Wirus, z którym teraz zmierzą się aplikacje zabezpieczające powstał lata temu. Liczba szkód jakie wyrządził jest niepomierna, tym bardziej,że jeszcze w 2010 roku był najpopularniejszym szkodnikiem. Jego działanie polega na infekowaniu praktycznie każdego programu na komputerze (.exe), szybkim kopiowaniu się oraz pobieraniu z sieci dodatkowych zagrożeń , krótko pisząc: malware ten tworzy wirusom park rozrywki z testowanego systemu.
Otóż przedstawiam Wam , Sality
Według tachiona:
" Sality należy do rodziny polimorficznych infektorów,potrafi replikować się na wszystkie partycje w celu infekcji plików wykonywalnych
Dodatkowo dodaje autorun.inf do austostartu,jak i modyfikację rejestru,oczywiście ładunek w pliku jak i autorun inf.jest ukryty,nawiązuje też połączenie ze zdalnym serwerem w celu ściągnięcia dodatkowych infektorów
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "116.96.142.6" on port 80 (TCP - HTTP).
Wirus też uruchamia usługę systemową amsint32 w celu załadowania sterownika amsint32 po to żeby przywrócić SSDT.
Dodatkowo powoduje usunięcie klucza w rejestrze
- machine\system\currentcontrolset\control\safeboot\alternateshell = deleted value key
w celu uniemożliwienia odpalenia systemu w trybie awaryjnym z obsługą sieci,modyfikacje kluczy odpowiedzialnych za firewalla jak i antywirusa
- Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001
- Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001
czyli ogólnie rzecz biorąc usuwa pliki związane z bezpieczeństwem
Log z wykonywania
Detailed report of suspicious malware actions:
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\consoletracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\filedirectory = 2500770069006e0064006900720025005c00740072006100630069006e0067000000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\filetracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasapi32\maxfilesize = 00100000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\consoletracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\filedirectory = 2500770069006e0064006900720025005c00740072006100630069006e0067000000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\filetracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\sality_rasmancs\maxfilesize = 00100000
Changed a service
Checked for debuggers
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_1024.db!dfMaintainer
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_256.db!dfMaintainer
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_32.db!dfMaintainer
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_96.db!dfMaintainer
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!rwReaderRefs
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!rwWriterMutex
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!ThumbnailCacheInit
Created a mutex named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_sr.db!dfMaintainer
Created a mutex named: Local\!IETld!Mutex
Created a mutex named: Local\Shell.CMruPidlList
Created a service named: amsint32
Created a service named: IPFILTERDRIVER
Created an event named: Global\C::Users:tachion:AppData:Local:Microsoft:Windows:Explorer:thumbcache_idx.db!rwWriterEvent
Created process: (null),"C:\Windows\explorer.exe" "C:",(null)
Defined Autostart file created: C:\autorun.inf
Defined Autostart file created: D:\autorun.inf
Defined Autostart file created: E:\autorun.inf
Defined Autostart file created: F:\autorun.inf
Defined code injection in process: c:\windows\explorer.exe
Defined file type created: C:\loyg.exe
Defined file type created: D:\mjgri.exe
Defined file type created: E:\bxgq.exe
Defined file type created: F:\hjmru.exe
Defined file type modified in Windows folder: C:\Windows\SYSTEM.INI
Defined Log_API entry: Change to Windows Firewall Service
Defined Log_API entry: Change to Windows Security Center Service
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\DisplayName = amsint32
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\ErrorControl = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\ImagePath = C:\Windows\system32\drivers\jtqmdn.sys
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\Start = 00000003
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\amsint32\Type = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Users\tachion\Desktop\Sality\Sality.bh.exe = C:\Users\tachion\Desktop\Sality\Sality.bh.exe:*:Enabled:ipsec
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications = 00000001
Detected backdoor listening on port: 8751
Detected keylogger functionality
Detected process privilege elevation
Enumerated running processes
Firewall settings change: machine\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\enablefirewall = empty value key
Got computer name
Got system default language ID
Got user name information
Got volume information
Hide file from user: C:\autorun.inf
Hide file from user: C:\loyg.exe
Hide file from user: D:\autorun.inf
Hide file from user: D:\mjgri.exe
Hide file from user: E:\autorun.inf
Hide file from user: E:\bxgq.exe
Hide file from user: F:\autorun.inf
Hide file from user: F:\hjmru.exe
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "116.96.142.6" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "174.136.52.205" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "202.52.134.70" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "208.73.210.29" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "31.207.80.214" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "87.248.217.253" on port 80 (TCP - HTTP).
