Министерство Образования и Исследований

Республики Молдова

Технический Университет Молдовы

Факультет Вычислительной Техники, Информатики

и Микроэлектроники
Департамент Программной Инженерии и Автоматики

Отчет
по лабораторной работе Nr.1.
по дисциплине: Технологии информационной безопасности.
Тема: Анализ вредоносных программ. Статический и
динамический анализ. Настройка антивирусных
программ.

Выполнил(а) ст.гр. TI-217 Шологан Артем

Проверил(а) Алексей Арина

Кишинев 2023
Цель работы: Анализ трех вредоносных программ и настройка
антивирусной программы.

Задачи:
1) Выполнение предварительного анализа, статического и
динамического анализа вредоносных программ;
2) Оптимальная конфигурация антивирусной программы.
Предварительный анализ
Для предварительного анализа был использован инструмент обнаружения
вредоносных программ – VirusTotal и Intezer Analyze
Как вирусная программа связывается с компьютером пользователя

Данная вирусная программа имеет 1 сопрегательный IP address 1 файл для

запуска вирусной программы. Основной файл имеет расширение .exe
(Executable). Сопрегательный IP address 20.99.184.77 родом из US. Файл
который запускает вирус является JavaScript скриптом под именем
executable.exe.log
Детали вирусной программы
Поведение вирусной программы

54 из 71 антивирусной программы обнаружили данный вирус

1POYVC5E.exe (Троян). Тип файла .exe, размер файла 88KB. Основной
 задачей является проникнуть в корневую систему ПО. С помощь
библиотек .NET удаляет temp файлы системы заменяя их на свои. Так
же загружает Assembly коде для конфигурации бинарных файлов с
хэшированными данными. Для хешированния импользуюет SHA 256
на 256 bit. Тип файлов: 33.1% Win64.exe 76.9% Win32.exe данная
конфигурация файлов позволяет вирусной программе замаскироваться
под файл ПО. В системах возникает под разными именами и
орьентирован на системы с процессорами Intel 386 и выше.
Фрагментарно вирусная программа разделена на 3 sections .text –
которая содержит основной скрипт программы .rscs - содержит все
ресурсы модуля. Как правило, это файлы RES, созданные
компилятором ресурсов. Для того чтобы генерировать исполняемый
образ, который можно произвольно перебазировать во время загрузки с
помощью рандомизации макета адресного пространства (ASLR) — нам
нужна секция .reloc Энтропия – 7.020.
1. tleditor.exe
Поведение вирусной программы
Детали вирусной программы
Как вирусная программа связывается с компьютером пользователя

52 из 72 антивирусной программы обнаружили данный вирус tleditor.exe

(Троян). Тип файла .exe, размер файла 588.93KB. Основной задачей является
проникнуть в системные файлы под прикрытием пользователя и вести
наблюдение над статистикой в браузере ( отслеживать скаченные файлы,
история браузера, отслеживание трафика). После старта вирусной программы
файл iexplore.exe вызывает команду httstart.php?id=5.
После этого происходят HTTP Requests на адреса http://110.110.110.0/5 и
http://110.110.110.0/start.php?id=5. Данная вирусная программа использует 3
контактные ссылки http://110.110.110.0/5, http://110.110.110.0/start.php?id=5 и
http://www.yixun.com/ 3 контактных домена www.ppzy.com www.ppzy.net и
www.yixun.com и 2 контактных IP 110.110.110.0 и 111.68.2.102. IP адреса
соответствуют адресам из Китая и Гонконга. Executable file форммруется
Win32.exe и вспомогательным компановщиком NSIS. Для хеширования
данных использует SHA256 на 256bit и метод хеширования MD5. Имеет
возможность изменять свои имена. Содержит в себе 5 сегментов .text – код
исходной программы .rdata, .data – хранит все данные о файле дополнительно
и изменения .ndata – сохраняет данные веб-скрапинга и онлайн-аналитики
.rsrc - содержит все ресурсы модуля. Нацелен на системы с процессорами
Intel 386 и выше. Энтропия – 7.830437183380127.
3. X00A(42).exe
Детали вирусной программы
Поведение вирусной программы

