Dropper
Дроппер — это программа которая специально создана для установки вредоносного ПО (вируса, бэкдора и т.д.) на компьютер-жертву. Основное назначение дроппера — скрыть вредоносную программу, находящуюся у него внутри, от обнаружения антивирусными программами.
Дроппер — может представлять собой специально написанную программу, или модифицированный файл. К примеру – исходный вирус последовательно сжимается и модифицируется набором различных упаковщиков до тех пор пока не перестанет обнаруживаться антивирусными программами.
Dropper.Agent.Win32 — шкідлива програма для скритного встановлення в систему файлів і програм. Являє собою спеціально упакований і модифікований файл, що містить всередині шкідливу програму.
Dropper.Inor.VBS.3 (Zillya), VBS:Malware-gen (AVAST), Trojan.Script.84134 (BitDefender), Trojan.MulDrop.586 (DrWeb), Trojan-Dropper.VBS.Inor.bh (Kaspersky), VBS/TrojanDropper.Inor.BH (NOD32), JS.Exception.Exploit (Symantec), TROJ_Generic.DIT (TrendMicro).
Dropper.Agent.Win32.62146 (Zillya), Trojan.Generic.5892779 (BitDefender), Trojan-Dropper.Win32.Agent.epfw (Kaspersky), Artemis!59ED0C2A5000 (McAfee), Win32/TrojanDropper.Agent.HBAROLV (NOD32), WS.Reputation.1 (Symantec).
Virus.Sality.Win32.15 (Zillya), Trojan.MulDrop2.9446 (DrWeb), Trojan-Dropper.Win32.Agent.emxg (Kaspersky), Artemis!43CA64FF4334 (McAfee), Win32/VB.PPU (NOD32), TrojanDropper.Agent.emxg (VBA32).
Dropper.Jascript.Win32.39 (Zillya), Trojan.Generic.4580169 (BitDefender), Trojan.MulDrop1.47539 (DrWeb), Trojan-Dropper.Win32.Jascript.ayb (Kaspersky), Generic Dropper!deq (McAfee), Trojan.Gen (Symantec), Trojan-Dropper.Win32.Jascript.ayb (VBA32)
Dropper.Agent.Win32 (Zillya), Win32:Agent (Avast), Trojan.Generic (BitDefender), Trojan.MulDrop (DrWeb) Trojan-Dropper.Win32.Agent (Kaspersky), Artemis! (McAfee), Win32/TrojanDropper.Agent (NOD32), Downloader (Symantec), TROJ_FAM177 (TrendMicro), Trojan-Dropper.Win32.Ag .
Trojan.Dropper
EnigmaSoft Threat Scorecards — это отчеты об оценке различных вредоносных программ, которые были собраны и проанализированы нашей исследовательской группой. EnigmaSoft Threat Scorecards оценивает и ранжирует угрозы, используя несколько показателей, включая реальные и потенциальные факторы риска, тенденции, частоту, распространенность и постоянство. EnigmaSoft Threat Scorecards регулярно обновляются на основе данных и показателей наших исследований и полезны для широкого круга пользователей компьютеров, от конечных пользователей, ищущих решения для удаления вредоносных программ из своих систем, до экспертов по безопасности, анализирующих угрозы.
EnigmaSoft Threat Scorecards отображает разнообразную полезную информацию, в том числе:
Рейтинг: рейтинг конкретной угрозы в базе данных угроз EnigmaSoft.
Уровень серьезности: определенный уровень серьезности объекта, представленный в числовом виде на основе нашего процесса моделирования рисков и исследований, как описано в наших критериях оценки угроз .
Зараженные компьютеры: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженной на зараженных компьютерах, по данным SpyHunter.