Internet connection: C:\Users\tachion\Desktop\Sality\Sality.bh.exe Connects to "93.89.226.24" on port 80 (TCP - HTTP).
Listed all entry names in a remote access phone book
Loaded a system driver named: owana prуba Badowania systemowego sterownika ''amsint32
Opened a service named: acssrv
Opened a service named: Agnitum Client Security Service
Opened a service named: ALG
Opened a service named: Amon monitor
Opened a service named: amsint32
Opened a service named: aswFsBlk
Opened a service named: aswMon2
Opened a service named: aswRdr
Opened a service named: aswSP
Opened a service named: aswTdi
Opened a service named: aswUpdSv
Opened a service named: AV Engine
Opened a service named: avast! Antivirus
Opened a service named: avast! Asynchronous Virus Monitor
Opened a service named: avast! iAVS4 Control Service
Opened a service named: avast! Mail Scanner
Opened a service named: avast! Self Protection
Opened a service named: avast! Web Scanner
Opened a service named: AVG E-mail Scanner
Opened a service named: Avira AntiVir Premium Guard
Opened a service named: Avira AntiVir Premium MailGuard
Opened a service named: Avira AntiVir Premium WebGuard
Opened a service named: AVP
Opened a service named: BGLiveSvc
Opened a service named: BlackICE
Opened a service named: BROWSER
Opened a service named: CAISafe
Opened a service named: ccEvtMgr
Opened a service named: ccProxy
Opened a service named: ccSetMgr
Opened a service named: cmdAgent
Opened a service named: cmdGuard
Opened a service named: COMODO Firewall Pro Sandbox Driver
Opened a service named: Csc
Opened a service named: CscService
Opened a service named: Eset HTTP Server
Opened a service named: Eset Personal Firewall
Opened a service named: Eset Service
Opened a service named: F-Prot Antivirus Update Monitor
Opened a service named: fsbwsys
Opened a service named: FSDFWD
Opened a service named: F-Secure Gatekeeper Handler Starter
Opened a service named: FSMA
Opened a service named: Google Online Services
Opened a service named: InoRPC
Opened a service named: InoRT
Opened a service named: InoTask
Opened a service named: IPFILTERDRIVER
Opened a service named: ISSVC
Opened a service named: KLIF
Opened a service named: KPF4
Opened a service named: LanmanWorkstation
Opened a service named: LavasoftFirewall
Opened a service named: LIVESRV
Opened a service named: McAfeeFramework
Opened a service named: McShield
Opened a service named: McTaskManager
Opened a service named: mpssvc
Opened a service named: navapsvc
Opened a service named: NOD32krn
Opened a service named: NPFMntor
Opened a service named: NSCService
Opened a service named: Outpost Firewall main module
Opened a service named: OutpostFirewall
Opened a service named: PAVFIRES
Opened a service named: PAVFNSVR
Opened a service named: PavProt
Opened a service named: PavPrSrv
Opened a service named: PAVSRV
Opened a service named: PcCtlCom
Opened a service named: PersonalFirewal
Opened a service named: PREVSRV
Opened a service named: ProtoPort Firewall service
Opened a service named: PSIMSVC
Opened a service named: RapApp
Opened a service named: RASMAN
Opened a service named: SavRoam
Opened a service named: Sens
Opened a service named: SharedAccess
Opened a service named: SmcService
Opened a service named: SNDSrvc
Opened a service named: SPBBCSvc
