Penetrator (вредоносная программа): различия между версиями
[отпатрулированная версия] | [непроверенная версия] |
Ещё чуть поправил. |
Спасено источников — 3, отмечено мёртвыми — 0. Сообщить об ошибке. См. FAQ.) #IABot (v2.0.8.7 |
||
(не показаны 24 промежуточные версии 16 участников) | |||
Строка 4: | Строка 4: | ||
|full_name = Trojan-Downloader.Win32.VB.bnp |
|full_name = Trojan-Downloader.Win32.VB.bnp |
||
|type = [[Троянская программа]] |
|type = [[Троянская программа]] |
||
|year = 2007 |
|year = [[2007 год]] |
||
|target = [[EXE]],<br />загрузочный |
|target = [[EXE]],<br />загрузочный |
||
|symantec_link = http://www.securitylab.ru/virus/353734.php |
|symantec_link = http://www.securitylab.ru/virus/353734.php |
||
|securelist_link = |
|||
|viruslist_link = |
|||
}} |
}} |
||
'''Penetrator''' (от {{lang-en|penetrate}} — «внедряться») — [[троянская программа]], созданная российским студентом Дмитрием Уваровым<ref name=hack> |
'''Penetrator''' (от {{lang-en|penetrate}} — «внедряться») — [[троянская программа]], созданная российским студентом Дмитрием Уваровым<ref name=hack>{{Cite web |url=http://lenta.ru/news/2009/02/17/hacker/ |title=Автор вируса «Пенетратор» отделался штрафом |access-date=2012-11-28 |archive-date=2014-11-13 |archive-url=https://web.archive.org/web/20141113094545/http://lenta.ru/news/2009/02/17/hacker/ |deadlink=no }}</ref>. Троян был написан на [[Visual Basic]] и предназначался для [[Операционная система|операционных систем]] [[Windows]] c [[процессор]]ом [[x86]]. Внедряется в операционную систему и выполняет деструктивные действия над файлами ''.avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip'' в ночь на первое января<ref name=st1>[http://imtw.ru/index.php?app=blog&blogid=28&showentry=84 Как уничтожить вирус Penetrator?]{{Недоступная ссылка|date=August 2021 |bot=InternetArchiveBot }}</ref>. |
||
== Предыстория == |
== Предыстория == |
||
Точная дата появления трояна неизвестна. Предполагается, что он появился в марте [[2007 год]]а. Первые сообщения о вредоносной программе стали появляться осенью<ref name=st1 />. Тогда же и появилась легенда, что российский программист решил отомстить отвергнувшей его девушке, а заодно и всему цифровому миру<ref> |
Точная дата появления трояна неизвестна. Предполагается, что он появился в марте [[2007 год]]а. Первые сообщения о вредоносной программе стали появляться осенью<ref name=st1 />. Тогда же и появилась легенда, что российский программист решил отомстить отвергнувшей его девушке, а заодно и всему цифровому миру<ref>{{Cite web |url=http://www.topauthor.ru/Kak_borotsya_s_virusom_Penetrator_b6a2.html |title=Как бороться с вирусом Penetrator? |access-date=2012-11-28 |archive-date=2012-08-22 |archive-url=https://web.archive.org/web/20120822110158/http://www.topauthor.ru/Kak_borotsya_s_virusom_Penetrator_b6a2.html |deadlink=no }}</ref>. |
||
Первая волна эпидемии трояна произошла 1 января [[2008 год]]а. Были заражены не только персональные компьютеры, но и сети предприятий и государственные структуры. Пострадали несколько тысяч компьютеров [[Амурская область|Амурской области]]. Вторая волна произошла 1 января [[2009 год]]а. Данный троян был обнаружен на компьютерах районной налоговой инспекции и прокуратуры<ref name=lenta> |
Первая волна эпидемии трояна произошла 1 января [[2008 год]]а. Были заражены не только персональные компьютеры, но и сети предприятий и государственные структуры. Пострадали несколько тысяч компьютеров [[Амурская область|Амурской области]]. Вторая волна произошла 1 января [[2009 год]]а. Данный троян был обнаружен на компьютерах районной налоговой инспекции и прокуратуры<ref name=lenta>{{Cite web |url=http://lenta.ru/news/2008/08/07/penetrator/ |title=Автора амурского вируса поймали в Калининграде |access-date=2012-11-28 |archive-date=2011-10-02 |archive-url=https://web.archive.org/web/20111002192404/http://lenta.ru/news/2008/08/07/penetrator/ |deadlink=no }}</ref>. |
||
