はじめに
友人は、空き時間にコンピューターの修理を行っており、キャッチされた別のウイルスを共有しました。 人気のアンチウイルスはそれを検出しませんでしたが、これはまったく驚くことではなく、すぐにその理由がわかります。
プロセスはWindowsタスクマネージャーから隠されていましたが、Auslogicsタスクマネージャーは、System32システムディレクトリにあるupp1.exeとして表示しました。 さらに、OSが64ビットであるか、アドレスC:\ Windowsにインストールされていない場合、virは引き続きC:\ Windows \ System32にインストールされ、それに応じて存在しないディレクトリが作成されます。 プロセスはスタートアップリストにあり、自動実行を使用してブランチが削除されました。 しかし、自動実行が終了するとすぐに、upp2.exeと呼ばれるウイルスの新しいコピーが起動されます。 削除すると、rundl132.exeが円で表示されます。 どうやら、彼らは自分自身を開始し、プロセスの不在についてチェックが行われます。 それは非常に単純に決定されました-プロセスツリーを殺すことによって。
リサーチ
最初に気付いたのは、実行可能ファイルのサイズで、各exeで1 MB強でした。 少なくとも1人の自尊心のあるウイルス作成者がこれに対応できるとは思えません。
さらに興味深いことに移りましょう。 実行可能ファイルの1つをHEXエディターにロードすると、最後からすぐに調べ始めました...そして最後から無駄ではありませんでした!
ファイルの最後には、UTF-8エンコーディングで数百行のテキストがありました。
私のHEXエディターはUTF-8エンコードをサポートしていないため、実行可能ファイルをテキストファイルとして開きました。
このテキストの中で、私は次のことに興味がありました。
右、「Algorithm2」とは何かを見てください。 著者のサイトの説明:「 アルゴリズム2は自宅でプログラムやゲームを作成するための無料のプログラムです。その助けを借りれば、プログラミングの知識がなくても誰でもプログラムを作成できます。 」
.NETを使用して記述された、コードを入力せずにマウスを使用するアプリケーション開発環境のようなもの。 サンプルをダウンロードして見て、そのサイトにとどまらず、IL逆アセンブラーでupp1.exeを起動しました。
残念ながら、クラスと名前空間の名前以外に、興味深いものは見つかりませんでした。
さらに、プロセスがmicrosoft.comからMDAC_TYP.EXEをダウンロードすることが発見されました。 私は、マルウェアがMDACを更新して動作できると想定できます。
system32では、upp1.ver、upp2.verファイル、およびエンジンディレクトリが作成されます。 実行時のエンジンディレクトリで、暗号化された情報の断片を含むファイルg.obo、gm.obo、k.obo、ki.obo、t.oboを見つけましたが、解読できませんでした。
9tcLzYklFri4ABxuu0spYAad5Ed13rA + HUwS6 + fz3d 1JTRrhQ3eqHF4MwCU2k5pfE2FiOR6jz8 + NLOtK5YyIjBBo7RodD / 8r2G1KapUdSWfBzmH IauGuEQ53iweGHB3ooaFZVZwjeX2QMmWqPauhKidIJxBQeNT3LSzxYtZhlO4 =
9tcLzYklFri4ABxuu0spYAad5Ed13rA + HUwS6 + fz3d1JTRrhQ3eqHF4MwCU2k 5pfE2FiOR6jz8 + NLOtK5YyIjKRrAUB + hCDBr98XIlTnhqbO61RgQ061
その他
おわりに
おそらくそれだけです。 誰かが「掘り」に興味がある場合は、 system32.zip (パスワードsystem32 )を入力してください。 他の人のアプリケーションの分析に興味を持ったことがほとんどないことをおpoび申し上げます。これに関する経験はありません。
これはすべて悲しいことです。プログラミングなしで作成され、1 MB以上の重さのウイルスで、.NETを必要とすることもあります。