Opened a service named: SpIDer FS Monitor for Windows NT
Opened a service named: SpIDer Guard File System Monitor
Opened a service named: SPIDERNT
Opened a service named: Symantec AntiVirus
Opened a service named: Symantec AntiVirus Definition Watcher
Opened a service named: Symantec Core LC
Opened a service named: Symantec Password Validation
Opened a service named: Tmntsrv
Opened a service named: TmPfw
Opened a service named: UmxAgent
Opened a service named: UmxCfg
Opened a service named: UmxLU
Opened a service named: UmxPol
Opened a service named: vsmon
Opened a service named: VSSERV
Opened a service named: wcncsvc
Opened a service named: WebrootDesktopFirewallDataService
Opened a service named: WebrootFirewall
Opened a service named: wscsvc
Opened a service named: XCOMM
Query DNS: ahmediye.net
Query DNS: ajax.googleapis.com
Query DNS: althawry.org
Query DNS: ampyazilim.com.tr
Query DNS: amsamex.com
Query DNS: api.twitter.com
Query DNS: apple-pie.in
Query DNS: arthur.niria.biz
Query DNS: cdn.dsultra.com
Query DNS: forum.safegroup.pl
Query DNS: g2.arrowhitech.com
Query DNS: plus.google.com
Query DNS: twitter.com
Query DNS:
[Aby zobaczyć linki, zarejestruj się tutaj]
Query DNS:[Aby zobaczyć linki, zarejestruj się tutaj]
Query DNS:[Aby zobaczyć linki, zarejestruj się tutaj]
Query DNS:[Aby zobaczyć linki, zarejestruj się tutaj]
Query DNS:[Aby zobaczyć linki, zarejestruj się tutaj]
Safe Mode settings change: machine\system\currentcontrolset\control\safeboot\alternateshell = deleted value keySafe Mode settings change: machine\system\currentcontrolset\control\safeboot\minimal = deleted registry key
Safe Mode settings change: machine\system\currentcontrolset\control\safeboot\network = deleted registry key
Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\uacdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\updatesdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\uacdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\updatesdisablenotify = 00000001
Show hidden files and folders: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidden = 00000002
Slept over 2 minutes
Started a service
Stopped a service
Jak widać Sality nie należy do byle jakich wirusów, w czasie testu może okazać się, że usunięcie go będzie niemożliwe.
Wirusy polimorficzne...
... czyli zagrożenia potrafiące zmienić swój kod/postać. Cytując za Wikipedią*
Wirusy poliformiczne – typ wirusa posiadający zdolność zmiany kodu swojego dekryptora.
Wirusy polimorficzne składają się z dwóch części:
polimorficznego loadera zwanego również deszyfratorem lub dekryptorem
oraz części zaszyfrowanej, stanowiącą główny kod wirusa.
Najpierw uruchamiany jest dekryptor, który odpowiada za odszyfrowanie w pamięci głównej części wirusa. Kontrola przekazywana jest do głównej części, gdy zostanie ona odszyfrowana.
Wirus infekując plik tworzy nowy polimorficzny deszyfrator, zwykle inny w każdym infekowanym pliku. Istnieją również powolne wirusy polimorficzne. Np. napisany przez GriYo HPS, tworzy dekryptor tylko raz, tuż po uruchomieniu, tak więc nowy dekryptor tworzony jest dopiero przy następnym uruchomieniu komputera.
Autorzy programów antywirusowych zazwyczaj nie mogą stworzyć sygnatury danego wirusa na podstawie dekryptora, ze względu na jego polimorfizm.
