Tìm hiểu về mẫu Virus.Win32.Sality.ag
Những loại virus như thế này thường có cơ chế tự tái tạo
các nguồn tài nguyên trên máy tính bị lây nhiễm, không
giống như worm, các loại virus không sử dụng và khai
thác các dịch vụ mạng để tự nhân bản và lây lan s
ang các
máy tính khác.
1 bản sao hoàn chỉnh của virus sẽ tự động “mò” tới các máy
tính nếu đối tượng bị lây nhiễm được xác định theo 1 trong
các cách sau – với vài lí do hoặc nguyên nhân không hề liên
quan đến các chức năng hoạt động của virus đó. Ví dụ như:
- Khi đang tiến hành lây nhiễm vào 1 hoặc nhiều ổ đĩa có
thể truy cập được, virus sẽ xâm nhập vào 1 hoặc nhiều file
cố định trên hệ thống
- Chúng có thể tự sao chép chính bản thân vào những thiết
bị lưu trữ di động
- Khi người sử dụng gửi đi 1 hoc nhiều email với những
file đính kèm đã bị nhiễm virus
Virus.Win32.Sality.ag (theo cách đặt tên của Kaspersky) c
òn
được biết đến dưới những dạng như sau:
- Trojan.Win32.Vilsel.vyz (cũng theo Kaspersky Lab)
- W32/Sality.aa (Panda)
- Virus:Win32/Sality.AT (MS(OneCare))
- Win32/Sality.NBA virus (Nod32)
- Win32.Sality.3 (BitDef7)
- Win32.Sality.BK (VirusBuster)
- W32/Sality.AG (AVIRA)
- W32/Sality.BD (Norman)
- Virus.Win32.Sality.ag [AVP] (FSecure)
- PE_SALITY.BA (TrendMicro)
- Virus.Win32.Sality.at (v) (Sunbelt)
- Win32.Sality.BK (VirusBusterBeta)
Mẫu virus này được phát hiện vào ngày 7/4/2010 lúc 08:21
GMT, hoạt động vào ngàym sau – 8/4/2010 lúc 09:40
GMT, những thông tin phân tích được chính thức công b
cùng ngày – 8/4/2010 tại thời điểm 13:13 GMT.
Phân tích chi tiết về mặt kỹ thuật
Những chương trình độc hại như này thường xuyên lây
nhiễm, “bám” vào các file thc thi trên máy tính blây
nhiễm. Chúng còn có thêm chức năng tự động tải và kích
hoạt thêm các chương trình nguy hiểm khác trên máy tính
của nạn nhân mà h không hề biết. Và về bản chất, chúng là
những file Windows PE EXE, được viết bằng ngôn ngữ
C++.
Khi được kích hoạt, những chương trình này tự động “trích
xuất” 1 hoặc nhiều file từ chính chúng và lưu tại các thư m
ục
hệ thống của Windows với nhiều tên gọi khác nhau:
%System%\drivers\<rnd>.sys
với <rnd> là chuỗi ký tự Latin thường ngẫu nhiên được tạo
ra, ví d như INDSNN. Những file dạng này thường là
driver kernel mode của 5157 byte. Và theo Kaspersky Anti-
Virus chúng được xếp vào lớp Virus.Win32.Sality.ag.
Các driver được giải nén, cài đặt và kích hoạt thành 1 dịch
vụ của Windows được gọi là amsint32.
Quá trình lây nhim
Về bản chất, chúng được tạo ra để lây nhiễm vào tất cả các
file thực thi của Windows với đuôi mở rộng dng *.EXE và
*.SCR. Nhưng chỉ những file chứa những section trong ph
n
PE header bị lây nhiễm: TEXT, UPX và CODE.
Khi lây nhiễm thành công vào file PE, virus sẽ kế thừa các
section cuối cùng trong file và copy phần thân tới phần cuối
của section. Sau đó, chúng sẽ lây lan tới khắp mi nơi trên ổ
cứng và tiếp tục tìm thêm file để lây nhiễm. Và khi những
file lây nhiễm này được kích hoạt, chúng sẽ lập tức copy
phần thân của file nguyên bản vào 1 thư mục tạm được tạo
ra với tên sau:
%Temp%\__Rar\.exe
Để chắc chắn rằng chúng tự động kích hoạt khi hệ thống
khởi động, chúng sẽ tự copy bản thân chúng tới tất cả các
phân vung logical với những tên ngẫu nhiên và phần mở
rộng trong danh sách sau: *.exe, *.pif và *.cmd. Đồng thời,
chúng tạo tiếp các file ẩn trong thư m
ục gốc của những ổ đĩa
này: :\autorun.inf – tại đây những doạn mã, câu lệnh để kích
hoạt các file mã độc được lưu trữ. Hoặc khi người dùng m
Windows Explorer thì những virus này cũng sẽ được kích
hoạt.
Phương thức Payload
Một khi hoạt động, chúng sẽ tạo ra các thông số nhận diện
thống nhất được gọi là Ap1mutx7 để đánh dấu sự hin diện
của chúng trong hệ thống. Và sau đó, chúng s
ẽ tiếp tục tải dữ
liệu từ những địa chỉ sau:
http://*******nc.sa.funpic.de/images/logos.gif
http://www.*********ccorini.com/images/logos.gif
http://www.********gelsmagazine.com/images/logos.gif
http://www.********ukanadolu.com/images/logos.gif
http://******vdar.com/logos_s.gif
http://www.****r-adv.com/gallery/Fusion/images/logos.gif
http://********67.154/testo5/
http://*********stnet777.info/home.gif
http://*******stnet888.info/home.gif
http://***********net987.info/home.gif
http://www.**********wieluoi.info/
http://**********et777888.info/
http://********7638dfqwieuoi888.info/
Những file này sẽ được lưu vào thư mục %Temp% và t
động kích hoạt. Tại thời điểm này, nhng mẫu sau sẽ được
tải về hệ thống từ những đường dẫn liệt kê bên trên:
- Backdoor.Win32.Mazben.ah
- Backdoor.Win32.Mazben.ax
- Trojan.Win32.Agent.didu
Những mẫu trên được tạo ra chủ yếu để spam, phát tán thư
rác. Ngoài nhiệm vụ tải thêm các malware độc hại khác,
những virus trên còn có thể chỉnh sửa lại các thông số hệ
thống của Windows, chẳng hạn như:
- Khóa chức năng hoạt động của Task Manager, từ chối
chỉnh sửa Registry bằng cách thay đổi khóa sau:
[HKÑU\Software\Microsoft\Windows\CurrentVersion\Polici
es\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
- Thay đổi các thiết lập của Windows Security Center bằng
cách can thiệp và Registry theo cách sau:
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
- Các file ẩn sẽ không thể bị hiển thị bằng cách thêm các
tham số sau vào Registry:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\
Advanced]
"Hidden"=dword:00000002
Thay đổi các lựa chọn trong các trình duyệt mặc định luôn
luôn kích hoạt chế độ online:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Intern
et Settings]
"GlobalUserOffline"=dword:00000000
Tắt bỏ chức năng UAC (User Account Control) bằng cách
thay đổi thông số EnableLUA trong Registry thành 0:
[HKLM\Software\Microsoft\Windows\CurrentVersion\polici
es\system]
"EnableLUA"=dword:00000000
- Tự gán chính chúng vào danh sách ng dụng an toàn của
Windows firewall để được phép truy cập Internet và mạng