JIT SPRAY ÃÂÃÂÃÂÛØ× TDSS - Xakep Online
JIT SPRAY ÃÂÃÂÃÂÛØ× TDSS - Xakep Online
JIT SPRAY ÃÂÃÂÃÂÛØ× TDSS - Xakep Online
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
MALWARE<br />
Вячеслав Закоржевский, старший вирусный аналитик «Лаборатории Касперского»<br />
Ïðåçåðâàòèâ<br />
äëÿ <strong>TDSS</strong><br />
Ïîëèìîðôíûé óïàêîâùèê äëÿ èçâåñòíîãî<br />
ðóòêèòà: ðàçáîð è àíàëèç<br />
Одним из наиболее ярких зловредов последнего времени является<br />
<strong>TDSS</strong>. Правда, в этой статье под <strong>TDSS</strong>’ом будет подразумеваться<br />
не широко известный руткит, а полиморфный упаковщик, который<br />
обладает антиэмуляцией и использует обфускацию для усложнения<br />
детектирования.<br />
ÐÓÒÊÈÒ <strong>TDSS</strong> обычно защищен именно этим пакером. Его-то мы сегодня<br />
и разберем. А точнее, разберем не только его, но и весь довольно<br />
примечательный путь, который проходит руткит – от зараженного<br />
сайта до отработки на компьютере пользователя.<br />
Вся настоящая история началась с зараженного сайта east.*****.<br />
pu.ru. Его главная страница содержала сразу семь разных вредоносных<br />
скриптов (см. схему).<br />
Oðèãèíàëüíûé<br />
HTML-êîä ñòðàíèöû<br />
прокси-сервер на основе Small Http Server, сохраняющий на лету<br />
все файлы, которые через него проходят, и сниффер WireShark для<br />
подробного изучения интересующих пакетов. Скрипты разбирались<br />
отдельно с помощью программы MalZilla.<br />
Кратко пробежимся по каждому из них и остановим внимание на<br />
самых интересных экземплярах. Самый первый скрипт с конца<br />
– Trojan-Downloader.JS.Pegel.g, знаменитый троян-загрузчик,<br />
написанный на JavaScript. Результатом его работы является код<br />
вида «