что такое модифицированный win32
Win32/Virlock – первый саморазмножающийся вымогатель
Вредоносная программа Win32/Virlock представляет из себя первый известный на сегодняшний день вымогатель (ransomware), который специализируется на заражении исполняемых файлов, т. е. ведет себя как файловый вирус. Virlock умеет блокировать рабочий стол пользователя с требованием выкупа, шифровать файлы пользователя, а также размножать свое тело как полиморфный вирус.
Семейства вымогателей, который мы наблюдали ранее, фактически, можно разделить на две большие группы: блокировщики экрана (LockScreen) и шифровальщики файлов (Filecoder). В первом случае вымогатель блокирует пользователю доступ к рабочему столу до получения выкупа, а во втором шифрует файлы пользователя, делая невозможным их использование. При этом сообщение с требованием выкупа может появится в качестве обоев рабочего стола, в виде открытого текстового файла, а также через простое окно (как в случае с Cryptolocker).
В некоторых случаях, вымогатель может применить гибридный подход и содержать обе этих возможности, т. е. блокирование доступа к рабочему столу или устройству сопровождается шифрованием файлов на нем. При этом код вредоносной программы будет использовать специальные механизмы для запрещения закрытия появившегося окна. Примером такой вредоносной программы является вымогатель Android/Simplocker.
В октябре мы зафиксировали новый тип такого вредоносного ПО как вымогатель. Вредоносная программа Win32/Virlock могла блокировать рабочий стол пользователя с требованием выкупа, шифровать файлы, а также заражать исполняемый файлы как полиморфный вирус, встраивая в них свой код. Недавно мы обнаружили несколько новых модификаций этого вируса, что указывает на его активное развитие со стороны злоумышленников. Код VirLock демонстрирует высокий уровень технической подготовки авторов этой вредоносной программы.
Win32/Virlock использует особый прием для шифрования файлов. Вместо обычного метода побайтового шифрования всего файла или его начала, такой файл преобразуется в исполняемый и к нему дописывается код Virlock. Вредоносная программа специализируется на компрометации следующих типов файлов: *.exe, *.doc, *.xls, *.zip, *.rar, *.pdf, *.ppt, *.mdb, *.mp3, *.mpg, *.png, *.gif, *.bmp, *.p12, *.cer, *.psd, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.wma, *.jpg, *.jpeg. При этом Virlock способен заражать файлы на сетевых дисках и съемных носителях.
Запуск зараженного Virlock файла сопровождается созданием двух его новых файлов, которые аналогичны оригинальному дропперу, но из-за полиморфизма содержат разный исполняемый код. Один файл создается в директории %userprofile%, а второй в %alluserprofile%. Для обеспечения автозагрузки, вредоносная программа прописывает путь к своему файлу в соответствующем разделе реестра Run обоих разделов HKLM и HKCU. Мы также наблюдали модификации Virlock, которые извлекали из себя третий исполняемый файл. Он регистрировался в качестве сервиса. Эти извлеченные файлы отвечали за дальнейшее заражение файлов в системе.
Часть кода вымогателя ответственна за отображение пользователю экрана блокировки, при этом используя уже ставшие типичными методы самозащиты, в том числе завершение процессов проводника и диспетчера задач.
Рис. Экран блокировки одной из модификаций вредоносной программы.
Сообщение в окне блокировки содержит текст предупреждения для пользователя и предлагает оплатить сумму выкупа в биткоинах. Недавно мы писали про другой вымогатель TorrentLocker, который также вымогает у пользователя денежные средства в этой криптовалюте. Ниже представлен экран блокировки более новой версии Virlock, он позволяет пользователю использовать приложения веб-браузер и блокнот.
Рис. Другой вид экрана блокировки. Отображается вкладка оплаты.
Рис. Вкладка с информацией о работе с биткоинами в случае с Канадой.
