Doğru ve yanlış klasörler? FakeFolder virüsü yine kurumsal intraneti bozuyor
1. Arka plana genel bakış
Kısa süre önce Sangforun güvenlik ekibi, müşterilerden intranette klasörlerde sahte çok sayıda şüpheli exe dosyasının göründüğüne ve sildikten sonra tekrarlanmaya devam edeceğine dair geri bildirim aldı. Sangfor Güvenlik ekibi tarafından yapılan analiz, bunun USB flash sürücüler ve paylaşılan klasörler aracılığıyla yayılacak bir solucan virüsü olan FakeFolder olduğunu buldu.Ana bilgisayara virüs bulaştıktan sonra, dosya sistemindeki klasörler gizlenecek ve sahte bir klasörle değiştirilecektir. Virüs dosyaları, bir kullanıcı bir virüs dosyası çalıştırdığında, klasöre karşılık gelen bir pencere de açılır, bu nedenle tespit edilmesi kolay değildir; Sistemde bir FakeFolder virüs dosyası kaldığı sürece, ana bilgisayara tekrar tekrar virüs bulaşacaktır.
Sangfor güvenlik ekibi solucan dosyasını çıkardı ve üzerinde ayrıntılı teknikler uyguladı.
İkincisi, virüsün ilkesi
Virüs önce bir alt işlem oluşturur ve temel işlemleri gerçekleştirmek için kötü amaçlı kod enjekte eder, böylece anti-virüs yazılımından kaçınır.
Alt süreç, ana bilgisayar ve ağ bilgilerini toplamak için ghi.bat komut dosyasını yayınlayacaktır.
Yukarıdaki işlemleri tamamladıktan sonra, virüs klasöre bulaşmaya başladı ve tekrarlanan enfeksiyona ulaşmak için autorun.inf ile eşleşti.
Son olarak, virüs ayrıca iki zamanlayıcı oluşturur, kalıcı saldırılara ulaşmak için kayıt defterini düzenli olarak izler ve kamuflaj sağlamak için düzenli olarak Windows sunucusuna erişir.
Üç, virüs fenomeni
Etkilenen ana bilgisayarda, sistemdeki tüm klasörler 328 KB yürütülebilir dosya haline geldi:
Virüs, klasör simgesi olan bir wmimgmt.exe işlemidir:
Dört, virüs maternal analizi
Virüs MFC'de yazılır. İlk olarak, sistem32 yolunu elde etme, sistem işlev adresini dinamik olarak alma, sistem tarafından yüklenen anti-virüs bilgilerini alma ve Kaspersky kurulu değilse sonraki kötü niyetli eylemleri gerçekleştirme dahil olmak üzere bazı başlatma işlemlerini gerçekleştirecektir:
Anti-yazılım süreci tespit edilmezse, virüs kodu, proses enjeksiyon işlemini başlatmak için 0x402DD0 girecektir.
4.1 Enjeksiyon bağlantısı (0x402F70- > 0x402DD0)
Bu bağlantıda, virüs kaynak bölümündeki kötü amaçlı kodu (bir PE dosyası) okuyacak, ardından askıya alınmış durumda bir alt işlem oluşturacak, kötü amaçlı PE'yi alt sürece enjekte etmek için WriteProcessMemory'yi çağıracak ve işlemi devam ettirecek:
5. Kötü amaçlı kod yerleştirme analizi (0x40B070)
Enjekte edilen kötü amaçlı kodu döktük ve analiz ettik ve kötü amaçlı kodun önce programın mevcut yolunun C: \ ProgramData \ ApplicationData mı yoksa C: \ Documents andSettings \ All Users mı olduğunu belirleyeceğini gördük. Değilse, ilgili dizine kopyalayın. Wmimgmt.exe olarak adlandırın ve çalıştırın. Yukarıdaki işlemleri tekrarladıktan sonra, temel kötü amaçlı işlemleri gerçekleştirmek için 0x40BE00'e atlayın:
5.1 Bilgi toplama bağlantısı (0x40B070- > 0x40BE00)
Kötü amaçlı kod, bir muteks oluşturma, diskte gezinme ve virüs komut dosyasını serbest bırakma işlemlerini gerçekleştirmek için 3 iş parçacığı oluşturur:
Komut dosyası ghi.bat olarak adlandırılır ve ana işlemi sistem, ağ ve işlem bilgilerini elde etmektir:
Yukarıdaki işlemleri yaptıktan sonra, kötü amaçlı işlevlerin yürütülmesini izlemek için DialogBoxParamA kullanılarak kalıcı bir iletişim kutusu oluşturulacaktır.
5.2 Zamanlama işlemi bağlantısı (0x40B070- > 0x40BE00- > 0x40BF70)
Sırasıyla 10 saniye ve 30 saniye olmak üzere 2 zamanlayıcı ayarlamak için SetTimer'ı çağırın ve aşağıdaki 3 eylemi düzenli olarak tetikleyin:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ SuperHidden \ UncheckedValue 0 olarak ayarlandı ve gizli dosyalar ve klasörler görüntülenmiyor.
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ wmi32 ekleyin:
Etki alanı adı "windowsupdate.microsoft.com" adresini sorgulayın:
5.3 Disk bağlantısının bulaşması (0x40B070- > 0x40BE00- > 0x40BF70- > 0x40C460)
Başlatma veya donanım aygıtı değiştiğinde, DialogFunc enfeksiyon işlemini bir geri arama modunda yürütür. Etkilenen nesneler USB diskler ve ağ diskleridir:
Bir dizi yargılamadan sonra, nihayet enfeksiyonun temel kısmına geldi, virüs, tekrarlanan enfeksiyona ulaşmak için C: \ RECUCLER \ wmimgmt.exe ve AuToRUn.iNf'yi oluşturacak. wmimgmt.com, virüsün bir klonudur. AuToRUn.iNf kodu aşağıdaki gibidir: İşlev, kullanıcı klasörü açtığında C: \ RECYCLER \ wmimgmt.exe'nin tekrarlanan bulaşmasını otomatik olarak yürütmektir:
Wmimgmt.exe virüs dosyası, normal koşullar altında görüntülenmeyecek özel niteliklere sahiptir:
Son olarak, başlangıçta gördüğümüz klasör değiştirme işlemini gerçekleştirmektir. Virüs önce orijinal klasörü gizler ve ardından virüsün kendisini "klasör adı + .exe" adlı bir klasöre klonlar:
Virüs bulaşmış virüs programını çalıştırmak, kurban tarafından keşfedilmekten kaçınmak için, virüsün gizlediği klasörü açacaktır:
Etkilenen klasör aşağıda gösterilmektedir:
çözüm
Sangfor, kullanıcıların çoğu için ücretsiz anti-virüs araçları sağlar. Algılama ve anti-virüs için aşağıdaki araçları indirebilirsiniz.
64 bit sistem indirme bağlantısı:
32 bit sistem indirme bağlantısı:
* Yazar: FreeBuf.COM'dan yeniden basılmış, son derece ikna olmuş Durugörü güvenlik laboratuvarı
