Neuer Sality – Sality.ag

Am vergangenen Freitag entdeckten die Experten von Kaspersky Lab eine neue Modifikation des derzeit populärsten polymorphen infizierenden Virus‘– Sality.aa. Das letzte Mal wurde der Virus Sality.aa vor etwa einem Jahr modifiziert, wobei die Veränderung recht unbedeutend war. Sality hält sich allerdings bereits zwei Jahre in den Top 5 der am häufigsten auf den Anwendercomputern gefundenen Schädlinge. Alle vorhergehenden Modifikationen von Sality waren nicht sonderlich erfolgreich. Auf „aa” folgte die Version „ae”, die die Infizierungstechnik EPO verwendete, doch auf Grund eines simplen Dechiffrierungsalgorithmus‘ und einer misslungenen Infizierungstechnik kam er bei den Cyberkriminellen nicht besonders gut an. Die darauffolgenden Varianten erfreuten sich auf Grund eines wesentlich vereinfachten Dechiffrierungsalgorithmus‘ ebenfalls keiner großen Beliebtheit.

Die neue Spielart wurde Modifikation ag getauft. Was macht dieses neue Exemplar nun so interessant für uns? In ihm kommen ein qualitativ neuer Dechiffrierungsalgorithmus und eine Vielzahl „nützlicher“ Instruktionen zur Anwendung. Wir meinen, dass diese Modifikation die veraltete Version „aa“ schon bald ablösen und äußerst populär werden wird.

Die wichtigste Funktionalität dieses Virus‘ ist ein BackDoor. Ist Sality.ag in ein System eingedrungen, so installiert er sofort eine Bibliothek und einen Driver, der den Internet-Traffic filtert. Die Bibliothek wird zur Abwehr verschiedener Antiviren-Programme und Firewalls eingesetzt.

Unten ist der Screenshot eines Fragments der entpackten Bibliothek abgebildet, das eine Zeile enthält, die sich auf Software bezieht wie etwa: “avast! Self Protection”, “NOD32krn”, “Avira AntiVir Premium”, “DRWEBSCD” usw. Sality verwendet zudem eine der einfachsten Methoden zur Deaktivierung von AV-Programmen – er versucht, die Fenster und Prozesse mit den entsprechenden Namen zu schließen.


Screenshot eines Fragments der entpackten Bibliothek von Sality.ag

Zudem werden zusätzliche Einträge in die Registry vorgenommen, die den TaskManager und die Benutzerkontensteuerung (UAC) deaktivieren. Überdies wird ein Driver in den Registry-Zweig “SystemCurrentControlSetControlSafeBoot” hinzugefügt, wodurch der Driver sich im sicheren Modus laden kann.

Der Driver erstellt eine Struktur mit der Bezeichnung “amsint32” und interagiert mit “DeviceIPFILTERDRIVER”, d.h. mit dem Driver des Filters der IP-Pakete, wodurch er in der Lage ist, den Traffic zu filtern. Die Driver-Datei selbst ist in der Bibliothek enthalten, die im Körper des Virus gespeichert und mit dem Packer UPX gepackt ist.

Der Hauptkörper erstellt gleichzeitig synchronisierende Objekte, um weitere Starts der infizierten Dateien “uxJLpe1m”, “Ap1mutx7” zu erkennen, und er installiert außerdem die bereits erwähnte Bibliothek und lädt Dienstdaten von Sites, auf die die folgenden Links führen:

http://sagocugenc.sa.funpic.de/images/*****.gif
http://www.eleonuccorini.com/images/*****.gif
http://www.cityofangelsmagazine.com/images/*****.gif
http://www.21yybuyukanadolu.com/images/*****.gif
http://yucelcavdar.com/*****.gif
http://www.luster-adv.com/gallery/Fusion/images/*****.gif

Nachdem alle Vorbereitungen getroffen wurden, versucht Sality sich mit einem remoten Server zu verbinden und führt seine Befehle aus, indem er wie ein gewöhnlicher BackDoor vorgeht.

An der Infizierungstechnik hat sich im Vergleich zur Version „aa“ nichts Wesentliches geändert. Der Code des Eintrittspunkts wird durch den Übergang auf den Hauptkörper ersetzt. Der Übergang stellt einen gewöhnlichen Übergangsbefehl auf die Registry dar – jmp reg, der sehr stark obfuskiert ist. Der Körper selbst hat eine Größe von 0x11000 Byte und befindet sich am Ende der letzten Sektion, die eigens dafür erweitert wird. Zusätzlich zu den Flaggen der Sektion wird eine Erweiterung für den Eintrag und die Ausführung hinzugefügt. Die ersten 0x1000 Byte des Codes wurden einer starken Obfuskation unterzogen, doch sie führen die Dechiffrierung des restlichen Codes durch. Kam in der Version „aa“ der Algorithmus RC4 zum Einsatz, so wird nun ein Algorithmus verwendet, der innerhalb eines Zyklus‘ zwei doppelte Wörter dechiffriert. Jeder Zyklus beinhaltet 0x3F Iterationen, in denen die Operationen Addition, Subtraktion, Verschiebung verwendet werden und in denen eine Tabelle von Doppelwörtern zu Beginn des infizierten Abschnitts interagiert.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.