Пользователь
0,0
рейтинг
12 ноября 2010 в 19:16

Администрирование → Новый файловый вирус с инструкциями ММХ

Nguyen Ngoc Dung, вирусный аналитик вьетнамской компании Bkis, специализирующейся на компьютерной безопасности, в своём блоге написал о появлении новой разновидности файлового вируса семейства Sality. На данный момент, вирусы этого семейства являются одними из наиболее технологичных и распространённых файловых вирусов, поражающих компьютеры пользователей Windows.

На этот раз ситуация интересна тем, что в метаморфном коде вируса присутствуют некоторые инструкции MMX (MultiMedia eXtension), которые ранее не импользовались ни в одном из вредоносов-инфекторов.



Sality с MMX

Обычно, все предыдущие версии Sality использовали только коды x86, как и другие представителя этого типа вредоносов. На сегодняшний день, x86 эмулируется большинством антивирусных эвристиков, соответственно, внедрение ММХ призвано затруднить работу эмуляторов и избежать детектирования.


Генерирование инструкций MOVD mm, r/m32

В коде вируса присутствует всего несколько инструкций ММХ. Однако, судя по динамике развития вредоноса и уровню инноваций, следует ожидать появлений новых версий большим количеством MMX-кода. Более того, в новой версии Sality часть кода, бывшая характерной для этого вредоноса и используемая в сигнатурах, изменена с сохранением работоспособности, например:
R1 = [R2]
(R1 и R2 — 32-битные регистры [] указывает на ячейку памяти, адрес которой хранится в регистре)

Код изменён на::
R1= 0
R1 = R1 xor [R2]

или
R1 = 0
R1 = R1 or [R2]

или
R1 = 0
R1 = R1 + [R2]


Таким образом, становится ещё труднее определить, какой код служит для расшифровки вирусной составляющей, а какой — обычный мусор, какие регистры содержать важную информацию, а какие просто запутывают дизассемблирование. Это предъявляет более серьёзные требования к антивирусным программам.

На текущий момент вредонос детектируется следующими программами, в частности, продукт авторов BKAV детектирует его как W32.SalityVM.PE, а продукты Касперского — как Virus.Win32.Sality.bh.

Гарантированно вылечить поражённые файлы можно бесплатной утилитой SalityKiller от «Лаборатории Касперского».

UPD: Справедливости ради надо сказать, что вредонос был определён эвристиком KIS 2011 как Trojan.Win32.Generic, что полностью отвечает функционалу семейства Sality.
Gray Jack the Fixxxer @gjf
карма
112,2
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Администрирование

Комментарии (53)

  • +15
    и зачем столько рекламы касперского?
    • +11
      Ну, если Вы посмотрите другие мои статьи, то увидите, что я отнюдь не рекламирую Касперского. Даже скорее наоборот :)

