Penetrator (вредоносная программа)

Перейти к навигацииПерейти к поиску
Penetrator, или «Пенетратор»
Полное название (Касперский) Trojan-Downloader.Win32.VB.bnp
ТипТроянская программа
Год появления2007 год
Используемое ПОEXE,
загрузочный
Описание Symantec

Penetrator (от англ. penetrate — «внедряться») — троянская программа, созданная российским студентом Дмитрием Уваровым[1]. Троян был написан на Visual Basic и предназначался для операционных систем Windows c процессором x86. Внедряется в операционную систему и выполняет деструктивные действия над файлами .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip в ночь на первое января[2].

Предыстория

Точная дата появления трояна неизвестна. Предполагается, что он появился в марте 2007 года. Первые сообщения о вредоносной программе стали появляться осенью[2]. Тогда же и появилась легенда, что российский программист решил отомстить отвергнувшей его девушке, а заодно и всему цифровому миру[3].

Первая волна эпидемии трояна произошла 1 января 2008 года. Были заражены не только персональные компьютеры, но и сети предприятий и государственные структуры. Пострадали несколько тысяч компьютеров Амурской области. Вторая волна произошла 1 января 2009 года. Данный троян был обнаружен на компьютерах районной налоговой инспекции и прокуратуры[4].

18 января 2008 года в Калининграде был задержан двадцатилетний молодой человек, которого обвинили в создании данной программы[4]. Дмитрий Уваров полностью признал свою вину, помог следствию, и в результате ему вынесли приговор в виде штрафа 3 000 рублей[1].

Характеристика

Троян распространяется с помощью файла flash.scr (117248 байт, создан 04.08.2003 9:00:00 AM), тем самым маскируясь под программу — скринсейвер. Также были отмечены единичные случаи, когда он маскировался под файл mp3.

При запуске исполняемого файла, троян внедряется в папку «\Documents and Settings\All Users\Документы\», файлом Documents.scr, для операционной системы Windows XP, предварительно внедряясь в оперативную память и в раздел автозагрузки. Заражение файлов начинается лишь 1 января.

1 января троян активируется:

  • в папке \WINDOWS\system32\ создает папку DETER177;
  • в папке \WINDOWS\system32\DETER177\ создает скрытый файл lsass.exe (117248 байт; в отличие от настоящего lsass.exe, находящегося в папке \WINDOWS\system32);
  • в папке \WINDOWS\system32\DETER177\ создает скрытый файл smss.exe (117248 байт; в отличие от настоящего smss.exe, находящегося в папке \WINDOWS\system32);
  • в папке \WINDOWS\system32\DETER177\ создает скрытый файл svchost.exe (117248 байт; буквы «с» и «о» — кириллические, в отличие от настоящего svchost.exe);
  • в папке \WINDOWS\system32\ создает скрытый файл AHTOMSYS19.exe (117248 байт);
  • в папке \WINDOWS\system32\ создает скрытый файл сtfmon.exe (117248 байт; буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon.exe);
  • в папке \WINDOWS\system32\ создает скрытый файл psador18.dll (32 байта);
  • в папке \WINDOWS\system32\ создает скрытый файл psagor18.sys (117248 байт);
  • файлы АHTOMSYS19.exe, \WINDOWS\system32\DETER177\lsass.exe и \WINDOWS\system32\сtfmon.exe автозагружаются и постоянно присутствуют в оперативной памяти;
  • деструктивное действие трояна направлено на файлы .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip;
  • все .jpg-файлы (.jpg, .jpeg) заменяются bmp-изображением под оболочкой .jpg c размером 69х15 пикселей, 3174 байт со стилизованной надписью Penetrator. Файлы .bmp, .png, .tiff троян не трогает;
  • содержимое файлов .doc и .xls заменяется нецензурным текстовым сообщением (при этом размер этих файлов становится 196 байт — по объёму текстового сообщения);
  • троян создает папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP — \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista и Windows 7 — \Users\Master\AppData\Local\Microsoft\Windows\Burn);
  • в каждой папке (включая вложенные папки) диска, на котором произошел запуск файла flash.scr, троян создает свои копии <имя_папки>.scr (117248 байт); после этого файл flash.scr на этом диске (который уже заразил), как правило, самоуничтожается, оставляя в корневых каталогах дисков скрытый файл трояна (без названия) с расширением .scr;
  • при открытии/подключении локальных/съемных дисков троян копируется на незаражённые носители;
  • производит скрытый вызов следующих системных dll-библиотек: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT.DLL.

Маскируется троян в системе следующим образом:

  • Скрывает отображение «скрытых файлов и папок»
  • Скрывает отображение расширений файлов
  • Делает недоступным пункт меню «Свойства папки»
  • Запрещает запуск «редактора реестра»'
  • Блокирует установку антивируса
  • Блокирует запуск утилит настройки системы
  • Настраивает разделы реестра так, что файл flash.scr выглядит как обычная папка

Распознавание трояна антивирусами

Различные антивирусы распознают его по-разному:

Примечания

  1. 1 2 Автор вируса «Пенетратор» отделался штрафом. Дата обращения: 28 ноября 2012. Архивировано 13 ноября 2014 года.
  2. 1 2 Как уничтожить вирус Penetrator? (недоступная ссылка)
  3. Как бороться с вирусом Penetrator? Дата обращения: 28 ноября 2012. Архивировано 22 августа 2012 года.
  4. 1 2 Автора амурского вируса поймали в Калининграде. Дата обращения: 28 ноября 2012. Архивировано 2 октября 2011 года.

Ссылки