Часть 1: Анализ файлов

Начнём с анализа файлов и директорий, создаваемых/изменяемых вредоносным ПО после запуска.

---

• C:/autorun.inf

• C:/RuntimeBroker.exe

• С:/Windows/System32/drivers/etc/hosts

• C:/Users/%USER%/Explorer.vbs

• C:/Users/%USER%/Libs

• C:/Users/%USER%/Libs/RuntimeBroker.exe

• C:/Users/%USER%/AppData/Local/Temp/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

• C:/Users/%USER%/AppData/Local/Temp/tmpXXXX.tmp.bat

---

Наш вредоносный файл создает два файла в корневой директории: RuntimeBroker.exe и autorun.inf. Первый из них — дубликат самого вредоноса, а второй — файл автозагрузки, предназначенный для USB-накопителей. Интересно, что вирус продолжает работать после перезагрузки даже без этого файла, как и его наличие не способствует автозапуску без соответствующего ключа в реестре (о котором мы поговорим чуть позже). Похоже, что файл autorun.inf служит для копирования вируса на подключаемые устройства, что делает его поведением похожим на червя, пытающегося заразить как можно больше систем.

Содержимое файла: autorun.inf

---

Далее у нас на очереди файл hosts, который в большинстве случаев предназначен для блокировки доступа или редиректа к конкретным сайтам или IP-адресам.

После анализа файла hosts мы обнаружили, что после запуска зловред блокирует доступ к ресурсам, большинство из которых принадлежат антивирусным компаниям. Это делается не только для того, чтобы помешать пользователю скачать антивирусное ПО, но и для того, чтобы предотвратить обновление уже установленного антивируса:

• www.arcabit.pl
• www.avast.com, www.avast.ru
• www.avg.com
• www.avira.com
• www.bitdefender.com
• www.bullguard.com
• www.clamav.net
• www.comodo.com
• www.drweb.ru
• www.emsisoft.com
• www.escanav.com
• www.eset.com, www.esetnod32.ru
• www.f-prot-antivirus-for-windows.en.softonic.com
• www.f-secure.com
• www.gdatasoftware.com
• www.ikarussecurity.com
• www.immunet.com
• www.kaspersky.ru
• www.maxpcsecure.com
• www.mcafee.com
• www.nanoav.ru
• www.norman.com
• www.quickheal.com
• www.seqrite.com
• www.sophos.com
• www.spamfighter.com
• www.tgsoft.it
• www.trendmicro.com
• www.virustotal.com
• www.vba32-antivirus.en.softonic.com
• www.xvirus.net
• www.zillya.ua
• www.zonealarm.com
• www.zonerantivirus.com

---

Следующий интересный файл — Explorer.vbs. Это скрипт с бесконечным циклом, который постоянно проверяет наличие процесса малвари с ID 6000. При перезагрузке система пересоздает этот файл, поэтому его экземпляр всегда новый, а ID процесса изменяется. В этом скрипте также указаны основная и резервная директории вируса.

Содержимое файла: Explorer.vbs

---

Однако протестировать этот скрипт в действии мне не удалось, так как при завершении процесса RuntimeBroker.exe система выдает синий экран смерти (BSOD). Злоумышленник явно постарался, чтобы его вредоносное ПО было сложно удалить.

---

Вирус так же создаёт директорию Libs, которая служит его основным хранилищем, как указано в скрипте Explorer.vbs. На эту директорию накладываются ограничения, что затрудняет доступ обычным пользователям.

---

Однако эти ограничения можно легко снять с помощью команды: takeown /R /F Libs и подтвердив действие.

---

Последний интересный файл находится в директории %TEMP% (на которую также накладываются ограничения) и имеет имя формата XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX (где X — случайный символ [a-z][0-9]). Как следует из логики скрипта Explorer.vbs, это резервная копия вируса, что подтверждается совпадением размера файла с исходным вредоносным ПО.

---

Бонус - bat файл для самоуничтожения вируса, который создается в директории %TEMP% и имеет имя формата tmpXXXX.tmp.bat (где X — случайный символ [a-z][0-9]). Ничего особенного тут нету, простое самоудаление после исполнения.

Содержимое файла: Explorer.vbs