Hacking

Malware - Detecting

Upload Malware

Doporučujeme














Naše Bannery








Toplist






Win32/Tenga.3666

 





 

Popis Remove



Aliasy:Avira - W32/Stanit
AVG - Win32/Gaelicum.A
Kaspersky - Virus.Win32.Tenga.a
Typ malware:Virus
Kategória malware:File-Infector
Stupeň ohrozenia: 
Druh:Win.32
Aktivita súboru:Dynamická 
Testovaný OS:2x Win. XP Prof
Dĺžka testu infekcie (h):19
MD5:08414a62de248cb3ec5a4f7e544be4a5





Popis  


Ide o File-Infector napadajúci .exe súbory. Iné typy súborov neboli počas testu infikované. Zároveň ide o malware spadajúci do kategórie Network-Worm .
Malware sa pod obmedzeným účtom zaktivizuje po spustení "Ako Admin."


Infekcia  

Po spustení infikovaného súboru začne infekcia. Približne po hodine je systém kompletne infikovaný. Dĺžka infekcie systému závisí od veľkosti, tak ako aj množstva programov a softwaru obsiahnutého v ňom. U tochto viru sa nerozlišuje medzi "inštalačkou" viru a infikovaného súboru. Každý infikovaný súbor je zároveň "inštalačkou" bez zmeny vlastnosti pôvodného viru.

Vir sa po spustení snaží stiahnúť z doleuvedených adries súbor dl.exe:

hxxp://utenti.lycos.it/vx9/dl.exe
hxxp://utenti.multimania.it/vx9/dl.exe

Adresy sú však deaktivované, vir vytváta súbor dl.exe manuálne a to najprv v zložke, kde sa nachádza. Nakždý ďalší infikovaný súbor obsahuje parameter, ktorý súbor dl.exe vytvorí v zložke s konkrétnym umiestnením súboru.

Infector definuje a využíva systémové súbory:

%systemroot%\system32\ntvdm.dll
%systemroot%\system32\ntvdm.exe

Každý infikovaný súbor sa na základe vloženého kódu spustí "dvojmo", pričom najprv sa spustí súbor normálne (s vlastným pid-om a oknom) a druhý (ten istý) súbor sa spustí s iným pid-om, bez okna (beží ako hidden) a vyvolá, ak neexistuje, manuálne vytvorí súbor dl.exe v tej istej zložke. Súbor dl.exe vyvolá upravený (infikovaný) súbor.

%system%\ntvdm.exe


Príklad spúšťania:

Modul1



Modul2




Tento rafinovaný spôsob spustenia umožňuje zneprístupnenie internetu v prehliadačoch, pričom PING funguje.

Súbor dl.exe sa defaultne vytvorí aj v zložkách:

%userprofile%

Pri manuálnom zaktivizovaní súbor nereaguje, zobrazí však grafickú "kocku" pohybujucú sa po obrazovke
okna súboru.
Video: --> Link <--

Infikované súbory sú navýšené o jednu z doleuvedených hodnôt:

4 096 bajtov
3 584 bajtov
3 585 bajtov

Pri spustení skeneru sú bežiace infikované moduly zobrazené takto:





Infector modifikuje systémový súbor:

%systemroot%\system32\ntkrnlpa.exe

Zobrazenie modifikácie:


.reloc C:\WINDOWS\system32\ntkrnlpa.exe   |   section is executable [0x806BF880, 0x113BE, 0x62000060]
.reloc C:\WINDOWS\system32\ntkrnlpa.exe   |   entry point in ".reloc" section [0x806CFDEC]
 



Postup infekcie  

Infekcia infectorom Win32.Tenga.a je veľmi rýchla a efektívna. Infekcia prebieha takmer okamžite a sú infikované
všetky .exe súbory vo všetkých zložkách systému.


Ostatná modifikácia  


  Infekcia modifikuje systém dosť tvrdým spôsobom. Pri variante tochto viru a následnom zmodifikovaní sys. súboru ntkrnlpa.exe systém nenabehol! Systém z časti nabehával len cez núdzový režim.

  Pri liečení antivirmi dochádza k úplnému odstráneniu infikovaných súborov! Pri liečení použite návod v sekcii Remove.
Pri použitej, doteraz známej, metóde liečenia, neboli súbory úplne opravené. Infekcia bola síce odstránená, ale súbory boli aj napriek tomu navýšené o niekoľko kilobytov oproti originálom!

  Kôli silnej modifikačnej činnosti viru, niektoré súbory sa po liečení nepodarlilo spustiť.
Infector do začiatku súboru (hlavičky) pridáva svoj kód, pričom u niektorých dochádza k zmodifikovaniu za hlavičkou. Infikovaný súbor, aj "poškodený" vypíše chybu spustenia, avšak vir obsiahnutý na začiatku sa spusti! Po doliečení sa kód viru zmaže, ďaľšie pokračovanie kódu súboru sa však stopne, kôli zmodifikovaniu.
K zmodifikovaní dochádza hlavne u súborov MS-DOS, script packerov, SFX archívov, exe compilerov a podobne.


Infikovaný modul spusteného súboru sa prostredníctvom portov konektuje na rôzne zahraničné adresy:




Infector blokuje svojim kódom internet (prehliadače), ping však funguje.



 
Joomla ACL by AceACL