dropper вирус что делает
Trojan-Dropper.Win32.Agent.rek: «легальный» руткит
В заметке описывается драйвер, который загружается вирусом, рассмотренным в предыдущей части. Драйвер работает на уровне ядра операционной системы, и обеспечивает «привилегированное» прикрытие основной функциональности трояна, которая работает в режиме пользователя (авторское название компоненты — winnt32.dll. Подробнее о ней см. habrahabr.ru/blog/virus/43787.html).
Краткое описание.
Программа представляет собой nt-драйвер (так же известны, как legacy-драйвера, то есть не связанные ни с каким физическим устройством). Является руткитом: используя механизмы ядра ОС, лишает другие программы доступа к некоторым файлам и ключам реестра.
Детектируется касперским как Trojan-Dropper.Win32.Agent.rek. Размер 27548 байтов.
Лирическое отсутпление. «Обычный» руткит может использовать недостатки в реализации ОС для сокрытия объектов: файлов, сетевых соединений, и так далее вплоть до секторов жесткого диска. Для этого в простейшем случае делается перехват системного вызова. Системный вызов по сути — это вызов функции, а вызов функции — это передача управления по указанному адресу. Руткит записывает по этому адресу свой код, который трансформирует результат оригинальной функции. К примеру, проверяет, пытается ли кто-то открывать файл с телом вируса, и возвращает какой-нибудь код ошибки, например «доступ заперещен».
Справочник говорит следующее: The IoRegisterFsRegistrationChange routine registers a file system filter driver’s notification routine to be called whenever a file system registers or unregisters itself as an active file system.
В структуре DEVICE_OBJECT, описывающей устройство, драйвер заменяет обработчик запроса IRP_MJ_CREATE на свой. Запрос IRP_MJ_CREATE генерируется изнутри NtCreateFile при открытии файла. Новый обработчик сравнивает запрошенное имя с именем файла собственно драйвера (которое задается дроппером в форме Wwwdd.sys, например Jer24.sys), и, в случае совпадения, возвращает код ошибки STATUS_ACCESS_DENIED.
Ключи реестра
Обращение к ключам реестра реализованно не менее легально: используя функцию CmRegisterCallback, драйвер подписывается на уведомление о всех обращениях к реестру. Стоит ли говорить о том, как начинает тормозить компьютер?
A driver calls CmRegisterCallback to register a RegistryCallback routine, which is called every time a thread performs an operation on the registry.
При обращении к ключам реестра:
HKLM\System\CurrentControlSet\Sevices\DRIVER-NAME
HKLM\System\ControlSet001\Sevices\DRIVER-NAME
HKLM\System\ControlSet002\Sevices\DRIVER-NAME
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\DRIVER-NAME
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\DRIVER-NAME
HKLM\System\ControlSet001\Control\SafeBoot\Minimal\DRIVER-NAME
HKLM\System\ControlSet001\Control\SafeBoot\Minimal\DRIVER-NAME
HKLM\System\ControlSet002\Control\SafeBoot\Network\DRIVER-NAME
HKLM\System\ControlSet002\Control\SafeBoot\Network\DRIVER-NAME
драйвер возвращает код ошибки STATUS_ACCESS_DENIED.
Запрет на удаление файла: 
Запрет на удаление ключа реестра:
Вот система передает руткиту информацию о CDFS:
Вывод.
В невидимой борьбе вирусов с антивирусами, когда все на свете перехватыватся и переперехватывается, используемый данным руткитом метод легален, а поэтому наиболее опасен. Со своей большой колокольни могу предположить, что снять такой хук на практике нереально. Либо перехватывать собственно процедуры регистрации таких уведомлений (типа CmRegisterCallback), запретив вызывать ее кому не попадя.
С другой стороны, грань, разделюящая вирусы и антивирусы, становится все тоньше и терерь едва заметна. Они используют одинаковые механизмы для сокрытия данных или отслеживания работы обычных программ. И, кстати, шаги к этому совершаются больше темной стороной.
Троянец-дроппер
Троянец-дроппер (trojan dropper), или просто дроппер (Dropper) — вредоносное программное обеспечение, предназначенное для доставки на компьютер или смартфон жертвы другого вредоносного ПО.