Уровень угрозы: | 90 % (Высокая) |
Зараженные компьютеры: | 3,494 |
Первый раз: | July 24, 2009 |
Последний визит: | February 13, 2023 |
ОС(а) Затронутые: | Windows |
Trojan.Dropper предназначен для доставки полезной нагрузки в компьютерную систему жертвы. Тем не менее, Trojan.Dropper обычно возглавляет крупномасштабную атаку, а не само заражение. Как правило, одной из основных целей компьютерных преступников является поиск способов установить вредоносное ПО на компьютер жертвы, не предупреждая жертву о вторжении. Trojan.Dropper — типичный и довольно распространенный метод. Как правило, Trojan.Dropper содержит внутри себя вредоносное ПО, предназначенное для доставки инфекции путем ее копирования в файловую систему компьютера жертвы. Trojan.Dropper обычно устанавливает и запускает установленное вредоносное ПО, а затем часто удаляет себя или просто остается безвредным в компьютерной системе жертвы.
Trojan.Dropper обычно сбивает с толку жертву и не вызывает никаких симптомов. Типичный пример Trojan.Dropper — поддельная заставка, при открытии которой просто отображается сообщение об ошибке. Однако, хотя сообщение об ошибке может выглядеть подлинным, на самом деле оно было частью тактики Trojan.Dropper по установке своей полезной нагрузки без ведома пользователя о проблеме. Многие заражения Trojan.Dropper включают в себя алгоритм шифрования, какой-то обфускатор или алгоритм упаковки, что значительно затрудняет их обнаружение и удаление, чем обычно.
Обычно Trojan.Dropper создается как способ распространения вредоносных программ, поскольку Trojan.Dropper относительно дешев и легко распространяется. Trojan.Dropper также мало опасен для создавших его преступников, поскольку им легко замести следы, когда до заражения несколько шагов. Однако одна из особенностей Trojan.Dropper, которая делает их привлекательными для преступников, заключается в том, что их можно легко замаскировать, просто изменив значок и имя файла. Полезная нагрузка типичного Trojan.Dropper будет варьироваться от одного случая к другому. Как правило, они сбрасывают исполняемые файлы, которые затем могут заразить компьютерную систему жертвы или загрузить вредоносное ПО из удаленного места.
Есть несколько симптомов, связанных с Trojan.Dropper. Некоторые виды инфекций Trojan.Dropper отображают поддельное сообщение об ошибке при сбросе своей полезной нагрузки. Однако в большинстве случаев Trojan.Dropper вообще не проявляет признаков заражения. Обычно симптомы в зараженной компьютерной системе вызываются полезной нагрузкой Trojan.Dropper, а не дроппером. Некоторые примеры заражения Trojan.Dropper будут связаны с руткитами, которые скрывают полезную нагрузку Trojan.Dropper, а также могут вносить изменения в настройки системы и реестр Windows.
Trojan-Dropper.Win32.Agent.rek: «легальный» руткит
В заметке описывается драйвер, который загружается вирусом, рассмотренным в предыдущей части. Драйвер работает на уровне ядра операционной системы, и обеспечивает «привилегированное» прикрытие основной функциональности трояна, которая работает в режиме пользователя (авторское название компоненты — winnt32.dll. Подробнее о ней см. habrahabr.ru/blog/virus/43787.html).
Краткое описание.
Программа представляет собой nt-драйвер (так же известны, как legacy-драйвера, то есть не связанные ни с каким физическим устройством). Является руткитом: используя механизмы ядра ОС, лишает другие программы доступа к некоторым файлам и ключам реестра.
Детектируется касперским как Trojan-Dropper.Win32.Agent.rek. Размер 27548 байтов.
Лирическое отсутпление. «Обычный» руткит может использовать недостатки в реализации ОС для сокрытия объектов: файлов, сетевых соединений, и так далее вплоть до секторов жесткого диска. Для этого в простейшем случае делается перехват системного вызова. Системный вызов по сути — это вызов функции, а вызов функции — это передача управления по указанному адресу. Руткит записывает по этому адресу свой код, который трансформирует результат оригинальной функции. К примеру, проверяет, пытается ли кто-то открывать файл с телом вируса, и возвращает какой-нибудь код ошибки, например «доступ заперещен».
Руткит перехватывает обращения с реестру и файлам, используя легальные методы самой ОС.