18 января [[2008 год]]а в Калининграде был задержан двадцатилетний молодой человек, которого обвинили в создании данной программы<ref name=lenta />. Дмитрий Уваров полностью признал свою вину, помог следствию, и в результате ему вынесли приговор в виде штрафа 3 000 рублей<ref name=hack />. |
18 января [[2008 год]]а в Калининграде был задержан двадцатилетний молодой человек, которого обвинили в создании данной программы<ref name=lenta />. Дмитрий Уваров полностью признал свою вину, помог следствию, и в результате ему вынесли приговор в виде штрафа 3 000 рублей<ref name=hack />. |
||
== Характеристика == |
== Характеристика == |
||
{{Obscene}} |
|||
Троян распространяется с помощью файла '''flash.scr''' (117248 байт, создан 04.08.2003 9:00:00 AM), тем самым маскируясь под программу — [[скринсейвер]]. Также были отмечены единичные случаи, когда он маскировался под файл ''[[mp3]]''. |
Троян распространяется с помощью файла '''flash.scr''' (117248 байт, создан 04.08.2003 9:00:00 AM), тем самым маскируясь под программу — [[скринсейвер]]. Также были отмечены единичные случаи, когда он маскировался под файл ''[[mp3]]''. |
||
Строка 28: | Строка 27: | ||
* в папке ''\WINDOWS\system32\DETER177\'' создает скрытый файл ''lsass.exe'' (117248 байт; в отличие от настоящего [[lsass.exe]], находящегося в папке ''\WINDOWS\system32''); |
* в папке ''\WINDOWS\system32\DETER177\'' создает скрытый файл ''lsass.exe'' (117248 байт; в отличие от настоящего [[lsass.exe]], находящегося в папке ''\WINDOWS\system32''); |
||
* в папке ''\WINDOWS\system32\DETER177\'' создает скрытый файл ''smss.exe'' (117248 байт; в отличие от настоящего [[smss.exe]], находящегося в папке ''\WINDOWS\system32''); |
* в папке ''\WINDOWS\system32\DETER177\'' создает скрытый файл ''smss.exe'' (117248 байт; в отличие от настоящего [[smss.exe]], находящегося в папке ''\WINDOWS\system32''); |
||
* в папке ''\WINDOWS\system32\DETER177\'' создает скрытый файл '' |
* в папке ''\WINDOWS\system32\DETER177\'' создает скрытый файл ''svchost.exe'' (117248 байт; буквы '''«с»''' и '''«о»''' — кириллические, в отличие от настоящего [[svchost.exe]]); |
||
* в папке ''\WINDOWS\system32\'' создает скрытый файл ''AHTOMSYS19.exe'' (117248 байт); |
* в папке ''\WINDOWS\system32\'' создает скрытый файл ''AHTOMSYS19.exe'' (117248 байт); |
||
* в папке ''\WINDOWS\system32\'' создает скрытый файл '' |
* в папке ''\WINDOWS\system32\'' создает скрытый файл ''сtfmon.exe'' (117248 байт; буквы '''«с»''' и '''«о»''' — кириллические, в отличие от настоящего ctfmon.exe); |
||
* в папке ''\WINDOWS\system32\'' создает скрытый файл ''psador18.dll'' (32 байта); |
* в папке ''\WINDOWS\system32\'' создает скрытый файл ''psador18.dll'' (32 байта); |
||
* в папке ''\WINDOWS\system32\'' создает скрытый файл ''psagor18.sys'' (117248 байт); |
* в папке ''\WINDOWS\system32\'' создает скрытый файл ''psagor18.sys'' (117248 байт); |
||
* файлы '' |
* файлы ''АHTOMSYS19.exe'', ''\WINDOWS\system32\DETER177\lsass.exe'' и ''\WINDOWS\system32\сtfmon.exe'' автозагружаются и постоянно присутствуют в [[Оперативная память|оперативной памяти]]; |
||
* деструктивное действие трояна направлено на файлы ''.avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip''; |
* деструктивное действие трояна направлено на файлы ''.avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip''; |
||
[[Файл:Penetrator.png|right|thumb]] |
[[Файл:Penetrator.png|right|thumb]] |
||
* все .jpg-файлы (.jpg, .jpeg) заменяются |
* все .jpg-файлы (.jpg, .jpeg) заменяются bmp-изображением под оболочкой .jpg c размером 69х15 пикселей, 3174 байт со стилизованной надписью '''Penetrator'''. Файлы .bmp, .png, .tiff троян не трогает; |
||
* содержимое файлов .doc и .xls заменяется |
* содержимое файлов .doc и .xls заменяется нецензурным текстовым сообщением (при этом размер этих файлов становится 196 байт — по объёму текстового сообщения); |
||
⚫ | |||
{{начало цитаты}} |
|||
⚫ | * в каждой папке (включая вложенные папки) диска, на котором произошел запуск файла flash.scr, троян создает свои копии <имя_папки>.scr (117248 байт); после этого файл flash.scr на этом диске (который уже заразил), как правило, самоуничтожается, оставляя в корневых каталогах дисков скрытый файл трояна (без названия) с расширением .scr; |