Как видно из названия, чаще всего дроппер — это троянец, то есть программа, имитирующая или действительно включающая в себя какое-то полезное приложение. Типичный пример — генератор ключей для пиратской версии коммерческого ПО.
Как работает дроппер
В большинстве случаев сами дропперы не имеют зловредных функций. Основная задача дроппера — незаметно для жертвы установить на целевое устройство других зловредов, так называемую полезную нагрузку. В отличие от загрузчика, который скачивает необходимые компоненты с сервера злоумышленников, дроппер содержит их в себе. При запуске он извлекает полезную нагрузку и сохраняет на устройство. Также дроппер может запускать установочные файлы зловредов.
Что доставляет дроппер
В качестве полезной нагрузки обычно используются другие троянцы. Иногда дроппер содержит только одного зловреда, однако чаще всего он доставляет сразу несколько таких программ. Они могут быть никак не связаны между собой и выполнять разные задачи. Зачастую внутри одного дроппера оказываются троянцы, созданные разными хакерскими группировками. Также в нем могут содержаться безвредные файлы, которые дроппер загружает, чтобы замаскировать установку зловредов.
Как правило, дропперы используются для доставки известных троянцев в обход защитных функций целевого устройства. Они затрудняют обнаружение вредоносного ПО на стадии загрузки и нейтрализуют защиту перед установкой полезной нагрузки. Механизм нейтрализации зависит от типа целевой операционной системы. В частности, в Windows дропперы, как правило, деактивируют службу контроля учетных записей UAC, которая уведомляет пользователя о попытках программ внести изменения в систему.
Виды дропперов
Дропперы могут быть устойчивыми или неустойчивыми.
Публикации на схожие темы
Новые трюки трояна Trickbot
MysterySnail проникает через уязвимость нулевого дня
Trojan-Dropper
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
Публикации на схожие темы
Пакер Loncom — от бэкдоров к Cobalt Strike
HQWar: падение черного дроппера
Привет, меня зовут Dtrack
Поиск
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Связаться с нами
Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Что такое Win32: Dropper-GEN?
Win32: Dropper-GEN обычно создается не для того, чтобы скомпрометировать отдельный компьютер, а для заражения миллионов устройств. Бот-пастухи часто используют Win32: Dropper-GEN на компьютерах с вирусом троянского коня. Стратегия обычно требует, чтобы пользователи заражали свои собственные системы, открывая вложения электронной почты, нажимая на вредоносные всплывающие окна или загружая опасное программное обеспечение с веб-сайта. После заражения устройств Win32: Dropper-GEN может свободно получать доступ и изменять личную информацию, атаковать другие компьютеры и совершать другие преступления.
Более сложный Win32: Dropper-GEN может даже распространять, находить и автоматически заражать устройства. Эти автономные роботы выполняют задачи поиска и заражения и постоянно ищут в Интернете уязвимые устройства, подключенные к Интернету, без обновления операционной системы или антивирусного программного обеспечения.
Win32: Dropper-GEN трудно обнаружить. Он потребляет мало вычислительной мощности, чтобы не мешать нормальным функциям устройства и предупреждать пользователя. Более продвинутый Win32: Dropper-GEN даже предназначен для обновления их поведения, чтобы предотвратить их обнаружение программным обеспечением для кибербезопасности. Пользователи не знают, что подключенное устройство контролируется злоумышленниками. Хуже того, дизайн Win32: Dropper-GEN постоянно развивается, что затрудняет поиск новых версий.
Win32: Dropper-GEN требуется время для роста. Многие из них будут спать на устройствах, ожидая, когда бот-мастер попросит их принять меры в случае атаки DDoS или распространения спама.
Win32: Dropper-GEN Подробности
Что такое боты?
Боты (сокращение от роботов) также известны как пауки, сканеры и веб-роботы. Хотя они могут использоваться для повторяющихся задач, таких как индексация поисковой системы, они часто представляют собой вредоносные программы. Вредоносное ПО используется для получения полного контроля над компьютером.
Вредоносные роботы определяются как вредоносные программы собственного производства, которые заражают свой хост и повторно подключаются к одному или нескольким центральным серверам. Сервер служит «центром управления» для ботнета или сети уязвимых компьютеров и подобных устройств. Вредоносные роботы обладают «способностью распространяться как черви», а также могут:
Боты обычно используются для заражения большого количества компьютеров. Эти компьютеры образуют «ботнет» или сеть ботов.