40 из 73 антивирусной программы обнаружили данный вирус X00A(42).exe

(Троян). Основной задачей данной вирусной программы является
проникновение в корневую систему ПО и получение доступа к языковым
пакетам. Там вирусная программа удаляет временные данные связанные с
языковыми пакетами которые установил пользователь ранее и заменяет их на
свои тем самым не позволяя пользователю работать с системой так как всё
заменяется на необъяснимые занаки. Данная вирусная программа отправляет
TCP Requests на IP 23.72.32.173 и порт 443. Файлы захешированы по
стандарту SHA256 на 256bit и MD5. Размер файла составляет 1.11MB.
Программа написана под Win32.exe и в качестве пакеровшика использует
NSIS 87.8%. Тип файла .exe и расчитана под системы с процессорами Intel386
и поколениями выше. В ходе своей работы меняет свои имена. Содержит в
себе 5 сегментов .text – код исходной программы .rdata, .data – хранит все
данные о файле дополнительно и изменения .ndata – сохраняет данные веб-
скрапинга и онлайн-аналитики .rsrc - содержит все ресурсы модуля.
Энтропия – 6.76882839202809
Статический анализ
Анализ и исследование структуры вредоносных программ
1. 1POYVC5E.exe
Основные характеристики

Индикаторы

Сегменты

Данный вирусный файл видим что написан на SmartAssembly.NET obfuscator.

Этнтропия файла – 7.020. Версия файла 4.1.5.0. Тип файла executable - .exe
Из индикаторов мы видим куда ссылается основная программа какие группы
API использует в своей работе и какой хэш программы. Из сегментного
анализа видно что файл содержит 3 сегмента .text .rsrc .reloc в соотношении
77.27% 13.64% 4.55% соответсвенно.
Энтропия – это показатель хаотичности, или случайности распределения
значений байтов в файле. Энтропия любого файла в общем считается
методом «скользящего окна» по всем байтам файла. Суть анализа энтропии
заключается в том, что в скомпилированном файле обычной программы
участки кода распределенны более-менее равномерно. При использовании
кодировщиков или обфускации, упаковщиков, алгоритмов сжатия или
вставок подобного рода кода в исходный файл такая равномерность
нарушается. Одно их характерных свойств алгоритмов сжатия –
перераспределение частот встречаемости байтов кода (для всех 256
значений), что и станет заметно при анализе! В таких файлах будет степень
энтропии, близкая к максимальному значению 8. Для закодированных
(сжатых, зашифрованных) файлов на практике значение энтропии свыше 7
можно считать 100%-м признаком применения преобразователя кода, в то
время как обычные файлы имеют энтропию в районе 2-6.

2. tleditor.exe
Основные характеристики
Индикаторы

Сегменты

Данный вирусный файл видим написан на Visual Studio 2003. Этнтропия

файла – 7.721 Версия файла 2010-5-30.2 Тип файла executable - .exe Из
индикаторов видим что вирусная программа старается подключится к
www.ppzy.com и www.ppzy.net используя различные API подключения. Из
сегментного анализа мы видим что вирусный файл имеет 5 сегментов .text
.rdata .data .ndata .rsrc Сегмент .ndata как видим пуст так как данный
файл не был запущен мной ранее и не был подключен к сети,
потомо что именно данный сегмент при подключении к сети станет
собирать в себе информацию о браузинге пользователя.
 3. X00A(42).exe
Основные характеристики

Индикаторы

Сегменты

Данный вирусный файл видим написан на Visual Studio 2003. Этнтропия

файла – 6.750 Тип файла executable - .exe Из индикаторов видим что вирусная
программа старается подключится к www.duote.com и www.hahayouxi.com
используя различные API подключения. Из сегментного анализа мы видим
что вирусный файл имеет 5 сегментов .text .rdata .data .ndata .rsrc Сегмент
.ndata как видим пуст так как данный файл не был запущен мной
ранее и не был подключен к сети, потомо что именно данный
сегмент при подключении к сети станет собирать в себе
информацию из сети и подключать к себе необходимые
дополнительные файлы.