Код вредоносной программы, который отвечает за вывод экрана блокировки, способен выполнять некоторую локализацию интерфейса самого экрана (окна). Для этого используется соединение с веб-сайтом google.com и дальнейший анализ домена, на который осуществляется перенаправление, например, google.com.au, google.ca, google.co.uk, google.co.nz. Также используется функция GetUserGeoID. Для стран, соответствующих вышеперечисленным доменам, отображается свой флаг, стоимость биткоинов и текущий курс национальной валюты.
С технической точки зрения наиболее интересной частью вредоносной программы является механизм заражения файлов и полиморфизм. Полиморфизм Virlock гарантирует уникальность тела вредоносной программы в каждом зараженном файле. Virlock использует несколько слоев шифрования файла.
Исполняемый файл Virlock включает в себя специальный код, который мы называем XOR stub builder. Он располагается в файле в не зашифрованном состоянии. Остальные данные вредоносной программы и ее код, а также данные оригинального файла (в случае, если мы имеем дело не с оригинальным дроппером, а файлом который был заражен) находятся в зашифрованном виде.
Упоминаемый XOR stub builder состоит из восьми блоков кода и используется для генерации инструкций типа XOR, которые будут использоваться для расшифровки данных файла. Один из таких блоков изображен ниже на рисунке.
Рис. Блок кода XOR stub builder.
Блоки кода XOR stub builder являются полиморфными, т. е. различаются от одного зараженного файла к другому. В любом случае, исполнение каждого из них приводит к вычислению определенного двойного слова (DWORD) и его записи по фиксированному смещению в памяти. Эти слова представляют из себя инструкции XOR stub, т. е. заглушки с инструкциями XOR, которые расшифровывают остальную часть файла.
Мы говорили про многоуровневый подход, который Virlock использует при шифровании файла. В такой схеме, XOR заглушка используется для расшифровки небольшого участка кода исполняемого файла (Часть 1). Такой код состоит из нескольких функций. На скриншоте ниже приведен фрагмент кода XOR заглушки. Для расшифровки использовался ключ 0x6B130E06, причем размер расшифровываемой части равен 0x45c.
Рис. Код XOR заглушки. Далее управление передается на расшифрованный блок кода размером 0x45C байт.
Интересной особенностью Virlock является строение его расшифрованного кода (Часть 2). Почти каждая функция в нем зашифрована еще раз и начинается с заглушки, которая расшифровывает код самой функцию. Это существенно осложняет анализ вредоносной программы, поскольку код функций нельзя проанализировать в дизассемблере. Код заглушки достаточно прост и использует алгоритм XOR для расшифровки тела функции. После исполнения функции, ее код в памяти зашифровывается обратно, при этом шифрование производится с использованием нового ключа. Ниже на рисунке показан пример такого кода. Инструкция rdtsc используется для получения ключа шифрования, далее операция XOR применяется для шифрования нескольких переменных и тела функции.
Рис. Код шифрования тела функции после ее исполнения.
Такую особенность вредоносной программы можно назвать полиморфизмом периода исполнения (run-time polymorphism). При запуске нескольких ее копий, дампы памяти исполняемого файла будут различаться.
При расшифровке Части 2, код вредоносной программы также прибегает к применению еще одной процедуры расшифровки. Как мы упоминали, Часть 1, которая расшифрована с использованием XOR stub, расшифровывает остальную часть файла вредоносной программы и содержимое зараженного файла, в случае его присутствия. Процедура расшифровки состоит в применении операции циклического сдвига вправо ROR. Используемый ключ расшифровки жестко зашит в теле вредоносной программы.
Таким образом, Virlock использует трехуровневую схему шифрования:
Наша система телеметрии LiveGrid показывает, что заражению Virlock подверглось небольшое количество пользователей. Их количество не сравнимо с количеством пользователей, которые подверглись заражению TorrentLocker или других подобных ему вымогателей. Тем не менее, анализ транзакций, проведённых по указанному счету Bitcoin, показывает, что некоторые жертвы уже оплатили выкуп злоумышленникам.
