Penetrator (malware)

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 16 mai 2015; verificările necesită 25 de modificări .

Penetrator sau „Penetrator”
Nume complet (Kaspersky)	Trojan-Downloader.Win32.VB.bnp
Tip de	troian
Anul apariției	2007
Software utilizat	EXE , bootabil
Descriere Symantec

Penetrator (din engleză penetrate - „introduce”) este un program troian creat de studentul rus Dmitry Uvarov [1] . Troianul a fost scris în Visual Basic și a fost destinat sistemelor de operare Windows cu procesor x86 . Se injectează în sistemul de operare și efectuează acțiuni distructive pe .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip în noaptea de 1 ianuarie [2] .

Fundal

Data exactă a apariției troianului este necunoscută. Se presupune că a apărut în martie 2007 . Primele rapoarte de malware au început să apară în toamnă [2] . În același timp, a apărut o legendă că programatorul rus a decis să se răzbune pe fata care l-a respins, și împreună cu întreaga lume digitală [3] .

Primul val al epidemiei troiene a avut loc la 1 ianuarie 2008 . Nu numai computerele personale au fost infectate, ci și rețelele întreprinderilor și agențiile guvernamentale. Câteva mii de calculatoare din regiunea Amur au fost avariate . Al doilea val a avut loc la 1 ianuarie 2009 . Acest troian a fost găsit pe computerele inspectoratului fiscal regional și ale parchetului [4] .

Pe 18 ianuarie 2008, la Kaliningrad a fost reținut un tânăr de douăzeci de ani, care a fost acuzat că a creat acest program [4] . Dmitri Uvarov și-a recunoscut pe deplin vinovăția, a ajutat la anchetă și, ca urmare, a fost condamnat la o amendă de 3.000 de ruble [1] .

Caracteristici

Troianul este distribuit folosind fișierul flash.scr (117248 octeți, creat la 08/04/2003 9:00:00), deghându-se astfel ca un program de salvare de ecran . Au existat, de asemenea, cazuri izolate în care a fost deghizat în fișier mp3 .

La lansarea fișierului executabil, troianul este introdus în folderul „\Documents and Settings\All Users\Documents\” , prin fișierul Documents.scr , pentru sistemul de operare Windows XP , după ce a fost introdus în RAM și în secțiunea de pornire. Infectarea fișierelor începe abia pe 1 ianuarie.

Pe 1 ianuarie, troianul este activat:

în folderul \WINDOWS\system32\ creează un folder DETER177 ;
în folderul \WINDOWS\system32\DETER177\ creează un fișier ascuns lsass.exe (117248 octeți; spre deosebire de lsass.exe real aflat în folderul \WINDOWS\system32 );
în folderul \WINDOWS\system32\DETER177\ creează un fișier smss.exe ascuns (117248 octeți; spre deosebire de smss.exe real aflat în folderul \WINDOWS\system32 );
în folderul \WINDOWS\system32\DETER177\ creează un fișier ascuns svchost.exe (117248 octeți; literele „c” și „o” sunt chirilice, spre deosebire de svchost.exe real );
în folderul \WINDOWS\system32\ creează un fișier ascuns AHTOMSYS19.exe (117248 octeți);
în folderul \WINDOWS\system32\ se creează un fișier ascuns ctfmon.exe (117248 octeți; literele „c” și „o” sunt chirilice, spre deosebire de ctfmon.exe real);
în folderul \WINDOWS\system32\ creează un fișier ascuns psador18.dll (32 octeți);
în folderul \WINDOWS\system32\ creează un fișier psagor18.sys ascuns (117248 octeți);
fișierele АHTOMSYS19.exe , \WINDOWS\system32\DETER177\lsass.exe și \WINDOWS\system32\stfmon.exe sunt încărcate automat și sunt prezente constant în RAM ;
acțiunea distructivă a troianului este îndreptată către .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls , fișiere .zip ;