Динамический анализ
Анализ с выполнением файлов в защищенной контролируемой среде, с
целью визуализации их поведения
1. 1POYVC5E.exe
До запуска дебагера
После запуска дебагера

В динамическом анализе мы видим CPU окно, то что происходит на

регистрах процессора и какие команды применяются к деассемблированной
программе. Окно Memory map где мы видим нашу память и как там
храняться данные что записывается и куда, есть адресс ячейки размер кто
владеет ей в данный момент что в себе содержит а также тип доступ. Окно
Executable modules где мы видим запущенные процессы в начале программы
и при ее выполнении, из чего можно сделать вывод какие именно
дополнительные файлы вызываются при работе программы. Есть ещё окно
Registers так как файл сделан на 64-bit архитектуре то регисты типа R.
 2. tleditor.exe
До запуска дебагера

После запуска дебагера

В динамическом анализе мы видим CPU окно, то что происходит на

регистрах процессора и какие команды применяются к деассемблированной
программе. В окне Registers мы видим регисты типа E => программа сделана
на архитектуре 32-bit потому что регистры Extanded. Так же в окне CPU мы
видим нашу память и шестнадцетеричные значения символов кода ASCII
которые хранятся в ячейках память. Окно Executable modules где мы видим
запущенные процессы в начале программы и при ее выполнении, из чего
можно сделать вывод какие именно дополнительные файлы вызываются при
работе программы.
3. X00A(42).exe
До запуска дебагера

После запуска дебагера

В динамическом анализе мы видим CPU окно, то что происходит на

регистрах процессора и какие команды применяются к деассемблированной
программе. В окне Registers мы видим регисты типа E => программа сделана
на архитектуре 32-bit потому что регистры Extanded. Так же в окне CPU мы
видим нашу память и шестнадцетеричные значения символов кода ASCII
которые хранятся в ячейках память. Окно Executable modules где мы видим
запущенные процессы в начале программы и при ее выполнении, из чего
можно сделать вывод какие именно дополнительные файлы вызываются при
работе программы по графе Static links мы видим что программа делает очень
много API запросов на сервер.

Изучение работы антивирусных программ

Большинство антивирусных программ имеет два три различных варианта
сканирования:
1. Полное сканирование - выполняет тщательную проверку всей вашей
системы, внутри и снаружи. В зависимости от антивирусной
программы антивирус проверяет следующие объекты:
 Все жесткие диски, съемные носители и сетевые диски
 Системная память (RAM)
 Резервное копирование системы
 Папки автозагрузки
 Элементы реестра
Полное сканирование системы занимает несколько часов, в зависимости
от того, сколько данных вы сохранили. При этом полное сканирование
системы — это тщательный, глубокий анализ всего в вашей системе.
2. Выборочная проверка - пользовательское сканирование позволяет вам
выполнять те же функции углубленного сканирования, что и полное
сканирование, но вы выбираете места для сканирования. Выборочное
сканирование — это надежный способ проверки внешнего хранилища
и других съемных носителей.
3. Быстрое сканирование (Hyper / Smart / Quick Scan) - должно по крайней
мере обнаруживать вирус, даже если оно не идентифицирует напрямую
вариант или даже корневой каталог инфекции. Если ваше быстрое
сканирование обнаруживает что-то серьезное, вы всегда можете
переключиться на полное сканирование, чтобы попытаться обнаружить
больше зараженных файлов и информацию о том, с чем вы имеете
дело.
Методы и средства. Обнаружения компьютерных вирусов.
1. Сканирование
2. Обнаружение изменений, или контроль целостности
3. Эвристический анализ
4. Метод резидентного сторожа
5. Вакцинирование программ
 Сканирование - это самый простой метод поиска вируса. Он основан
на последовательном просмотре памяти компьютера, загрузочных
секторов и проверяемых файлов в поиске так называемых сигнатур
(масок) известных вирусов.
Сигнатура вируса - это уникальная последовательность байтов,
принадлежащая вирусу и не встречающаяся в других программах.
 Обнаружение изменений, или контроль целостности.
Контроль целостности основан на выполнении двух
процедур:
 постановка на учет;
 контроль поставленного на учет.

При внедрении вируса в компьютерную систему обязательно

происходят изменения в системе (которые некоторые вирусы успешно
маскируют). Это и изменение объема доступной оперативной памяти, и
изменение загрузочных секторов дисков, и изменения самих файлов.

Достаточно запомнить характеристики, которые подвергаются

изменениям в результате внедрения вируса, а затем периодически
сравнивать эти эталонные характеристики с действующими.

