर प्रसारित किया जाता है। यह कैसे काम करता है?

यदि आप एक संक्रमित एक्सेल दस्तावेज़ खोलते हैं, तो पहली छाप एक साधारण तालिका है जिसमें असंगत चित्रलिपि और चित्र हैं।

एक संक्रमित एक्सेल दस्तावेज़ का टुकड़ा

हालांकि, यह दस्तावेज़ सरल नहीं है - इसमें एक अतिरिक्त मैक्रो होता है, जिसे वर्म द्वारा जोड़ा जाता है। यह ध्यान दिया जाना चाहिए कि मैक्रो को केवल तभी निष्पादित किया जाएगा जब उपयोगकर्ता स्वयं इसे अनुमति देता है। डिफ़ॉल्ट रूप से, Microsoft Office इसकी कॉल को ब्लॉक कर देगा।

एक संक्रमित एक्सेल दस्तावेज़ का मैक्रो कोड स्निपेट

यह मैक्रो फ़ाइल में वर्णों के एक परिवर्तित अनुक्रम को लिखता है, और आउटपुट "?? expl.exe" नामक एक निष्पादन योग्य फ़ाइल है (पहले दो अक्षर बेतरतीब ढंग से उत्पन्न होते हैं), जो मूल कृमि है। डिस्क पर रिकॉर्डिंग के बाद, यह स्वाभाविक रूप से निष्पादित किया जाएगा।

वेब दस्तावेजों को संक्रमित करना आदिम पद्धति का उपयोग करके किया जाता है। HTML फ़ाइलों के अंत में VBScript स्क्रिप्ट जोड़ी जाती है, जिसकी कार्यक्षमता पिछले VBA मैक्रो से भिन्न नहीं होती है:

एक संक्रमित HTML दस्तावेज़ का टुकड़ा

और अब - पीई-छवियों के संक्रमण के बारे में। आकार में 172 Kb का एक अतिरिक्त ".text" खंड निष्पादन योग्य फ़ाइल के अंत में जोड़ा जाता है। इसमें हमारे कृमि का कूटबद्ध शरीर और डिक्रिप्शन कोड शामिल है। कृमि पीई हेडर में संक्रमित फ़ाइल के प्रवेश बिंदु को संशोधित करता है ताकि यह दुर्भावनापूर्ण कोड को इंगित करने लगे। इसलिए, कार्यक्रम का निष्पादन ठीक से शुरू हो जाएगा, लेकिन अंततः नियंत्रण को मूल ईपी (एंट्री प्वाइंट) में स्थानांतरित कर दिया जाएगा, ताकि उपयोगकर्ता को सिस्टम के संक्रमण का संदेह न हो।

और अंत में - कृमि के बारे में। वह क्या कर रहा है? मैलवेयर डिस्क पर तीन फ़ाइलों को छोड़ देता है: पिछले पुर्जे के लिए जिम्मेदार dll लाइब्रेरी (Backdoor.Win32.IRCNite.clf), dor पुस्तकालय autorun.inf फाइलें (Worm.Win32.Agent.adz) बनाने के लिए जिम्मेदार है, और अंत में तीसरा पुस्तकालय पिछले दो का तत्काल लांचर (Trojan.Win32.Starter.yy) है। सर्वर से कनेक्ट करते समय, पिछले दरवाजे कमांड का इंतजार करता है, और प्राप्त कमांड के आधार पर, यह ट्रोजन-डाउनलोडर या ट्रोजन-स्पाई फ़ंक्शन (डेस्कटॉप का स्क्रीनशॉट भेजना, साथ ही साथ कुकीज़) करता है। इसके अलावा, किसी दिए गए कमांड पर, मैलवेयर को नवीनतम संस्करण में अपडेट किया जा सकता है।

कुल मिलाकर, हमारे पास एक दुर्भावनापूर्ण प्रोग्राम है जो तीन प्रकार की फ़ाइलों (पीई, एक्सएलएस / डीओसी, एचटीएमएल) को संक्रमित करता है, फ्लैश ड्राइव के माध्यम से फैलता है और इसमें बैकडोर कार्यक्षमता होती है। इस तरह के मैलवेयर एक बार फिर से दिखाते हैं: इसके वितरण के लिए 0-दिन के कारनामों का उपयोग करना आवश्यक नहीं है। वैसे, आपको अपने Microsoft Word / Excel में "सुरक्षा स्तर" को कम नहीं करना चाहिए, अन्यथा इससे बुरे परिणाम हो सकते हैं। इसके अलावा, आपको बाहरी मीडिया को कनेक्ट करते समय स्वतः प्रारंभ करने के लिए autorun.inf को अक्षम करना चाहिए। ये आसान टिप्स आपके कंप्यूटर को संक्रमण से बचाएंगे।