||
НАХУЙ ПОСЛАНА, СУКА, ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, СУКА, ИЩЕШЬ ВИНОВНИКА!! СОСИ ХУЙ, ЛИЖИ ПИЗДУ!! ХАХАХАХ \Penetrator\ <br /> MY ICQ: 402974020 <br /> JB17 |
|||
{{конец цитаты}} |
|||
⚫ | |||
⚫ | * в каждой папке (включая вложенные папки) диска, на котором произошел запуск файла flash.scr, троян создает свои копии <имя_папки>.scr (117248 байт); после этого файл flash.scr на этом диске (который уже заразил), как правило, самоуничтожается, оставляя в корневых |
||
* при открытии/подключении локальных/съемных дисков троян копируется на незаражённые носители; |
* при открытии/подключении локальных/съемных дисков троян копируется на незаражённые носители; |
||
* производит скрытый вызов следующих системных dll-библиотек: ''ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT.DLL''. |
* производит скрытый вызов следующих системных dll-библиотек: ''ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT.DLL''. |
||
Строка 56: | Строка 52: | ||
== Распознавание трояна антивирусами == |
== Распознавание трояна антивирусами == |
||
Различные антивирусы распознают его по |
Различные антивирусы распознают его по-разному: |
||
* [[Avira AntiVir]] — TR/Dldr.VB.bnp; |
* [[Avira AntiVir]] — TR/Dldr.VB.bnp; |
||
* [[Avast]] — Win32:Trojan-gen; |
* [[Avast Antivirus|Avast]] — Win32:Trojan-gen; |
||
* [[AVG]] — Downloader.VB.AIM; |
* [[AVG]] — Downloader.VB.AIM; |
||
* [[BitDefender]] — Trojan.Downloader.VB.VKV; |
* [[BitDefender]] — Trojan.Downloader.VB.VKV; |
||
Строка 76: | Строка 72: | ||
* [https://www.virustotal.com/ru/file/4eaf8f45cb6226197f7318bd532fa5e589078ed1645a61b055d12973ac4de07f/analysis/1431521504/ Результат проверки на VirusTotal] |
* [https://www.virustotal.com/ru/file/4eaf8f45cb6226197f7318bd532fa5e589078ed1645a61b055d12973ac4de07f/analysis/1431521504/ Результат проверки на VirusTotal] |
||
* [http://netler.ru/pc/penetrator.htm Как уничтожить вирус Penetrator] |
* [http://netler.ru/pc/penetrator.htm Как уничтожить вирус Penetrator] |
||
{{Хакерские атаки 2000-х}} |
|||
<!--- Категории ---> |
<!--- Категории ---> |
||
{{Вредоносное программное обеспечение}} |
|||
[[Категория:Вредоносное программное обеспечение]] |
[[Категория:Вредоносное программное обеспечение]] |
||
[[Категория:Компьютерные вирусы и сетевые черви]] |
Текущая версия от 08:26, 16 мая 2022
Penetrator, или «Пенетратор» | |
---|---|
Полное название (Касперский) | Trojan-Downloader.Win32.VB.bnp |
Тип | Троянская программа |
Год появления | 2007 год |
Используемое ПО |
EXE, загрузочный |
Описание Symantec |
Penetrator (от англ. penetrate — «внедряться») — троянская программа, созданная российским студентом Дмитрием Уваровым[1]. Троян был написан на Visual Basic и предназначался для операционных систем Windows c процессором x86. Внедряется в операционную систему и выполняет деструктивные действия над файлами .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip в ночь на первое января[2].
Предыстория
[править | править код]Точная дата появления трояна неизвестна. Предполагается, что он появился в марте 2007 года. Первые сообщения о вредоносной программе стали появляться осенью[2]. Тогда же и появилась легенда, что российский программист решил отомстить отвергнувшей его девушке, а заодно и всему цифровому миру[3].
Первая волна эпидемии трояна произошла 1 января 2008 года. Были заражены не только персональные компьютеры, но и сети предприятий и государственные структуры. Пострадали несколько тысяч компьютеров Амурской области. Вторая волна произошла 1 января 2009 года. Данный троян был обнаружен на компьютерах районной налоговой инспекции и прокуратуры[4].
18 января 2008 года в Калининграде был задержан двадцатилетний молодой человек, которого обвинили в создании данной программы[4]. Дмитрий Уваров полностью признал свою вину, помог следствию, и в результате ему вынесли приговор в виде штрафа 3 000 рублей[1].