Istnieje wiele metod wykrywania tego typu wirusów, z których najbardziej skuteczną jest emulacja. Emulator wykonuje kod polimorficzny do czasu, aż zdeszyfruje on część zaszyfrowaną. W tym momencie możliwe jest wykrycie wirusa za pomocą wzorca. Rozwinięciem idei wirusów polimorficznych są wirusy metamorficzne.
...oraz za cenionym w Polsce producentem- Arcabitem**
Zasada działania
Wirusy z rodziny W32.Sality to grupa wirusów polimorficznych. Potrafią one samodzielnie modyfikować swój kod deszyfrujący w trakcie każdej pojedynczej infekcji kolejnego pliku, co znacznie utrudnia ich wykrywanie przez programy antywirusowe.
Do infekcji dochodzi poprzez uruchomienie zainfekowanego pliku. Plik instaluje w pamięci komputera szkodliwy kod, który utrudnia użytkownikowi normalną pracę blokując dostęp do wybranych programów. Ogranicza to w znacznym stopniu możliwość wykrycia i usunięcia go przez użytkownika podczas pracy na zainfekowanym systemie Windows.
Cechy charakterystyczne
Wirus infekuje pliki .EXE oraz .SCR o rozmiarze do 40MB. Może rozprzestrzeniać się zarażając zasoby dysków sieciowych, a także popularnych dysków pendrive poprzez dopisanie uruchomienia wirusa do pliku startowego autorun.inf. Najczęściej daje znać o sobie blokując dostęp do Edytora rejestru Windows Regedit oraz Menadżera zadań taskmgr
Zapewne wszyscy jesteśmy ciekawi jak z tym leciwym już szkodnikiem poradzą sobie pakiety zabezpieczeń.
Sposób wykonania testu
1. Instalacja oprogramowania antywirusowego + aktualizacja sygnatur wirusów.
2. Wyłączenie funkcji ochronnych.
3. Instalacja próbki Sality, dostarczonej dla mnie przez Wavesa . Uwaga ! Wszystkie programy będą testowane na tym samym samplu, którego rozpoznawalność skaneróww serwisie Virustotal wynosi 40/41. Osoby testujące proszone są o kontakt ze mną .
4. Po około 5 minutach ponowne uruchomienie programu AV oraz dokonanie restartu.
5. Po ponownym uruchomieniu systemu brak działań ze strony testującego przez okres 30-stu minut. Program zabezpieczający będzie w tym czasie walczyć ze szkodliwym wirusem. Sality zaś najprawdopodobniej pobierze inne zagrożenia.
6. Po półgodzinie , nastąpi zablokowanie przez testującego dostępu do sieci na maszynie wirtualnej np. za pomocą Firewalla, a następnie wykonanie pełnego skanu antywirusem.
7. Przeskanowanie systemu programem Malwarebytes i (po włączeniu internetu) Hitmanem Pro.
Warunek zaliczenia
Na moją prośbęF4zwykonał wstępny test na jednym z pakietów zabezpieczających. Okazało się ,że był on w stanie usunąć pliki szkodnika (wyleczyć je) bez uszkodzenia plików systemowych. Skanery nie znalazły śladów Sality po wykonaniu doświadczenia.
Załóżmy jednak ,że z ocenami zaliczył/ niezaliczył wstrzymamy się do końca zawodów . Wyniki podawać będziemy opisowo, to jest:
[*] ile wykryć zanotował program Av po pełnym skanie
[*] ile wykryć wskazały dodatkowe skanery
[*] sam fakt tego , czy program AV przetrwał test ( Sality również infekuje pliki antywirusów).
Już wkrótce pierwsze sprawdziany . Kontrolowane będą tylko najpopularniejsze aplikacje.
Chętnych do wykonania testów zapraszam na PW.
Na dniach zaczynamy
Żródła:
*
[Aby zobaczyć linki, zarejestruj się tutaj]
**https://www.arcabit.pl/zagrozenia-top-10/w32.sality