Tìm hiểu mẫu Virus.Win32.Sality.ag

Tìm hiểu về mẫu Virus.Win32.Sality.ag.Những loại virus như thế này thường có cơ chế tự tái tạo các nguồn tài nguyên trên máy tính bị lây nhiễm, không giống như worm, các loại virus không sử dụng và khai thác các dịch vụ mạng để tự nhân bản và lây lan sang các máy tính khác. 1 bản sao hoàn chỉnh của virus sẽ tự động “mò” tới các máy tính nếu đối tượng bị lây nhiễm được xác định theo 1 trong các cách sau – với vài lí do hoặc nguyên nhân không hề liên quan đến các...
Nội dung trích xuất từ tài liệu:
Tìm hiểu mẫu Virus.Win32.Sality.agTìm hiểu về mẫu Virus.Win32.Sality.agNhững loại virus như thế này thường có cơ chế tự tái tạo các nguồn tàinguyên trên máy tính bị lây nhiễm, không giống như worm, các loạivirus không sử dụng và khai thác các dịch vụ mạng để tự nhân bản vàlây lan sang các máy tính khác. 1 bản sao hoàn chỉnh của virus sẽ tự động“mò” tới các máy tính nếu đối tượng bị lây nhiễm được xác định theo 1 trongcác cách sau – với vài lí do hoặc nguyên nhân không hề liên quan đến cácchức năng hoạt động của virus đó. Ví dụ như:- Khi đang tiến hành lây nhiễm vào 1 hoặc nhiều ổ đĩa có thể truy cập được,virus sẽ xâm nhập vào 1 hoặc nhiều file cố định trên hệ thống- Chúng có thể tự sao chép chính bản thân vào những thiết bị lưu trữ di động- Khi người sử dụng gửi đi 1 hoặc nhiều email với những file đính kèm đã bịnhiễm virusVirus.Win32.Sality.ag (theo cách đặt tên của Kaspersky) còn được biết đếndưới những dạng như sau:- Trojan.Win32.Vilsel.vyz (cũng theo Kaspersky Lab)- W32/Sality.aa (Panda)- Virus:Win32/Sality.AT (MS(OneCare))- Win32/Sality.NBA virus (Nod32)- Win32.Sality.3 (BitDef7)- Win32.Sality.BK (VirusBuster)- W32/Sality.AG (AVIRA)- W32/Sality.BD (Norman)- Virus.Win32.Sality.ag [AVP] (FSecure)- PE_SALITY.BA (TrendMicro)- Virus.Win32.Sality.at (v) (Sunbelt)- Win32.Sality.BK (VirusBusterBeta)Mẫu virus này được phát hiện vào ngày 7/4/2010 lúc 08:21 GMT, hoạt độngvào ngày hôm sau – 8/4/2010 lúc 09:40 GMT, những thông tin phân tíchđược chính thức công bố cùng ngày – 8/4/2010 tại thời điểm 13:13 GMT.Phân tích chi tiết về mặt kỹ thuậtNhững chương trình độc hại như này thường xuyên lây nhiễm, “bám” vàocác file thực thi trên máy tính bị lây nhiễm. Chúng còn có thêm chức năng tựđộng tải và kích hoạt thêm các chương trình nguy hiểm khác trên máy tínhcủa nạn nhân mà họ không hề biết. Và về bản chất, chúng là những fileWindows PE EXE, được viết bằng ngôn ngữ C++.Khi được kích hoạt, những chương trình này tự động “trích xuất” 1 hoặcnhiều file từ chính chúng và lưu tại các thư mục hệ thống của Windows vớinhiều tên gọi khác nhau:%System%drivers.sysvới là chuỗi ký tự Latin thường ngẫu nhiên được tạo ra, ví dụ nhưINDSNN. Những file dạng này thường là driver kernel mode của 5157 byte.Và theo Kaspersky Anti-Virus chúng được xếp vào lớpVirus.Win32.Sality.ag.Các driver được giải nén, cài đặt và kích hoạt thành 1 dịch vụ của Windowsđược gọi là amsint32.Quá trình lây nhiễmVề bản chất, chúng được tạo ra để lây nhiễm vào tất cả các file thực thi củaWindows với đuôi mở rộng dạng *.EXE và *.SCR. Nhưng chỉ những filechứa những section trong phần PE header bị lây nhiễm: TEXT, UPX vàCODE.Khi lây nhiễm thành công vào file PE, virus sẽ kế thừa các section cuối cùngtrong file và copy phần thân tới phần cuối của section. Sau đó, chúng sẽ lâylan tới khắp mọi nơi trên ổ cứng và tiếp tục tìm thêm file để lây nhiễm. Vàkhi những file lây nhiễm này được kích hoạt, chúng sẽ lập tức copy phần thâncủa file nguyên bản vào 1 thư mục tạm được tạo ra với tên sau:%Temp%\__Rar.exeĐể chắc chắn rằng chúng tự động kích hoạt khi hệ thống khởi động, chúng sẽtự copy bản thân chúng tới tất cả các phân vung logical với những tên ngẫunhiên và phần mở rộng trong danh sách sau: *.exe, *.pif và *.cmd. Đồng thời,chúng tạo tiếp các file ẩn trong thư mục gốc của những ổ đĩa này::autorun.inf – tại đây những doạn mã, câu lệnh để kích hoạt các file mã độcđược lưu trữ. Hoặc khi người dùng mở Windows Explorer thì những virusnày cũng sẽ được kích hoạt.Phương thức PayloadMột khi hoạt động, chúng sẽ tạo ra các thông số nhận diện thống nhất đượcgọi là Ap1mutx7 để đánh dấu sự hiện diện của chúng trong hệ thống. Và sauđó, chúng sẽ tiếp tục tải dữ liệu từ những địa chỉ sau:http://*******nc.sa.funpic.de/images/logos.gifhttp://www.*********ccorini.com/images/logos.gifhttp://www.********gelsmagazine.com/images/logos.gifhttp://www.********ukanadolu.com/images/logos.gifhttp://******vdar.com/logos_s.gifhttp://www.****r-adv.com/gallery/Fusion/images/logos.gifhttp://********67.154/testo5/http://*********stnet777.info/home.gifhttp://*******stnet888.info/home.gifhttp://***********net987.info/home.gifhttp://www.**********wieluoi.info/http://**********et777888.info/http://********7638dfqwieuoi888.info/Những file này sẽ được lưu vào thư mục %Temp% và tự động kích hoạt. Tạithời điểm này, những mẫu sau sẽ được tải về hệ thống từ những đường dẫnliệt kê bên trên:- Backdoor.Win32.Mazben.ah- Backdoor.Win32.Mazben.ax- Trojan.Win32.Agent.diduNhững mẫu trên được tạo ra chủ yếu để spam, phát tán thư rác. Ngoài nhiệmvụ tải thêm các malware độc hại khác, những virus trên còn có thể chỉnh sửalại các thông số hệ thống của Windows, chẳng hạn như:- Khóa chức năng hoạt động của Task Manager, từ chối chỉnh sửa Registrybằng cách thay đổi khóa sau:[HKÑUSoftwareMicroso ...