Характеристика
[править | править код]Троян распространяется с помощью файла flash.scr (117248 байт, создан 04.08.2003 9:00:00 AM), тем самым маскируясь под программу — скринсейвер. Также были отмечены единичные случаи, когда он маскировался под файл mp3.
При запуске исполняемого файла, троян внедряется в папку «\Documents and Settings\All Users\Документы\», файлом Documents.scr, для операционной системы Windows XP, предварительно внедряясь в оперативную память и в раздел автозагрузки. Заражение файлов начинается лишь 1 января.
1 января троян активируется:
- в папке \WINDOWS\system32\ создает папку DETER177;
- в папке \WINDOWS\system32\DETER177\ создает скрытый файл lsass.exe (117248 байт; в отличие от настоящего lsass.exe, находящегося в папке \WINDOWS\system32);
- в папке \WINDOWS\system32\DETER177\ создает скрытый файл smss.exe (117248 байт; в отличие от настоящего smss.exe, находящегося в папке \WINDOWS\system32);
- в папке \WINDOWS\system32\DETER177\ создает скрытый файл svchost.exe (117248 байт; буквы «с» и «о» — кириллические, в отличие от настоящего svchost.exe);
- в папке \WINDOWS\system32\ создает скрытый файл AHTOMSYS19.exe (117248 байт);
- в папке \WINDOWS\system32\ создает скрытый файл сtfmon.exe (117248 байт; буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon.exe);
- в папке \WINDOWS\system32\ создает скрытый файл psador18.dll (32 байта);
- в папке \WINDOWS\system32\ создает скрытый файл psagor18.sys (117248 байт);
- файлы АHTOMSYS19.exe, \WINDOWS\system32\DETER177\lsass.exe и \WINDOWS\system32\сtfmon.exe автозагружаются и постоянно присутствуют в оперативной памяти;
- деструктивное действие трояна направлено на файлы .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip;
- все .jpg-файлы (.jpg, .jpeg) заменяются bmp-изображением под оболочкой .jpg c размером 69х15 пикселей, 3174 байт со стилизованной надписью Penetrator. Файлы .bmp, .png, .tiff троян не трогает;
- содержимое файлов .doc и .xls заменяется нецензурным текстовым сообщением (при этом размер этих файлов становится 196 байт — по объёму текстового сообщения);
- троян создает папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP — \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista и Windows 7 — \Users\Master\AppData\Local\Microsoft\Windows\Burn);
- в каждой папке (включая вложенные папки) диска, на котором произошел запуск файла flash.scr, троян создает свои копии <имя_папки>.scr (117248 байт); после этого файл flash.scr на этом диске (который уже заразил), как правило, самоуничтожается, оставляя в корневых каталогах дисков скрытый файл трояна (без названия) с расширением .scr;
- при открытии/подключении локальных/съемных дисков троян копируется на незаражённые носители;
- производит скрытый вызов следующих системных dll-библиотек: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT.DLL.
Маскируется троян в системе следующим образом:
- Скрывает отображение «скрытых файлов и папок»
- Скрывает отображение расширений файлов
- Делает недоступным пункт меню «Свойства папки»
- Запрещает запуск «редактора реестра»'
- Блокирует установку антивируса
- Блокирует запуск утилит настройки системы
- Настраивает разделы реестра так, что файл flash.scr выглядит как обычная папка
Распознавание трояна антивирусами
[править | править код]Различные антивирусы распознают его по-разному:
- Avira AntiVir — TR/Dldr.VB.bnp;
- Avast — Win32:Trojan-gen;
- AVG — Downloader.VB.AIM;
- BitDefender — Trojan.Downloader.VB.VKV;
- ClamAV — Trojan.Downloader-15571;
- DrWeb — Win32.HLLW.Kati;
- Eset NOD32 — Win32/VB.NNJ worm;
- F-Secure Anti-Virus — Trojan-Downloader.Win32.VB.bnp;
- Антивирус Касперского — Trojan-Downloader.Win32.VB.bnp;
- McAfee — Downloader.gen.a;
- Panda Security — W32/Penetrator.A.worm;
- VBA32 — Trojan-Downloader.Win32.VB.bnp.
Примечания
[править | править код]- ↑ 1 2 Автор вируса «Пенетратор» отделался штрафом . Дата обращения: 28 ноября 2012. Архивировано 13 ноября 2014 года.
- ↑ 1 2 Как уничтожить вирус Penetrator? (недоступная ссылка)
- ↑ Как бороться с вирусом Penetrator? Дата обращения: 28 ноября 2012. Архивировано 22 августа 2012 года.
- ↑ 1 2 Автора амурского вируса поймали в Калининграде . Дата обращения: 28 ноября 2012. Архивировано 2 октября 2011 года.