toate fișierele .jpg (.jpg, .jpeg) sunt înlocuite cu o imagine bmp sub shell .jpg cu dimensiunea 69x15 pixeli, 3174 octeți cu o inscripție stilizată Penetrator . Fișierele .bmp, .png, .tiff nu sunt atinse de troian;
conținutul fișierelor .doc și .xls este înlocuit cu un mesaj text obscen (dimensiunea acestor fișiere devine 196 de octeți - în funcție de volumul mesajului text);
troianul creează un folder Burn cu fișiere CDburn.exe și autorun.inf (locația folderului: Windows XP - \Documents and Settings\<Nume utilizator>\Local Settings\Application Data\Microsoft\Windows ; Windows Vista și Windows 7 - \Users\ Master\ AppData\Local\Microsoft\Windows\Burn );
în fiecare folder (inclusiv subfolder) al discului pe care a fost lansat fișierul flash.scr, troianul își creează copiile <folder_name>.scr (117248 bytes); după aceea, fișierul flash.scr de pe acest disc (care s-a infectat deja), de regulă, se autodistruge, lăsând un fișier troian ascuns (fără nume) cu extensia .scr în directoarele rădăcină ale discurilor;
la deschiderea/conectarea unităților locale/amovibile, troianul este copiat pe medii neinfectate;
efectuează un apel ascuns către următoarele biblioteci dll de sistem: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT. DLL .

Troianul este deghizat în sistem după cum urmează:

Ascunde afișarea „fișierelor și folderelor ascunse”
Ascunde afișarea extensiilor de fișiere
Face elementul de meniu „Opțiuni folder” indisponibil
Împiedică pornirea „editorului de registry”.
Blochează instalarea antivirusului
Blochează rularea utilitaților de configurare a sistemului
Ajustează cheile de registry astfel încât fișierul flash.scr să arate ca un folder obișnuit

Recunoașterea troienilor de către antivirusuri

Diferite antivirusuri îl recunosc diferit:

Avira AntiVir - TR/Dldr.VB.bnp;
Avast -Win32:Trojan-gen;
AVG -Downloader.VB.AIM;
BitDefender - Trojan.Downloader.VB.VKV;
ClamAV - Trojan.Downloader-15571;
DrWeb -Win32.HLLW.Kati;
Eset NOD32 - vierme Win32/VB.NNJ;
F-Secure Anti-Virus - Trojan-Downloader.Win32.VB.bnp;
Kaspersky Anti-Virus - Trojan-Downloader.Win32.VB.bnp;
McAfee -Downloader.gen.a
Panda Security - W32/Penetrator.A.worm;
VBA32 - Trojan-Downloader.Win32.VB.bnp.

Note

↑ 1 2 Autorul virusului „Penetrator” a scăpat cu amendă . Consultat la 28 noiembrie 2012. Arhivat din original pe 13 noiembrie 2014. (nedefinit)
↑ 1 2 Cum să distrugi virusul Penetrator? (link indisponibil)
↑ Cum să faci față virusului Penetrator? . Data accesului: 28 noiembrie 2012. Arhivat din original pe 22 august 2012. (nedefinit)
↑ 1 2 Autorul virusului Amur a fost prins la Kaliningrad . Consultat la 28 noiembrie 2012. Arhivat din original la 2 octombrie 2011. (nedefinit)

Link -uri

Atacurile hackerilor din anii 2000
Cele mai mari atacuri	Operațiunea Bot Roast Operațiunea Octombrie Roșu Proiectul „Chanologie” ploaie de titan
Grupuri și comunități de hackeri	Anonim Unitatea 61398 (PLA)
hackeri singuratici	Dmitri Sklyarov
Au detectat vulnerabilități critice	Atacul spart
Virușii informatici	Agent.BTZ Anna Kournikova Aprox Backdoor.Win32.Sinoval Bagle Blaster Bredolab Cabir Careto cod roșu Cod Roșu II Comwarrior Conficker Cutwail donbot Festi Fizzer TE IUBESC Klez Koobface Kraken Mariposa Mega D Metulji Mocmex soarta mea mytob Neshta netsky NetTraveler Nimda Penetrator Ciupiți Iedera otravitoare Virus RFID Rustock Salitatea Santy Sasser sobru Atât de mare SpyEye SQL Slammer Srizby Vierme de furtună Torpig Virut Vulcanbot Waledac Acces zero Zeus Zobot
anii 1990 • 2000 • 2010