      Просто если в чём-то они преуспели — то тут грех не сказать. При любом отношении к ЛК надо быть объективным.
      • 0
        Наверное, это справедливо, да.
        Просто мне в последнее время все больше и больше не нравится их политика и грязноватое поведение (вспомните историю с viruslist, уж не знаю как было раньше, но сейчас там касперский на первом месте в списке рекомендуемых антивирусов, это наталкивает на размышления). Отсюда предвзятость и возмущение столькими упоминаниями лк в посте.
        • +4
          Мне самому многое что не нравится, но если эфристик сработал и утилита обновилась — что ж я могу поделать — это правда и это довольно оперативно.
    • +1
      Sality.Nau самый интересный и тяжелый вирь с которым я когда либо боролся.
      Месяца два изгонял его из сети. Но не каспером его точно удалось таки побороть. Находить то находил, но лечить не мог… и сканить 10 териков снова приходилось ))
      У доктора он обозначался Sector17 и тоже не вылечил никак. Авира решила проблему и по сей день выручает )
  • 0
    >Таким образом, становится ещё труднее определить, какой код служит для расшифровки вирусной составляющей, а какой — обычный >мусор, какие регистры содержать важную информацию, а какие просто запутывают дизассемблирование. Это предъявляет более серьёзные >требования к антивирусным программам.
    хм, на вирустотале детектируют все нормальные антивирусы и даже всякие малопонятные типа nprotect и emsisoft, только symantec лажается, но он что-то меня давно не радует…
    • 0
      aSquarred от Emsisoft — отнюдь не малопонятный, а очень даже :)
      Детектируют — сейчас, да. Никто же не знает, сколько вредонос не детектировался до этого in wild.
      Плюс вопрос по лечению поражённых файлов — насколько оно успешное… Понятно, что 100% не даст никто, но хотелось бы приблизиться.
  • 0
    Думаю, теперь пойдет-поедет… И SSE гаденыши юзать начнут.
  • +9
    когда там первые процессоры с поддержкой MMX появились? В 1996 или 1997 году, напомните? И вообще, где ADM64 версия вируса?
    • 0
      Он там будет выполняться просто как любая программа под х86. Специфично-заточенных на ADM64 ждать вряд ли придётся — потеряется рынок Intel-based.
      • 0
        Хм… советовал бы матчасть подучить. Для начала найти разницу между EMT64,AMD64,x86-64,x64, а потом вспомнить про совместимость ABI, длину указателей и тому подобное.
        • +1
          Скиньте мне в ПМ Вашу электронную почту, я Вам направлю сэмпл, Вы его запустите на тестовой системе под ADM64, а потом поговорим про матчасть :) Если, конечно, есть возможность потестить и систему потом поднять с посекторного бэкапа — сэмпл действительно очень вирулентен.
          • 0
            Хотите сказать, что он сможет внедрится в код 64 битной библиотеки?
            • 0
              Нет, я этого не говорил. Хотите сказать, что в Вашей системе исключительно х64-файлы? ;) И ни одного usermode в х32?
              • 0
                Практически да. Multilib конечно держу, но только для запуска скайпа.
                • 0
                  Ну вот скайп и пойдёт первым ;)
                  • 0
                    Не уверен, что вирь у меня вообще запустится и не упадет с сегфолтом. Система знаете ли плохо под него заточена ;)
                    • +2
                      Может Вы и правы — проверяйте ПМ. О результатах отпишитесь тут — всем будет интересно.
                    • 0
                      Что-то я уже пожалел, что выслал Вам сэмпл — Вы совсем пропали :(
                      Но я Вас честно предупреждал — так что без обид.
                      • 0
                        )))) Я же говорил, не запускается, не находил lib3D.dll, без неё проверить не могу
                • 0
                  Ах ты ж, толстяк, какой толстяк!
  • +2
    С большим интересом жду вирусов, которые будут перепрограммировать IO-MMU/MMU для скрытия своих страниц. В принципе, такой микрогипервизор позволит реально спрятать код от операционной системы и железа.
    • 0
      Ну были же «таблетки», якобы они вполне скрывали своё присутствие от «легитимного» гипервизора. ЕМНИП.
  • +4
    MMX
    Мама моя дорогая, я уже думал, что никогда не услышу эти сочетания букв, когда-то имеющие очень больше значение
    • 0
      Они и сейчас имеют, просто прочно вошли в нашу жизнь и редко упоминаются.
      • 0
        Не, ну ясный перец — наследование никто не отменял

        Однако же вы помните, наверное, как магически звучало это — 166 с поддержкой ММХ =)))
        • 0
          Подсветка дисплея у мобильника тоже в своё время была дополнительной фичей. А сейчас без неё как и без MMX никуда, просто уже можно не упоминать. :)
  • +1
    вирусы этого семейства являются одними из наиболее технологичных и распространённых файловых вирусов, поражающих компьютеры пользователей Windows.