ESET CONNECT
Единая точка входа для ресурсов ESET
Войти через социальные сети
[ Закрыто ] детект bittorrent.exe как модифицированный win32 Utorrent
Здравствуйте, сегодня nod32 при старте системы выдал обнаружение потенциально нежелательной программ
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
23.01.2020 18:42:44;Модуль сканирования файлов, исполняемых при запуске системы;файл;c:\users\user\appdata\roaming\bittorrent\bittorrent.exe;модифицированный Win32/uTorrent.C потенциально нежелательная программа;очистка невозможна;;;7EE3AB6494477544DE0BEBFA3C1F26C73575832E;06.06.2013 22:07:13
У меня этот клиент уже лет 5 стоит, почему только сейчас был детект?
Я нажал Игнорировать. Но тем не менее Bittorent не запускается.
Что мне теперь делать, удалять Bittorent?
Ответы
Вчера произошло тоже самое и у меня, но с μTorrent. Пока был занят своими делами, nod32 поместил экзешник программы из Program Files и Application Data в карантин. Я восстановил файлы и добавил в исключение, после чего программа функционировала как и раньше. После перезагрузки системы(выкл и и на след. день вкл пк) файл из Application Data пропал, а в Program Files превратился в текстовый документ utorrent.exe. В карантине пусто. И что мне теперь делать?! Мне нужны в сохранности настройки программы, которые не знаю подойдут ли к другим версиям программы.
Update
Текстовый файл, как я понял, это utorrent.exe.log, т.е.из той папки экзешник тоже удалился. Если я восстановил файлы и они работали до перезагрузки системы, почему nod32 без моего уведомления, скрытно удалил эти файлы, даже не помещая во 2 раз в карантин?
Update2
На счёт того, что у меня μTorrent в разных папках. Изначально программа была в Program Files, но после какого-то обновления лет 7-10 назад, почему то, установилась в Application Data как с чистого листа. Но я продолжал использовать версию, которая была в Program Files. Грубо говоря, вчера удалились сразу 2 версии μTorrent.
ESET CONNECT
Единая точка входа для ресурсов ESET
Войти через социальные сети
что за UniDl.c и т.д.?
Что примечательно, защитник виндовс и доктор веб кюрейт на них не реагируют
3) Внимание обращать на реакцию от: ESET ; Kaspersky; Malwarebytes
Виртуальные машины будут тормозить ( с игрушками )
Можно попробовать программу: Deep Freeze
Иначе рано, или поздно но.
5) Программы для мониторинга сетевой активности.
6) Программы для мониторинга изменений в реестре\системе\файлах.
1) Распаковать экзешник? Ой, я не знал, что это возможно. а с помощью notepad++ можно обнаружить вредоносный код?
2) А что это даёт? Мол, узнаем, что это не новая угроза?
4) Мне вот кстати интересно, на счёт паролей. А имеет ли смысл ставить пароль на учётную запись локальную или админскую, если только ты пользуешься компьютером? Мне вот знакомый программист говорит, что это лишнее, пароль от учётки только на работе нужен, а вирусам плевать на пароль) так ли это?
А что можно такого в БИОС настроить, чтобы безопаснее стало? И еще интересует, что вы думаете об UAC? К примеру блоггер Izzy Laif орёт, что он не нужен. но так ли это?
5) Дипфриз для сисадминов. а я не осилю) я блин знаете, в винде то десятой боюсь что-либо лишнее тыкать, вдруг чего произойдет (ну не комфортная для меня она совсем, но мелкомягкие теперь только её к сожалению развивать будут, и о 8.1 забудут)
6) А можно как-то стандартными средствами просто взять и запретить без моего согласия что-то в реестре и файлах менять?
Незванный гость. Win32/Spy.Shiz.NBW
Вчера комп начал жутко тормозить, а винчестер засвопил так что казалось выскочит из системника…
Проверил базы, всё свежак. Удивился… Антивирусная защита и защита от атак извне у меня сделана неплохо. Базы регулярно обновляются. На левые сайты я никуда не ползал и т.д.
Прочесал инет на тему этой гадости, решений не нашёл, кроме упоминания скрипта для AVZ. Скачал AVZ — не полегчало… Дело было к вечеру, вырубил комп от греха подальше (он круглосуточно работает) и переложил все вопросы на следующий день, т.е. на сегодня.
