Packed.Win32.Katusha.n

Alexey Kleymenov

Packed ist ein besonderer Typ von detektierten Objekten, der zur Ermittlung von Schaddateien verwendet wird, die von schädlichen Packern geschützt werden. Das Hauptziel eines schädlichen Packers besteht darin, die Erkennung auf verschiedenen Ebenen weitestgehend zu erschweren. Die Modifikation Packed.Win32.Katusha.n erschien Ende Mai 2010 auf der Bildfläche. Ihr charakteristisches Merkmal ist ein schneller technischer Support: Die Virenschreiber versuchen die Detektierung innerhalb kürzester Zeit nach der Veröffentlichung der aktuellen Antiviren-Datenbanken zu verhindern.


Ausbreitungsdynamik von Packed.Win32.Katusha.n

Wie die Grafik zeigt, wurden für diesen Packer mit beneidenswerter Regelmäßigkeit Updates herausgebracht, die den Höhepunkten der Kurven entsprechen. Bemerkenswert ist außerdem, dass auf ein infiziertes System durchschnittlich drei Schadprogramme kommen.

Das Endziel der Ausführung besteht bei den meisten schädlichen Packern darin, die Kontrolle an den Ausgangscode des gepackten Schadprogramms zu übergeben, nachdem er dechiffriert wurde. Katusha.n verwendet eine recht ungewöhnliche Methode, um an die Adressen des verschlüsselten Codes und Schlüssels zu gelangen. Zu diesem Zweck verfügt der Packer in den Systembibliotheken über bestimmte Signaturen und wählt in einem gewissen Abstand zu ihnen die in jedem System immer fixierten 4 Byte (Länge der Adresse in 32-х Bit-Systemen).


Daraufhin wird den 4 Byte ein dem Code vorher zugeteilter Wert hinzugefügt und das Ergebnis wird dann als Adresse verwendet. Das wichtigste Ziel dieser Aktionen besteht in der Umgehung schwacher Emulation und gefälschter Bibliotheken, wobei absichtlich unterschiedliche Bibliotheken gewählt werden (z.B. SHELL32.DLL, GDI32.DLL, VERSION.DLL).

Danach bestimmt der Packer den Speicher, in den er den eigenen verschlüsselten Code kopiert und ihn mit dem Paar xor key/add key dechiffriert. Die Adresse des Schlüssels wird ebenfalls dynamisch nach der oben beschriebenen Methode empfangen. In früheren Versionen wurde die trojanische Verschlüsselung jedes 4. Bytes des gegebenen Paares verwendet, danach behielten die Entwickler nur eins:


Daraufhin wird die Steuerung an den entschlüsselten Code im ausgesuchten Speicher übertragen. In erster Linie findet dort die Wiederherstellung der Importe über die Hashfunktionen ihrer Namen statt:


Sodann erfolgt die zweite Ebene der Entschlüsselung des Quellcodes des bearbeiteten Schadprogramms, die auf unterschiedliche Weise durchgeführt wird:


Danach wird die Steuerung an den Originalcode übertragen.

Noch einige Worte zur Umsetzung der Obfuskation. Die ersten Versionen waren durch leicht identifizierbare unsinnige Befehle verwässert.


Darauf folgten Befehle, die sich ein wenig von den ursprünglichen unterschieden:


Allerdings gaben die Entwickler des Schädlings diese Methode bereits nach 5 Tagen wieder auf.

In den letzten Versionen versuchten die Virenschreiber den funktionalen Code des Packers in verschiedene Funktionen zu zerstückeln, und ihm zudem eine Vielzahl von weitaus sinnvolleren nutzlosen Befehlen zuzuteilen.

Der hier beschriebene Packer wird fortwährend weiterentwickelt, indem immer neue Methoden zur Umgehung der Detektion umgesetzt werden. Ausgehend von den in schöner Regelmäßigkeit erscheinenden Aktualisierungen ist anzunehmen, dass Katusha.n auf Bestellung entwickelt wird – mit garantiertem technischen Support. Ein anderer interessanter Umstand ist ebenfalls erwähnenswert – manchmal kommt es vor, dass die Virenschreiber nach der Veröffentlichung eines Detektions-Updates die Verbreitung von Packed.Win32.Katusha.n zeitweise stoppen und von denselben Sites Trojan.Win32.Monder verbreiten.

Die weitere Entwicklung des Packers vorherzusagen ist nicht leicht. Ich nehme an, dass sich seine Programmierer früher oder später angesichts der geringen Rentabilität der Unterstützung einer bereits so gut erforschten Version entschließen werden, eine neue Variante zu entwickeln.

Zum gegenwärtigen Zeitpunkt finden und entfernen alle Produkte von Kaspersky Lab die existierenden Versionen von Packed.Win32.Katusha.n. Die Detektierung neuer Versionen wird den Datenbanken innerhalb kürzester Zeiträume hinzugefügt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.