Тrojan-Dropper — это, по сути, инсталлятор вредоносной программы. Он хранит вредоносную программу (или программы — их может быть несколько) внутри своего исполняемого файла и в момент запуска устанавливает ее в систему и запускает. В простейшем случае инсталляция сводится к сохранению вредоносной программы на диске и ее запуску. Перед подготовкой примера было изучено около 200 наиболее типовых образцов и установлено, что существует несколько распространенных методик хранения вредоносных программ в теле Trojan-Dropper:
1. Размещение вредоносных программ в ресурсах. В этом случае у исполняемого файла имеется несколько именованных ресурсов, в которых находятся вредоносные программы. В момент запуска эти программы извлекаются из ресурсов, сохраняются на диске и запускаются. Для системы это наиболее корректный путь хранения больших объемов данных в теле программы, и для работы с ресурсом применяются стандартные функции API.
2. Приписывание вредоносного кода в «хвост» тела Trojan-Dropper. В этом случае Trojan-Dropper должен выделить их из своего тела собственными методами.
3. Хранение вредоносной программы непосредственно в коде Trojan-Dropper.
Часто вредоносная программа хранится в зашифрованном или заархивированном виде и Trojan-Dropper расшифровывает/разархивирует ее в момент извлечения. В качестве «подопытного кролика» для тестов был выбран Trojan.Win32.LowZones.ad — особой причины для его выбора не было, просто он хорошо известен большинству изученных антивирусов.
Итак, тестовые примеры:
1. Приложение без GUI, содержащие единственный ресурс с именем TROJAN и типом EXEFILE — в этом ресурсе находится имитатор троянской программы. Данный имитатор совершенно безвреден — он просто выводит сообщение на экран. Логика работы примера состоит в том, что он извлекает файл из ресурса, сохраняет его на диске под именем c:\troj_test.exe и запускает его (все эти операции, естественно, ведутся скрытно, без запросов и иных видимых проявлений работы дроппера).
2. Trojan.Win32.LowZones.ad в чистом виде — как оказалось, некоторые антивирусы его не детектируют.
3. Аналог примера 1, но вместо безвредной программы в ресурс помещается Trojan.Win32.LowZones.ad.
4. Аналог примера 3, но Trojan.Win32.LowZones.ad в ресурсе зашифрован простейшим алгоритмом — при помощи операции xor с числом 55 для каждого байта.
5. Приложение без GUI, к которому приписан безопасный тестовый файл. Логика работы примера состоит в том, что он сохраняет приписанный к нему файл на диске под именем c:\troj_test.exe и запускает.
6. Приложение без GUI, к которому приписан Trojan.Win32.LowZones.ad. Вредоносная программа сохраняется на диске под именем c:\troj_test.exe и запускается.
Результаты тестирования, приведенные в табл. 2, показали интересную картину: на примеры 1 и 5 антивирусы не реагируют, что вполне корректно, поскольку размещение исполняемого файла в ресурсах или в конце другого исполняемого файла является распространенной практикой. На размещенный в ресурсах вредоносный объект отреагировали не все антивирусы — отсутствие реакции в данном случае является минусом их анализатора. А вот на зашифрованный вредоносный объект отреагировал только BitDefender.
Столбцы:
1. Тестовый Trojan-Dropper, в его ресурсе безопасный файл.
2. Реакция антивирусов на применяемый в тестах Trojan.Win32.LowZones.ad.
3. Тестовый Trojan-Dropper, в его ресурсе Trojan.Win32.LowZones.ad.
4. Тестовый Trojan-Dropper, в его ресурсе зашифрованный Trojan.Win32.LowZones.ad.
5. Тестовый Trojan-Dropper, в конце его приписан безопасный файл.
6. Тестовый Trojan-Dropper, в конце его приписан Trojan.Win32.LowZones.ad.
Средства модификации машинного кода
В данном тестировании рассмотрим самую простую методику модификации машинного кода, которая может применяться для маскировки файла от обнаружения антивирусом, — это модификация команд в области точки входа. Тестовый пример построен на основе Trojan.Win32.LowZones.ad, первые две машинные команды которого перемещены в конец секции кода, а в точке входа размещена команда JMP на перемещенный код.
В конце перемещенного кода размещен JMP на третью машинную команду программы. В плане работы троянской программы, естественно, ничего не изменилось, более того — она соответствует исходному варианту с точностью до команды, но к машинному коду добавилось два JMP.
Проверка полученного таким образом тестового примера показала очень интересные результаты: модифицированный образец опознали только BitDefender, DrWeb и Kaspersky AVP. Все остальные антивирусы не только пропустили данный образец, но и не выдали никаких предупреждений и подозрений.
Заключение
Проведенные эксперименты и тесты затронули достаточно узкую область вредоносных программ, поэтому проведенные тесты ни в коей мере не могут применяться в качестве критериев оценки работоспособности эвристических анализаторов антивирусов в целом. Однако тесты продемонстрировали, что для защиты компьютера от не известных заранее вредоносных программ или от модифицированных вариантов известных одного сканера недостаточно — необходим монитор с элементами проактивной защиты. Использование монитора повышает вероятность обнаружения внедрения в систему троянских программ при помощи Trojan-Dropper и Trojan-Downloader, поскольку, пропустив, скажем, Trojan-Dropper, монитор может отреагировать на устанавливаемую им вредоносную программу и заблокировать ее установку и запуск. Элементы проактивной защиты нужны для обнаружения неизвестных разновидностей вредоносных программ на основании анализа их поведения.
по материалам издания КомпьютерПресс
Комбинированный вид