Файловая система
Используя функцию ядра IoRegisterFsRegistrationChange, драйвер подписыватеся на получение события об активизации/отключении файловой системы. То есть ОС сама уведомляет драйвер, да еще и передает ему структуру DEVICE_OBJECT, описывающую «устройство» файловой системы и ее драйвер. «Устройство файловой системы» — это, грубо говоря, то, посредством чего пользователь видит данные на диске, организованные в виде папок и фалов.
Справочник говорит следующее: The IoRegisterFsRegistrationChange routine registers a file system filter driver’s notification routine to be called whenever a file system registers or unregisters itself as an active file system.
В структуре DEVICE_OBJECT, описывающей устройство, драйвер заменяет обработчик запроса IRP_MJ_CREATE на свой. Запрос IRP_MJ_CREATE генерируется изнутри NtCreateFile при открытии файла. Новый обработчик сравнивает запрошенное имя с именем файла собственно драйвера (которое задается дроппером в форме Wwwdd.sys, например Jer24.sys), и, в случае совпадения, возвращает код ошибки STATUS_ACCESS_DENIED.
Ключи реестра
Обращение к ключам реестра реализованно не менее легально: используя функцию CmRegisterCallback, драйвер подписывается на уведомление о всех обращениях к реестру. Стоит ли говорить о том, как начинает тормозить компьютер?
A driver calls CmRegisterCallback to register a RegistryCallback routine, which is called every time a thread performs an operation on the registry.
При обращении к ключам реестра:
HKLM\System\CurrentControlSet\Sevices\DRIVER-NAME
HKLM\System\ControlSet001\Sevices\DRIVER-NAME
HKLM\System\ControlSet002\Sevices\DRIVER-NAME
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\DRIVER-NAME
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\DRIVER-NAME
HKLM\System\ControlSet001\Control\SafeBoot\Minimal\DRIVER-NAME
HKLM\System\ControlSet001\Control\SafeBoot\Minimal\DRIVER-NAME
HKLM\System\ControlSet002\Control\SafeBoot\Network\DRIVER-NAME
HKLM\System\ControlSet002\Control\SafeBoot\Network\DRIVER-NAME
драйвер возвращает код ошибки STATUS_ACCESS_DENIED.
Запрет на удаление файла:
Запрет на удаление ключа реестра:
Вот система передает руткиту информацию о CDFS:
kd> kb ChildEBP RetAddr Args to Child f9dfbc10 80568d01 818158b8 00000001 818cff38 Qvk71+0x1970 f9dfbc2c f9d3d10b 818cff38 f9d3d970 f9dfbc7c nt!IoRegisterFsRegistrationChange+0xab f9dfbc3c f9d3cdb0 818cff38 00000000 00000000 Qvk71+0x110b f9dfbc7c 805757dc 818cff38 815dd000 00000000 Qvk71+0xdb0 f9dfbd4c 805758eb 000005b8 00000001 00000000 nt!IopLoadDriver+0x66c f9dfbd74 80533fe6 000005b8 00000000 819ca3c8 nt!IopLoadUnloadDriver+0x45 f9dfbdac 805c4cce f7e48cf4 00000000 00000000 nt!ExpWorkerThread+0x100 f9dfbddc 805411c2 80533ee6 00000001 00000000 nt!PspSystemThreadStartup+0x34 00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16 kd> dt -r1 _DEVICE_OBJECT poi(esp+4) nt!_DEVICE_OBJECT +0x000 Type : 3 +0x002 Size : 0xb8 +0x004 ReferenceCount : 1 +0x008 DriverObject : 0x817eba20 _DRIVER_OBJECT +0x000 Type : 4 +0x002 Size : 168 +0x004 DeviceObject : 0x8172e020 _DEVICE_OBJECT +0x008 Flags : 0x92 +0x00c DriverStart : 0xf9c0c000 +0x010 DriverSize : 0xf900 +0x014 DriverSection : 0x818c9960 +0x018 DriverExtension : 0x817ebac8 _DRIVER_EXTENSION +0x01c DriverName : _UNICODE_STRING "\FileSystem\Cdfs" +0x024 HardwareDatabase : 0x8066ecd8 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM" +0x028 FastIoDispatch : 0xf9c0e400 _FAST_IO_DISPATCH +0x02c