Penetrátor (malware)
Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od
verze recenzované 16. května 2015; kontroly vyžadují
25 úprav .
| Penetrátor nebo "Pronikající" |
|---|
| Celé jméno (Kaspersky) |
Trojan-Downloader.Win32.VB.bnp |
| Typ |
trojský |
| Rok vzhledu |
2007 |
| Použitý software |
EXE ,
spouštěcí |
| Popis Symantec |
Penetrator (z anglického proniknout - „uvést“) je trojský program vytvořený ruským studentem Dmitrijem Uvarovem [1] . Trojan byl napsán ve Visual Basic a byl určen pro operační systémy Windows s procesorem x86 . Vloží se do operačního systému a provede destruktivní akce na souborech .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip v noci na prvního ledna [2] .
Pozadí
Přesné datum výskytu trojského koně není známo. Předpokládá se, že se objevil v březnu 2007 . První zprávy o malwaru se začaly objevovat na podzim [2] . Zároveň se objevila legenda, že se ruský programátor rozhodl pomstít dívce, která ho odmítla, a spolu s tím i celému digitálnímu světu [3] .
K první vlně trojské epidemie došlo 1. ledna 2008 . Infikovány nebyly pouze osobní počítače, ale také podnikové sítě a vládní agentury. Několik tisíc počítačů v oblasti Amur bylo poškozeno . Druhá vlna nastala 1. ledna 2009 . Tento trojan byl nalezen v počítačích krajské daňové inspekce a státního zastupitelství [4] .
18. ledna 2008 byl v Kaliningradu zadržen dvacetiletý mladík, který byl obviněn z vytvoření tohoto programu [4] . Dmitrij Uvarov plně uznal svou vinu, pomohl vyšetřování a v důsledku toho byl odsouzen k pokutě 3000 rublů [1] .
Charakteristika
Trojský kůň je distribuován pomocí souboru flash.scr (117248 bajtů, vytvořeno 08.04.2003 9:00:00), čímž se maskuje jako spořič obrazovky . Byly také ojedinělé případy, kdy byl maskován jako soubor mp3 .
Po spuštění spustitelného souboru je trojan zaveden do složky "\Documents and Settings\All Users\Documents\" souborem Documents.scr pro operační systém Windows XP po zavedení do paměti RAM a do spouštěcí sekce. Infekce souborů začíná až 1. ledna.
1. ledna je trojský kůň aktivován:
- ve složce \WINDOWS\system32\ vytvoří složku DETER177 ;
- ve složce \WINDOWS\system32\DETER177\ vytvoří skrytý soubor lsass.exe (117248 bajtů; na rozdíl od skutečného lsass.exe umístěného ve složce \WINDOWS\system32 );
- ve složce \WINDOWS\system32\DETER177\ vytvoří skrytý soubor smss.exe (117248 bajtů; na rozdíl od skutečného smss.exe umístěného ve složce \WINDOWS\system32 );
- ve složce \WINDOWS\system32\DETER177\ vytvoří skrytý soubor svchost.exe (117248 bajtů; písmena „c“ a „o“ jsou na rozdíl od skutečného svchost.exe );
- ve složce \WINDOWS\system32\ vytvoří skrytý soubor AHTOMSYS19.exe (117248 bajtů);
- ve složce \WINDOWS\system32\ vytvoří skrytý soubor ctfmon.exe (117248 bajtů; písmena "c" a "o" jsou na rozdíl od skutečného ctfmon.exe v azbuce);
- ve složce \WINDOWS\system32\ vytvoří skrytý soubor psador18.dll (32 bajtů);
- ve složce \WINDOWS\system32\ vytvoří skrytý soubor psagor18.sys (117248 bajtů);
- soubory АHTOMSYS19.exe , \WINDOWS\system32\DETER177\lsass.exe a \WINDOWS\system32\stfmon.exe se automaticky načítají a jsou neustále přítomny v paměti RAM ;
- destruktivní akce trojského koně je zaměřena na .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls , soubory .zip ;
- všechny .jpg soubory (.jpg, .jpeg) jsou nahrazeny bmp-obrázkem pod skořápkou .jpg o velikosti 69x15 pixelů, 3174 byte se stylizovaným nápisem Penetrator . Trojan se nedotýká souborů .bmp, .png, .tiff;
- obsah souborů .doc a .xls je nahrazen obscénní textovou zprávou (velikost těchto souborů je 196 bajtů - podle objemu textové zprávy);
- trojský kůň vytvoří složku Burn se soubory CDburn.exe a autorun.inf (umístění složky: Windows XP - \Documents and Settings\<Uživatelské jméno>\Local Settings\Application Data\Microsoft\Windows ; Windows Vista a Windows 7 - \Users\ Master\ AppData\Local\Microsoft\Windows\Burn );
- v každé složce (včetně podsložek) na disku, na kterém byl spuštěn soubor flash.scr, trojský kůň vytvoří své kopie <název_složky>.scr (117248 bajtů); poté se soubor flash.scr na tomto disku (který již byl infikován) zpravidla sám zničí a v kořenových adresářích disků zůstane skrytý soubor trojského koně (bez jména) s příponou .scr;
- při otevírání/připojování místních/vyměnitelných jednotek se trojský kůň zkopíruje na neinfikované médium;
- provede skryté volání následujících systémových knihoven dll: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT. DLL .
Trojan je v systému maskován takto:
- Skryje zobrazení „skrytých souborů a složek“
- Skryje zobrazení přípon souborů
- Deaktivuje položku nabídky "Možnosti složky" .
- Zabrání spuštění „editoru registru“.
- Blokuje instalaci antiviru
- Blokuje spuštění obslužných programů pro nastavení systému
- Upraví klíče registru tak, aby soubor flash.scr vypadal jako běžná složka
Rozpoznávání trojských koní antiviry
Různé antiviry to rozlišují:
Poznámky
- ↑ 1 2 Autor viru "Penetrator" vyvázl s pokutou . Získáno 28. listopadu 2012. Archivováno z originálu 13. listopadu 2014. (neurčitý)
- ↑ 1 2 Jak zničit virus Penetrator? (nedostupný odkaz)
- ↑ Jak se vypořádat s virem Penetrator? . Datum přístupu: 28. listopadu 2012. Archivováno z originálu 22. srpna 2012. (neurčitý)
- ↑ 1 2 Autor viru Amur byl dopaden v Kaliningradu . Získáno 28. listopadu 2012. Archivováno z originálu dne 2. října 2011. (neurčitý)
Odkazy