| Главная » Статьи » Защита » Вирусы |
Вирус - Induc
| Сегодня мой товарищ увлекающийся, помимо всего прочего, разработкой 2D-игр на Delphi прислал мне очередную свою вещицу. Доверяй, но проверяй! — подумал я и по старой доброй традиции отправил файл на VirusTotal. Дождавшись результатов проверки желание побыстрее запустить игрушку как-то пропало… В некоторых ячейках таблицы результатов проверки красивым красным цветом было написано уже знакомое слово «Induc». Немного удившись отсутствию визга (ой, кажется, он так уже давно не делает) своего антивируса я пошёл разбираться. Но не с представителями антивирусной компании, а с устройством заражённого файла. Вспоминая конец лета 2009 года, когда Induc'у удалось заразить среды не только любителей по программировать в Delphi, но и многие популярные программы, такие как QIP и AIMP, и учитывая то, что не впервые раз запускаю файлы своего приятеля, я первым делом решил проверить свою установку. Откомпилировав пустой проект послал его на тот же VirusTotal — индюка нет! Немного успокоившись запускаю виртуальную машину и начитаю устанавливать Delphi 7. Не успев забыть опять вспоминаю конец лета 2009 и обсуждения на многих форумах интернета о том, как эта гадость работает, размножается, чем живёт и понимаю, что нужно воспользоваться чем-то вроде гугла. Однако, лень сильнее, да и к тому же инсталлятор отрапортовал об успешном завершении установки IDE. Первое, что пришло мне в голову, это запустить Process Monitor и посмотреть куда суётся инфицированный файл. Сказано — сделано!  На скриншоте видно, что после многократной записи чего-то там в файл SysConst.pas игрушка обращается к компилятору Delphi (dcc32.exe), очевидно, с попыткой этот pas-файл откомпилировать. Не мудрствуя лукаво, откатившись в исходное состояние виртуалки после установки делфи, подсовываю вместо файла DCC32.EXE свой exe-шник с исходным кодом такого содержания:  И так, в файле copy.pas имеем вот что pastebin.com/QT0tEVJb Сравнивая с оригинальным SysConst.pas видим, что он дополнен вредоносными строчками. Немного поковырявшись, я получил отформатированный исходник pastebin.com/KpmuSii9 (комментарии мои). Как видно, при запуске прежде всего кое-как проверяется не находиться ли программа под отладчиком (зачем?) и запускается на NT-системе или нет, иначе выполнение прекращается. Далее вирус копошится в реестре в поисках установленной версии Delphi и пути к её папке. Затем вызывается процедура, которая считывает исходный файл SysConst.pas, добавляет к нему вредные строки и сохраняет в папку lib, то есть туда же, где расположен файл SysConst.dcu. После этого та же процедура запускает компилятор, получая тем самым заражённый файл SysConst.dcu. Здесь же удаляется вредоносный исходник и выставляется время создания, последнего доступа и модификации для нового файла SysConst.dcu таким, каким оно было у его предшественника. И ещё в файл SysConst.pas записывается строка 'Carpathian Forest CF1.3 BondedByBlood' Вот вроде бы и всё, своё дело Induc сделал… Но осталось ещё несколько незадействованных процедур, которые реализуют не менее вредоносный функционал. Так при запуске процедуры Check проверяется не 13-е ли сегодня октября 2010 года или более, если так оно и есть, то запускается процедура Analize. Эта процедура затирает в первую очередь файлы hal.dll, urlmon.dll, userinit.exe, logoff.exe, rasapi32.dll, explorer.exe, ntdetect.com, затем ищет все файлы на дисках от C: до Z: и точно так же их портит записывая циклично строку 'Carpathian Forest CF1.3 BondedByBlood' разбавленную килобайтом нулевых символов. В конце всего этого открывается окно с заголовком 'TODAY IS A NICE DAY TO DIE.' и текстом 'Carpathian Forest CF1.3 BondedByBlood'. Однако, автор предпочёл скрыть все эти фичи (или просто забыл подключить). | |
| Просмотров: 1969 | |
| Всего комментариев: 0 | |