 Эвристический анализ. Он предназначен для обнаружения новых

неизвестных вирусов. Программы, реализующие этот метод, тоже
проверяют загрузочные секторы дисков и файлы, только уже пытаются
обнаружить в них код, характерный для вирусов. Например, таким
может быть код, устанавливающий резидентный модуль в памяти и
т.п.

 Метод резидентного сторожа. Этот метод направлен на выявление

«подозрительных» действий пользовательских программ, например,
таких, как запись на диск по абсолютному адресу, форматирование
диска, изменение загрузочного сектора, изменение или переименование
выполняемых программ, появление новых резидентных программ,
изменение системных областей DOS и других. При обнаружении
 «подозрительного» действия необходимо «спросить разрешение» у
пользователя на выполнение такого действия.

 Вакцинирование программ. Этот метод заключается в дописывании к

исполняемому файлу дополнительной подпрограммы, которая первой
получает управление при запуске файла, выполняет проверку
целостности программы. Проверяться могут любые изменения,
например, контрольная сумма файла или другие характеристики.

Уровни защиты от вирусных программ

На первом уровне защиты находятся резидентные программы для
защиты от вируса. Эти программы могут первыми сообщить о вирусной
атаке и предотвратить заражение программ и диска.
Второй уровень защиты составляют программы-ревизоры, программы-
доктора и доктора-ревизоры. Ревизоры обнаруживают нападение тогда,
когда вирус сумел пройти сквозь первый уровень. Программы-доктора
применяются для восстановления зараженных программ, если ее копий
нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры
обнаруживают нападение вируса и лечат зараженные файлы, причем
контролируют правильность лечения.
Третий уровень защиты - это средства разграничения доступа. Они не
позволяют вирусам и неверно работающим программам, даже если они
проникли в компьютер, испортить важные данные.
В резерве находятся архивные копии информации и эталонные диски с
программными продуктами. Они позволяют восстановить информацию
при ее повреждении на жестком диске.

В ходе данной лабораторной работы был выбран антивирус для бизнес

решений Kaspersky End Security. Данный антивирус обладает
множеством кастомизируемых видов сканирования и продвинутой
системой расшифровки вирусов в системе. Пользователю предлогается
масса видов сканирования: полное сканирование системы, выборочное
сканирование, быстрое сканирование, пользовательское сканирование,
сканирование веб трафика, сканирование систем отслеживания. Сделан
удобный и понятный интерфейс который позволяет точно настроить
антивирус под свои задачи.
 Настройка антивируса Kaspersky End Security для бизнес защиты
- Проверка важных областей с высоким уровнем безопасности.

- Включить защиты для сетевого экрана;

- Установите высокий уровень защиты во всех видах антивирусов;

- Установите высокий уровень безопасности веб-антивируса и

автоматический запрет на загрузку объектов, содержащих вредоносный код;
- Выполните проверку всех объектов, предварительно произведя такую
настройку, чтобы антивирус при обнаружении угроз безопасности сразу
же лечил, а при невозможности удалял;

- Настройте проверку так, чтобы проверялись архивы защищенные

паролем. Примените настройки проверки ко всем задачам проверки;
- Сохраните отчѐт о проверке в режиме показа только важных событий;
- Установите режим запуска каждый день в 13:00 для поиска уязвимостей;

- Произвести поиск вирусов в папке Мои документы (параметры: не искать в

архивах, проверять все файлы, зараженные лечить, включить расширенный
поиск руткитов); предварительно оптимизировавее так, чтобы проверялись
только новые и измененные файлы.

- Сохраните отчет со всеми событиями проверки.

Вывод: В ходе данной лабораторной работы были проанализированны
различные вирусные программы 1POYVC5E.exe tleditor.exe X00A(42).exe Для
того чтобы не заразить свою основную систему был использован эмулятор
VMware Workstation с установленной Windows 10. Был вроведен детальный
анализ вирусных программ: предварительный анализ, статический анализ,
динамический анализ. Так же изучил работу антивирусных программ как они
определяют вирус как его лечат и как востанавливают файлы. Произвел
найстройку антивируса Kaspersky End Point Security для бизнес задачать,
настройки были выбраны с оптимальной защитой и моими задачами.