Как Win32: Dropper-GEN попал на мой компьютер?
Как и другие вредоносные программы, боты часто случайно загружаются на компьютер по электронной почте, фишинговые сообщения, в которых просят получателя нажать на ссылку, или сообщения в социальных сетях, которые пытаются заставить вас загрузить изображение или перейти по ссылке.
Передовые вредоносные программы обычно достигают компьютера или сети через следующие каналы распространения:
Симптомы Win32: Dropper-GEN?
Основными симптомами Win32: инфекции Dropper-GEN являются:
Как удалить Win32: Dropper-GEN с вашего компьютера?
Если вы подозреваете инфекцию, предпримите следующие шаги, чтобы выяснить, что происходит:
Используйте диспетчер задач Windows или, вернее, Sysinternal Process Explorer, чтобы искать приложения, которые, кажется, не принадлежат или, кажется, потребляют большое количество системных ресурсов. Скорее всего, вы не найдете бота напрямую таким образом, но информация, которую ваша система предоставляет вам, может помочь вам двигаться в правильном направлении.
Как исправить и удалить Win32: Dropper-GEN
Вы можете скачать этот инструмент с официальной страницы загрузки. Установка довольно обычная и простая. После установки вам нужно будет запустить его. Инструмент автоматически анализирует ваш компьютер и отображает ошибки, вирусы, вредоносное ПО и соответствующие проблемы, которые необходимо исправить. Полный анализ занимает немного больше времени, но обеспечивает полный охват и безопасность. Результаты анализа очень подробны, и вы можете определить, какая часть вашего компьютера замедляется.
Вот области или вещи, которые диагностируются во время процесса:
После просмотра результатов анализа настало время приступить к устранению неполадок. Все, что вам нужно сделать, это нажать на кнопку «Начать восстановление», и ваша работа завершена. Reimage исправляет проблемы, возникающие с назначающими врачами, а также выполняет еще один углубленный анализ для решения других проблем.
Заключение
Убедитесь, что ваша система всегда обновлена и что ваша антивирусная программа работает, чтобы предоставить вам, вашей семье и друзьям дополнительную защиту.
Антивирусная прав ДА! TM
Кругозор без горизонтов
Чтобы получить доступ к сервисам проекта, войдите на сайт через аккаунт. Если у вас еще нет аккаунта, его можно создать. Подписка
Вредоносный десант
Интересное это слово дроппер (dropper). Им
обозначают и выводящего наличность из
банковского учета, и троянскую программу
для установки на компьютер жертвы другой
вредоносной программы.
Типичный дроппер использовался, например, в составе WannaCry.
Дроппер червя WannaCry содержит большой защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приема биткойнов, а также архив с программами для работы в сети Tor.
Дроппер запускается из тела червя, устанавливается в систему, после чего пытается запустить свою копию в виде системной службы со случайным именем. Если это не удается, он выполняется, как обычная программа. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.
Дро́пперы (англ. Dropper — «бомбосбрасыватель») — вредоносные программы, назначением которых служит несанкционированная и скрытая от пользователя установка (запись на диск) на компьютер других вредоносных программ (или других частей вредоносного комплекса), содержащихся в самом теле дроппера.
Бэкдор распространяется с помощью дроппера, представленного в виде документа Microsoft Excel, в который встроен специальный макрос.
Макрос собирает по байтам и запускает самораспаковывающийся архив. В архиве, в свою очередь, содержится исполняемый файл, позаимствованный злоумышленниками из комплекта поставки популярного продукта корпорации Symantec. Этот файл имеет действительную цифровую подпись Symantec и в момент своего запуска загружает в память компьютера динамическую библиотеку, где и реализованы основные вредоносные функции троянца.
Именно способ доставки «полезной нагрузки» отличает дроппер от другой вредоносной программы – загрузчика, который загружает вредоносные компоненты по сети.
Вот однодневный «улов»:
И это только одно семейство – MulDrop!
Как правило, дроппер – это троянская программа. Сама по себе она никого заразить не может – ее кто-то должен доставить на компьютер и запустить.
Trojan.MulDrop6.48664, устанавливает на атакуемый компьютер уже известную вредоносную программу BackDoor.TeamViewer.49. На сей раз злоумышленники замаскировали дроппера под приложение-опросник, распространяющийся якобы от имени одной из известных российских авиакомпаний.
