Размер: 111 Кб
Time/Date Stamp (GMT): 12 октября 2008 г. 6:15:38
http://www.virustotal.com/ru/analisis/9c3b3d7b50241c48811eb60b510f3377
Данный экземпляр интересен, прежде всего, протектором: множество мусорного кода, антиотладочные команды, множество зашифрованных участков последовательно расшифровывающих очередной кусочек замусоренного кода. Кроме того, присутствует борьба с антивирусами.
После выполнения мусорного кода и последовательной расшифровки кусочков кода, программа выделяет память, копирует туда (предварительно расшифровав) из своего тела библиотеку (DLL). Далее самой программой производится инициализация библиотеки. А вот тут ожидает сюрприз, библиотека сжата с помощью упаковщика UPX, т.е. после этого библиотека распаковывает себя, настраивает свой импорт, релоки и передает управление на OEP. Если заглянуть в Export Table библиотеки, то можно узнать, что имя библиотеки ANTIVM.dll, и она экспортирует два указателя: на функцию KAV_Gout и на массив SysDataBuffer.
Библиотека занимается тем, что борется с антивирусом Касперского. Пытается стереть драйвер, отключить обновление и т.д. Многое из написанного не работает или работает не правильно.
После того как отработает DLL, программа распаковывает свое основное тело, запускает explorer.exe, на случай если троян запускается с помощью автозагрузки с флешки. Затем находит у себя в ресурсах начало не распакованной части программы и копирует ее в kavo0.dll.
Запускается поток, который ищет окно от AVP с текстом AlertDialog и закрывает его. В процесс explorer.exe копируется код, удаляющий себя при срабатывании определенного события, далее этот код выполняется с помощью создания удаленного потока (CreateRemoteThread).2008, GMax
e_gmax@mail.ru
Комментариев нет:
Отправить комментарий