DriverInit : 0xf9c19a85 long Cdfs!GsDriverEntry+0 +0x030 DriverStartIo : (null) +0x034 DriverUnload : 0xf9c0fca5 void Cdfs!CdUnload+0 +0x038 MajorFunction : [28] 0xf9c0c400 long Cdfs!CdFsdDispatch+0 +0x00c NextDevice : (null) +0x010 AttachedDevice : (null) +0x014 CurrentIrp : (null) +0x018 Timer : (null) +0x01c Flags : 0x10840 +0x020 Characteristics : 0 +0x024 Vpb : (null) +0x028 DeviceExtension : (null) +0x02c DeviceType : 3 +0x030 StackSize : 1 '' +0x034 Queue : __unnamed +0x05c AlignmentRequirement : 0 +0x060 DeviceQueue : _KDEVICE_QUEUE +0x074 Dpc : _KDPC +0x094 ActiveThreadCount : 0 +0x098 SecurityDescriptor : 0xe139df00 +0x09c DeviceLock : _KEVENT +0x0ac SectorSize : 0x800 +0x0ae Spare1 : 0 +0x0b0 DeviceObjectExtension : 0x81815970 _DEVOBJ_EXTENSION +0x0b4 Reserved : (null)
Вывод.
В невидимой борьбе вирусов с антивирусами, когда все на свете перехватыватся и переперехватывается, используемый данным руткитом метод легален, а поэтому наиболее опасен. Со своей большой колокольни могу предположить, что снять такой хук на практике нереально. Либо перехватывать собственно процедуры регистрации таких уведомлений (типа CmRegisterCallback), запретив вызывать ее кому не попадя.
С другой стороны, грань, разделюящая вирусы и антивирусы, становится все тоньше и терерь едва заметна. Они используют одинаковые механизмы для сокрытия данных или отслеживания работы обычных программ. И, кстати, шаги к этому совершаются больше темной стороной.
Trojan-Dropper
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
- скрытной инсталляции троянских программ и вирусов;
- защиты от детектирования известных вредоносных программ антивирусами, поскольку не все из них в состоянии проверить все компоненты внутри подобных троянцев.
Публикации на схожие темы
- ToddyCat: не поддавайтесь панике и проверяйте логи
- Развитие информационных угроз в третьем квартале 2022 года. Мобильная статистика
- Развитие информационных угроз в третьем квартале 2022 года
Поиск
- Детектируемые объекты
- Кто и почему создает вредоносные программы?
- Три условия существования вредоносных программ
- Способы проникновения вредоносных программ в систему
- Классификация детектируемых объектов
- Типы детектируемых объектов
- Вредоносные программы
- Вирусы и черви
- Троянские программы
- Подозрительные упаковщики
- Вредоносные утилиты
- Adware
- Pornware
- Porn-Dialer
- Porn-Downloader
- Porn-Tool
- Client-SMTP
- Client-P2P
- Client-IRC
- Dialer
- FraudTool
- Monitor
- NetTool
- PSWTool
- RemoteAdmin
- RiskTool
- Server-Web
- Server-Telnet
- Server-Proxy
- Server-FTP
- WebToolbar
- 1970-е
- 1980-е
- 1987
- 1988
- 1989
- 1990
- 1991
- 1992
- 1993
- 1994
- 1995
- 1996
- 1997
- 1998
- 1999
- 2000
- 2001
- 2002
- 2003
- 2004
- 2005
- 2006
- Выбор антивирусной защиты
- Качество антивирусной защиты и проблемы антивирусных программ
- Новые технологии против традиционных решений
- Независимое тестирование
- Что такое спам
- Что такое «фишинг»
- Инфраструктура спам-рынка
- Вред от спама
- Тематики спама
- Спам «для взрослых»
- «Цепочечные письма»
- Фармацевтический спам
- «Нигерийские» письма
- Поддельные уведомления о выигрыше в лотерею
- «Личные финансы»
- Программные уязвимости
- Примеры распространенных уязвимостей
- Статистика использования уязвимостей
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Связаться с нами
Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
- Вредоносные программы
- Типы детектируемых объектов