    «Поражающих» — в смысле «удивляющих» (своей технологичностью :)
    • 0
      Нет, в смысле он работает только под Windows. В отличие от темы прошлой статьи ;)
  • 0
    Что такое «файловый» вирус?
    • 0
      Вредоносная программа, заражающая другие файлы (в данном случае — исполняемые) с целью собственного распространения.
      • 0
        кстати да, если ух он весь такой технологичный, то почему не разобрать по косточкам, хотябы ту же систему внедрения в исполняемые файлы, ведь чтобы код внедрить в EXE, чтоб не бросался в глаза, нужно ещё попотеть (хотябы секцию text расширить и таблицу импорта отсортировать в зависимости от гениратора оригинального EXE, ещё чексумы поправить, адреса и тд). думаю вышла бы познавательная статья
        • 0
          По джойнерам есть масса литературы. Таких вирусов куча — на данный момент наиболее интересны Virut и Sality. Тут на самом деле ничего сложного — интересен троянский механизм и противодействие антивирусам. Ах да — у Вирута ещё интересно, что он html заражает (по типу iframe).
          • 0
            да я знаю что много инфы, просто в топике сказано «вирусы этого семейства являются одними из наиболее технологичных», но описан только использование MMX для полиморфизма… в этом вся технологичность? кстати я бы от линка на бинарник не отказался…
            • 0
              «Технологичными» не в плане того, что они — просто файловые вирусы. Там постоянно обновляется процедура защиты от антивирусов, интересный троянский механизм.

              Они интересны в комплексе, а не по отдельным частям.
              • 0
                Спасибо за разьяснение. а вы не в курсе случаем где интересных вирусов можно скачать? или только honeypot на виртуалке городить который будет по злачным местам ползать?
  • +4
    Скорее всего это очередной сторонний криптор, даже отношения не имеющий к sality.
    • 0
      При чём здесь криптор? Это — файловый вирус, он «присоединяется» ко всем исполняемым файлом — он не криптуется. Вы немного перепутали.

      Хотя аналогия некоторая есть — фактически расшифровывается, но только код вируса. Код исходного файла остаётся нетронутым — и в этом отличие от обычных протов/крипторов.
      • 0
        Если он распаковывает исходный бинарник, а с sse инструкциями и метаморфный
        • 0
          Если он распаковывает исходный бинарник, а с sse инструкциями напичкан метаморфный стаб, который достает исходный бинарник из секции, оверлея либо ресурсов и маппит в память, то это самый что ни на есть криптор. Утверждать не буду что тут такое, в глаза не видел.
          • 0
            Он не распаковывает исходный бинарник целиком, а только ту часть, что относится к вредоносу.
  • +1
    Win32.Legacy вышел в 2000 году и тоже использовал MMX для расшифровки.

    Мало того, если погуглить «MMX polymorphic», без труда находится целая серия таких движков. Навскидку
    Prizzy Polymorphic Engine — Jul 1999
    MMXE 1.01 by Billy Belcebu / Spain — September 1999
  • 0
    Мне нравится информация о нем на securelist.com

    www.securelist.com/ru/descriptions/15312802/Virus.Win32.Sality.bh

    Время детекта многим позже времени выпуска обновления баз — это результат синергии эвристики с экстрасенсорикой, получается?
    • 0
      Нет, просто был небольшой сбой с серверами — в итого обновление вышло позже, чем ожидалось, хотя процедура была написана раньше.
      • 0
        Я не о том, там время выпуска обновлений для детекта сего чуда на полтора месяца раньше, чем время детектирования.
        • 0
          Я так понял, ошибку уже исправили? Просто сейчас я не вижу ничего необычного по ссылке.
          • 0
            Да, сейчас информацию исправили и добавили описание вируса.
  • +1
    идея использования расширенных инструкций процессора для обхода антивирусных эмуляторов далеко не нова. еще лет 7 назад про это читал.
    • 0
      Пора уже переходить на 128битные SSE регистры, чего уж там))
  • –1
    Автор, замените «функционал» на «функциональность».
    ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB
  • 0
    Что-то я не понял. И что тут такого нового? Еще в конце 2007 года крипторы уже использовали MMX инструкции такие как CVTPI2PS для обхода антивирусный эмуляторов, чтобы скрыть расшифровку кода. Далее начали юзать вообще SSE.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.