С утреца, захватив с собой бук, начал разбор полётов и предался воспоминаниям о навыках борьбы с гадкими троянами времён своего сисадминства на заводе:
1. Прогнал сканером ESET NOD32 комп — ничего… Жаль. Сидит себе в памяти…
2. На буке качнул (на заражённом компе работать было просто невозможно) и положил на флешку:
Итог: гад продолжает сидеть в памяти…
Запускаю Kaspersky Virus Removal Tool. Ситуация с просыпающимся монитором ESET NOD32 повторилась несколько раз и тут случилось ОНО! Kaspersky наткнулся на трояна (опять не тот по названию, афигеваю!), для удаления которого требовался ребут компа.
Соглашаюсь. Kaspersky ещё пошуршал минут 15 и отправил комп перезагружаться.
Момент истины после ребута: Ура! Комп снова стал тихоней, заразы в памяти не обнаружено…
Однако, в который раз (впервые ещё на чисто англицкой v.2) заметил особенность ESET NOD32 — его монитор находит и лечит/убивает кучу заразы, если запустить любую программу которая просто методично открывает файлы…
Почему он не делает этого при получении и открытии файлов в процессе работы — для меня загадка. Надо порыться в настройках или тех.поддержку потрясти. Сегодня монитор ESET NOD32 нашёл даже экзотику типа JS/Exploit.Pdfka.PCA на куче обычных с виду pdf с даташитами…
Думаете перейду с ESET NOD32 на другой антивирь? НЕ ДОЖДЁТЕСЬ. 😎 Я с ним дружу с 2002 года, а в произошедшем виню только себя — расслабился и перестал регулярно проводить профилактические сканы винтов конкурирующими бесплатными утилитами. А на своём компе к тому-же забыл поставить Ad-Aware FREE после переустановки OS…
ps1: Появился ESET NOD32 v.5
Модифицированный win32 что это
Вредоносная программа, которую называют троян, создается и распространяется людьми. Внедряется она непосредственно в компьютерные системы. Активированная программа на вашем компьютере позволяет злоумышленникам украсть пароли, реквизиты или получить другие ресурсы с вашего технического устройства. Для того чтобы избежать подобной ситуации, на компьютере должен быть установлен надежный антивирус. Однако, и он не всегда срабатывает, в таком случае вам понадобится избавляться от вируса самостоятельно. Способы удаления вирусов с компьютера могут отличаться в зависимости от их видов.
Что представляет из себя троян
Перед тем, как удалить вирус троян win32, давайте рассмотрим, что представляет из себя данная программа. Свое название вирус получил от знаменитой легенды о Троянском коне. Обычно он маскируется под какую-либо полезную программу. Отличительной чертой трояна является то, что он активируется только после того, как вы сами запускаете его.
К примеру, вирус может представлять собой папку EXE, которая располагается на флешке или каком-либо ресурсе интернет-сети. Пользователь, который не обращает внимание на расширение, пытается открыть папку и кликает на нее. Естественно, зайти в нее не получается, а вирус начинает активно действовать. При этом он опасен не только для зараженного компьютера, но и всех других устройств, которые связаны сетью с ним. Чтобы не попасться на уловки мошенников, следует быть осторожным, не нажимать на все подряд ссылки, а также не открывать программы, присланные с неизвестных адресов.
Чистка автозагрузки
Но если вы все-таки подцепили вредоносную программу, то, как удалить вирус троян с компьютера, знать вам просто необходимо. Для начала следует попробовать избавиться от него с помощью антивируса. Для начало нужно проверить компьютер на вирусы при помощи антивирусов и по возможность программе найти и вылечить все зараженные объекты. Но следует знать, что в обычном режиме антивирус не сможет проверить те файлы, которые использует операционная система. Поэтому более эффективно запустить проверку, перейдя в Безопасный режим.
