Penetrator (skadlig programvara)

Penetrator (från engelskan  penetrate  - "introducera") är ett trojanskt program skapat av den ryske studenten Dmitrij Uvarov [1] . Trojanen skrevs i Visual Basic och var avsedd för Windows -operativsystem med en x86-processor . Injicerar sig själv i operativsystemet och utför destruktiva åtgärder på .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip natten till den första januari [2] .

Bakgrund

Det exakta datumet för trojanens uppträdande är okänt. Det antas att han dök upp i mars 2007 . De första rapporterna om skadlig programvara började dyka upp under hösten [2] . Samtidigt dök en legend upp att den ryska programmeraren bestämde sig för att hämnas på flickan som avvisade honom, och tillsammans med hela den digitala världen [3] .

Den första vågen av den trojanska epidemin inträffade den 1 januari 2008 . Inte bara persondatorer var infekterade, utan även företagsnätverk och statliga myndigheter. Flera tusen datorer i Amurregionen skadades . Den andra vågen inträffade den 1 januari 2009 . Denna trojan hittades på den regionala skatteinspektionens och åklagarmyndighetens datorer [4] .

Den 18 januari 2008 greps en tjugoårig ung man i Kaliningrad, som anklagades för att ha skapat detta program [4] . Dmitrij Uvarov erkände fullt ut sin skuld, hjälpte till med utredningen och som ett resultat dömdes han till böter på 3 000 rubel [1] .

Egenskaper

Trojanen distribueras med hjälp av filen flash.scr (117248 bytes, skapad den 08/04/2003 9:00:00 AM), och döljer sig därmed som ett skärmsläckarprogram . Det har också förekommit enstaka fall där den var förklädd till en mp3 -fil .

När den körbara filen startas, introduceras trojanen i mappen "\Documents and Settings\All Users\Documents\" , av filen Documents.scr , för operativsystemet Windows XP , efter att ha introducerats i RAM-minnet och i startsektion. Filinfektion startar först den 1 januari.

Den 1 januari aktiveras trojanen:

• i mappen \WINDOWS\system32\ skapar en mapp DETER177 ;
• i mappen \WINDOWS\system32\DETER177\ skapar en dold fil lsass.exe (117248 byte; till skillnad från den riktiga lsass.exe som finns i mappen \WINDOWS\system32 );
• i mappen \WINDOWS\system32\DETER177\ skapar en dold smss.exe -fil (117248 byte; till skillnad från den riktiga smss.exe som finns i mappen \WINDOWS\system32 );
• i mappen \WINDOWS\system32\DETER177\ skapar en dold fil svchost.exe (117248 byte; bokstäverna "c" och "o"  är kyrilliska, till skillnad från den riktiga svchost.exe );
• i mappen \WINDOWS\system32\ skapar en dold fil AHTOMSYS19.exe (117248 byte);
• i mappen \WINDOWS\system32\ skapar en dold fil ctfmon.exe (117248 byte; bokstäverna "c" och "o"  är kyrilliska, till skillnad från den riktiga ctfmon.exe);
• i mappen \WINDOWS\system32\ skapar en dold fil psador18.dll (32 byte);
• i mappen \WINDOWS\system32\ skapar en dold psagor18.sys -fil (117248 byte);
• filerna АHTOMSYS19.exe , \WINDOWS\system32\DETER177\lsass.exe och \WINDOWS\system32\stfmon.exe laddas automatiskt och finns ständigt närvarande i RAM ;
• trojanens destruktiva verkan är riktad mot .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls , .zip-filer ;

• alla .jpg-filer (.jpg, .jpeg) ersätts av en bmp-bild under skalet .jpg med storlek 69x15 pixlar, 3174 byte med en stiliserad inskription Penetrator . Filerna .bmp, .png, .tiff berörs inte av trojanen;
• innehållet i .doc- och .xls-filerna ersätts med ett obscent textmeddelande (storleken på dessa filer blir 196 byte - beroende på volymen på textmeddelandet);
• trojanen skapar en brännmapp med filerna CDburn.exe och autorun.inf (mappplats: Windows XP  - \Documents and Settings\<Användarnamn>\Local Settings\Application Data\Microsoft\Windows ; Windows Vista och Windows 7  - \Users\ Master\ AppData\Local\Microsoft\Windows\Burn );
• i varje mapp (inklusive undermappar) på disken där flash.scr-filen lanserades skapar trojanen sina kopior av <folder_name>.scr (117248 byte); efter det förstör flash.scr-filen på den här disken (som redan har infekterats) som regel själv, vilket lämnar en dold trojansk fil (utan namn) med tillägget .scr i diskarnas rotkataloger;
• när du öppnar/ansluter lokala/flyttbara enheter, kopieras trojanen till oinfekterad media;
• gör ett dolt anrop till följande system dll-bibliotek: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT. DLL .

Trojanen är förklädd i systemet enligt följande:

• Döljer visningen av "dolda filer och mappar"
• Döljer visningen av filtillägg
• Gör menyalternativet "Mappalternativ" otillgängligt
• Förhindrar att "registerredigeraren" startar
• Blockerar antivirusinstallation
• Blockerar systeminstallationsverktyg från att köras
• Justerar registernycklar så att flash.scr -filen ser ut som en vanlig mapp

Trojanigenkänning av antivirus

Olika antivirus känner igen det olika:

• Avira AntiVir  - TR/Dldr.VB.bnp;
• Avast  -Win32:Trojan-gen;
• AVG  -Downloader.VB.AIM;
• BitDefender  - Trojan.Downloader.VB.VKV;
• ClamAV  - Trojan.Downloader-15571;
• DrWeb  -Win32.HLLW.Kati;
• Eset NOD32  - Win32/VB.NNJ mask;
• F-Secure Anti-Virus  - Trojan-Downloader.Win32.VB.bnp;
• Kaspersky Anti-Virus  - Trojan-Downloader.Win32.VB.bnp;
• McAfee  -Downloader.gen.a
• Panda Security  - W32/Penetrator.A.worm;
• VBA32  - Trojan-Downloader.Win32.VB.bnp.

Anteckningar

1. ↑ 1 2 Författaren till "Penetrator"-viruset klarade sig undan med böter . Hämtad 28 november 2012. Arkiverad från originalet 13 november 2014. (obestämd)
2. ↑ 1 2 Hur förstör man Penetrator-viruset?  (inte tillgänglig länk)
3. ↑ Hur hanterar man Penetrator-viruset? . Tillträdesdatum: 28 november 2012. Arkiverad från originalet 22 augusti 2012. (obestämd)
4. ↑ 1 2 Författaren till Amur-viruset fångades i Kaliningrad . Hämtad 28 november 2012. Arkiverad från originalet 2 oktober 2011. (obestämd)

Länkar

• VirusTotal-kontrollresultat
• Hur man förstör Penetrator-viruset