Как и прочие троянские программы, дроппер можно «получить» по электронной почте, через браузер, сменный носитель, либо же в результате взлома компьютера.
При этом он может быть частью другой вредоносной программы, которая запускает его для записи данных на диск. Вот пример такого дроппера.
Дропперы предусмотрены для любых ОС, в том числе Windows, Linux и Android.
Дроппер написан с использованием открытой среды разработки Lazarus для компилятора Free Pascal и при запуске демонстрирует следующее диалоговое окно, в котором содержится упоминание устройств, предназначенных для выполнения операций с криптовалютой Bitcoin:
В теле данного дроппера в незашифрованном виде хранится второй компонент троянца — бэкдор.
Дропперы могут заражать не только операционные системы, но и конкретные приложения.
1C.Drop.1 написан с использованием кириллицы на встроенном языке программирования для приложений 1С.
Этот троянец распространялся в виде вложения в почтовые сообщения, ориентированные на бухгалтеров: к письмам был прикреплен файл внешней обработки для программы «1С:Предприятие». При его открытии 1C.Drop.1 рассылал свою копию по всем обнаруженным в базе 1С электронным адресам контрагентов компании, а потом запускал на инфицированном ПК опасного троянца-шифровальщика.
Опасность дропперов – в том, что непосредственно вредоносной деятельностью (если не считать таковой установку других программ) они не занимаются. И потому могут незаметно выполнить свою задачу и самоудалиться.
Антивирусная правДА! рекомендует
Дроппер – особо опасный вид вредоносных программ. В связи с тем, что его деятельность незаметна для пользователей, он может проникать в атакуемую систему снова и снова, используя незакрытые уязвимости и автоматически удаляясь после завершения заражения.
Для защиты от дропперов простого внимания и аккуратности недостаточно. В обязательном порядке необходим антивирус, установка всех обновлений безопасности и ограничение прав на установку новых программ.
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
17:12:44 2018-08-03
Неуёмный Обыватель 
07:13:19 2018-06-20
vasvet
20:21:07 2018-04-03
a13x
13:09:02 2017-12-13
dyadya_Sasha
16:28:37 2017-11-20
Ruslan
11:43:15 2017-11-20
nahimovec
13:34:31 2017-11-19
Black Angel
08:56:44 2017-11-19
robot
15:15:09 2017-11-18
razgen
02:03:32 2017-11-18
Mehatronik
23:41:42 2017-11-17
В. а
22:39:43 2017-11-17
vla_va
22:32:19 2017-11-17
Геральт
22:10:44 2017-11-17
НинаК
22:03:46 2017-11-17
ek
21:49:51 2017-11-17
eaglebuk
21:30:47 2017-11-17
Альфа
21:20:06 2017-11-17
kva-kva
21:16:03 2017-11-17
Dvakota
20:44:17 2017-11-17
Yra.Ka.
20:30:49 2017-11-17
Andromeda
20:29:17 2017-11-17
mk.insta
19:52:30 2017-11-17
Альфа
19:41:34 2017-11-17
orw_mikle
19:27:58 2017-11-17
Littlefish
19:26:32 2017-11-17
Littlefish
19:19:39 2017-11-17
Littlefish
19:10:16 2017-11-17
Сергей
17:59:15 2017-11-17
Toma
17:33:34 2017-11-17
Шалтай Александр Болтай
17:25:47 2017-11-17
Damir
17:23:34 2017-11-17
kozinka.ru
16:38:29 2017-11-17
Masha
16:08:23 2017-11-17
La folle
15:58:53 2017-11-17
duduka
15:45:36 2017-11-17
samos
15:41:21 2017-11-17
Dmur
14:37:24 2017-11-17
sapfira
14:00:25 2017-11-17
Дмитрий
13:39:27 2017-11-17
Alexander
13:24:08 2017-11-17
EvgenyZ
13:06:11 2017-11-17
vinnetou
13:04:29 2017-11-17
Rinat_64_rus
12:55:25 2017-11-17
marisha-san
12:42:29 2017-11-17
SGES
12:18:51 2017-11-17
Oleg
12:13:08 2017-11-17
Mefch
11:40:44 2017-11-17
Татьяна
10:53:45 2017-11-17
user
10:41:06 2017-11-17