Чтобы сделать последнее действие, перезапускаем компьютер и нажимаем клавишу F8 до того, как загрузилась операционная система. В появившемся списке выбираем Безопасный режим. После этих действий WINDOWS загрузится, но многие драйвера и программы работать не будут, что позволяет антивирусу проверить все более тщательно, чем при обычной загрузке.
Нередко программа не видит вирус, поэтому приведенные выше рекомендации оказываются неэффективными. Тогда на помощь может прийти бесплатная утилита Dr.web Cureit. Установите ее на компьютер и проведите еще раз глубокую проверку. Чаще всего после этого проблема отпадает.
Если вы уверены в том, что подобные утилиты не установлены на вашем компьютере, то галочку рядом с ними нужно убрать, что деактивирует вредоносные программы. А добавляются программы необходимые вам немного по другому, об этой читайте здесь.
Следует отметить файл svchost.exe, который является вирусом. Его опасность состоит в том, что он часто шифруется под системные службы компьютера. Помните, что в автозагрузке этот файл не должен отображаться, поэтому если он здесь высветился, то можете смело его удалять.
Дальнейшие действия
Следующий шаг – это удаление файлов восстановления системы. Очень часто именно сюда в первую очередь попадает троян и другие вирусы. Кроме того, желательно просмотреть папку temp и очистить кэш-память браузера, которым вы пользуетесь. Для этих действий можно использовать специальные программы, например, эффективна Ccleaner, которая, кстати, применяется и для мобильных устройств или планшетов.
Также удалить файлы восстановления системы можно следующим образом. Заходим в Мой компьютер и переходим по ссылке Свойства. Здесь выбираем вкладку Восстановление системы. Кликаем по кнопке Параметры диска. Переводим ползунок до отметки 0 и нажимаем ОК. После того, как очистка закончится, можно поставить его на место.
Для поиска и обнаружения троянов эффективно использовать программу Trojan Remover. Утилита распространяется за определенную плату. Однако, в сети есть и демоверсия программы, которая полностью рабочая в течение первого месяца после установки. После запуска Trojan Remover проверяет на наличие трояна реестр операционной системы, сканирует все документы и файлы, в которых может быть вирус. Причем программа эффективна не только против троянов, но и против некоторых видов червей. Интерфейс антивируса довольно прост и интуитивно понятен даже для новичков, не часто сталкивающихся с техникой.
Если вы заподозрили, что на компьютере или ноутбуке появилась вредоносная программа, то незамедлительно следует заняться его “лечением”. Для этого можно использовать антивирусы. Кроме того, есть и другие способы, например, очистить компьютер от вредоносных программ вручную. На самом деле все не так сложно, а в результате можно оградить себя от значительных неприятностей, которые доставляют компьютерные вирусы.
Наверное, не нужно объяснять, что многие пользователи частенько в самый неподходящий момент наблюдают на экране монитора сообщение о том, что какой-то исполняемый файл не является приложением Win32. Давайте посмотрим, что такое Win32 и почему возникают ошибки архитектуры или файловой системы. Рассмотрев эти два вопроса, можно будет найти решение проблемы несоответствия приложения данному стандарту.
Что такое Win32
Если говорить о понятии в целом, обычно его относят к архитектуре «операционки» и приложений, поддерживаемых в ней для запуска и работы.
Из истории создания операционных систем известно, что сначала они были 8- и 16-битными, чуть позднее трансформировались в 32-битные и, наконец, в 64-битные. Наравне с эволюцией принципов работы самих «операционок» изменялись и файловые системы. Самой распространенной до недавнего времени считалась файловая система FAT32. Она завоевала такую популярность, что до сих пор разработчики IT-гиганта Microsoft не исключают ее поддержку в новейших версиях ОС Windows.
Кстати, понятие того, что такое Win32, в равной степени применимо и к «операционкам» типа XP и Vista, поскольку даже при наличии файловой системы NTFS, пришедшей на смену FAT32, все равно версии самих ОС в плане архитектуры оставались 32-разрядными.
С появлением Windows 7 был осуществлен переход на архитектуру 64 бита, однако для пользовательской установки можно найти и 32-битную версию любой из четырех сборок «семерки».
Почему возникают ошибки
С другой стороны ошибки могут возникать и с «родными» приложениями Windows. Отвечая на вопрос о том, что такое приложение Win32, стоит отметить, что это программа, динамическая библиотека или драйвер, изначально созданные с использованием архитектуры 32 бита. Теперь, наверное, понятно, что 64-битное приложение или драйвер в 32-битной системе работать не будет.
Реже встречаются ошибки открытия исполняемых файлов или архивов. Тут проблема может заключаться в том, что файл не был загружен (скопирован) целиком или при этом произошли сбои. В этом случае система точно так же может выдавать сообщение о несоответствии формата или типа открываемого файла требованиям самой системы.
Простейшие методы устранения ошибок
Однако методов устранения таких неполадок существует очень много. Простейшим решением может стать загрузка из сети Интернет специализированного файла Win32.reg с его последующим запуском.
Что такое Win32.reg? Это файл системного реестра, который вносит в него специфичные записи и ключи, позволяющие упростить процесс открытия проблемных приложений.
Иногда ситуация может быть связана с несоответствием файловых систем. В этом случае понадобится произвести форматирование диска или раздела с применением, например, FAT32 (особенно при переходе с ОС 64 бита на 32 бита).
Если это вирус
Самым неприятным случаем возникновения сбоев подобного характера является воздействие вирусов и вредоносных кодов, которые маскируются под системные службы, отвечающие за запуск или вызов 32-битных приложений типа rundll32, svchost и т.д.
Рассмотрим одну из самых известных угроз. Что такое Trojan:Win32 (Gatak или еще какая-либо модификация)? Да, обычный компьютерный вирус (троян), который, используя бреши в системе безопасности, пытается получить доступ к компьютеру удаленного пользователя с целью кражи информации или получения над компьютерным терминалом полного контроля.
Тут уж точно в своем распоряжении нужно иметь качественный штатный антивирус или максимальное мощное средство проверки системы в виде сканера (например, Kaspersky Virus Removal Tool или Rescue Disc), поскольку иногда стандартными методами отследить появление угрозы в системе не представляется возможным.
Заключение
Вот, собственно, хоть и кратко, мы рассмотрели вопрос о том, что такое Win32. Конечно, информация подана в сжатом виде, однако рядовому пользователю лезть в дебри программирования и понимания принципов использования архитектуры «операционки» или файловой системы и не нужно. В крайнем случае достаточно выяснить проблему возникновения ошибок и выбрать методику их устранения.
На компьютерах с операционной системой Windows есть одна проблема, довольно часто встречающаяся. Ошибка возникает при попытке установить приложение, не предназначенное для программного обеспечения «Майкрософт». В этом случае система уведомляет о том, что оно не является Windows-приложением, а значит, не может быть установлено. Эта проблема может быть исправлена, но не во всех случаях.
Что такое Win32?
Windows API — пакет базовых функций для операционных систем корпорации «Майкрософт». А Win32 — это одна из версий API, самая популярная на сегодняшний день. Если вы столкнулись с этой ошибкой, не спешите удалять программу в корзину. Можно попробовать найти выход из этой ситуации. Если все дело в архитектуре, тут есть две возможности. Если программа создана на 64-битной версии Windows, она должна запуститься на 32-битных API.
Как исправить ошибку «Не является приложением win32»?
Поиск вариантов исправления ошибки начнем с самого простого. Если программа разархивирована, но не запускается EXE-файл, загрузите ее по альтернативной ссылке. Если установка успешна, но программа не запускается, удалите ее средствами системы и переустановите.
Если приложение создано для другой ОС, возможно, есть и версия для Windows. Напишите название программы в поисковой строке, перейдите на ресурс разработчика и посмотрите, какие ОС поддерживаются.
Может помочь режим совместимости. Вкладка находится в «свойствах» программы. Выберите соответствующий пункт и нажмите другую версию системы.
Загрузите на ПК win32.reg и запустите.
После перезагрузки компьютера проверьте установку и запуск нужной программы.