Министерство Образования и Исследований

Республики Молдова

Технический Университет Молдовы

Факультет Вычислительной Техники, Информатики и

Микроэлектроники
Департамент Программной Инженерии и Автоматики

Отчет
по лабораторной работе Nr.1.
по дисциплине: Технологии информационной безопасности.
Тема: Анализ вредоносных программ. Статический и
динамический анализ. Настройка антивирусных
программ.

Выполнил(а) ст.гр. TI-228 Шологан Артем

Проверил(а) Алексей Арина

Кишинев 2023
Цель работы: Анализ трех вредоносных программ и настройка
антивирусной программы.

Задачи:
1) Выполнение предварительного анализа, статического и динамического
анализа вредоносных программ;
2) Оптимальная конфигурация антивирусной программы.
Предварительный анализ
Для предварительного анализа был использован инструмент обнаружения
вредоносных программ – VirusTotal и Intezer Analyze
1. winmgr.exe

Как вирусная программа связывается с компьютером пользователя

Троян .Данная вирусная программа имеет 6 сопрегательных IP address 1

файл длязапуска вирусной программы. Основной файл имеет
расширение .exe (Executable). Сопрегательный IP address 2 родом из US.
Файл который запускает вирус является JavaScript скриптом под именем
executable.exe.log
Детали вирусной программы
Поведение вирусной программы
2. 57 из 71 антивирусной программы обнаружили данный вирус winmgr.exe

(Троян). Тип файла .exe, размер файла 442KB. Основной

задачей является проникнуть в корневую систему ПО. С помощь библиотек .NET удаляет temp файлы
системы заменяя их на свои. Так же загружает Assembly коде для конфигурации бинарных файлов с
хэшированными данными. Для хешированния импользуюет SHA 256 на 256 bit. TrID
Generic CIL Executable (.NET, Mono, etc.) (61.9%) Windows screen saver (11.1%) Win64 Executable (generic)
(8.9%)
данная конфигурация файлов позволяет вирусной программе
замаскироватьсяпод файл ПО. В системах возникает под разными
именами и орьентирован на системы с процессорами Intel 386 и выше.
Фрагментарно вирусная программа разделена на 3 sections .text –
которая содержит основной скрипт программы .rscs - содержит все
ресурсы модуля. Как правило, это файлы RES, созданные
компилятором ресурсов. Для того чтобы генерировать исполняемый
образ, который можно произвольно перебазировать во время загрузки с
помощью рандомизации макета адресного пространства (ASLR) — нам
нужна секция .reloc Энтропия – 7.020.

3. 3.exe
Поведение вирусной программы
Детали вирусной программы
 Как вирусная
программа связывается с компьютером пользователя
63 из 72 антивирусной программы обнаружили данный вирус 3.exe
(Троян).Основные свойства:

MD5: Хеш MD5 для идентификации уникальности файла.

SHA-1, SHA-256: Алгоритмы хеширования для обеспечения целостности
данных.
Тип файла: Исполняемый файл Windows (Win32 EXE).
Размер файла: 400.00 KB (409600 байт).
Компилятор: Microsoft Visual C/C++.
Создание: Файл был создан в 2012 году и впервые появился в дикой природе
(в сети) в июле того же года.
Последний анализ: Проведен в феврале 2024 года.
Поведение:

Файл был идентифицирован 63 безопасностными поставщиками и ни одной

песочницей как вредоносный.
Использует различные правила IDS (системы обнаружения вторжений) и
Sigma правила для своего распространения и действий.
Совершил HTTP-запросы к определённым URL, что может свидетельствовать о
попытках связи с командно-контрольными серверами.
Имеет связи с IP-адресами в США и Гонконге.
3. X00A(1).exe
Детали вирусной программы
Поведение вирусной программы

65 из 73 антивирусной программы обнаружили данный вирус X00A(1).exe

(Троян). Основной задачей данной вирусной программы является
проникновение в корневую систему ПО и получение доступа к языковым
пакетам. Там вирусная программа удаляет временные данные связанные с
языковыми пакетами которые установил пользователь ранее и заменяет их на
свои тем самым не позволяя пользователю работать с системой так как всё
заменяется на необъяснимые занаки. Данная вирусная программа отправляет
TCP Requests на IP 23.72.32.173 и порт 443. Файлы захешированы по
стандарту SHA256 на 256bit и MD5. Размер файла составляет 1.11MB.
Программа написана под Win32.exe и в качестве пакеровшика использует
NSIS 87.8%. Тип файла .exe и расчитана под системы с процессорами Intel386
и поколениями выше. В ходе своей работы меняет свои имена. Содержит в
себе 5 сегментов .text – код исходной программы .rdata, .data – хранит все
 Статический анализ
Анализ и исследование структуры вредоносных программ
1. vingmr.exe
Основные характеристики

Индикаторы
Сегменты

Файлы написаны с использованием .NET Framework, как видно по наличию ссылок

на библиотеки .NET и указанию в строках "Microsoft .NET".Этнтропия файла –
7.868. Версия файла 1.84.0. Тип файла executable - .exe Из индикаторов мы
видим куда ссылается основная программа какие группы API использует в
своей работе и какой хэш программы. Из сегментного
анализа видно что файл содержит 4 сегмента .text .sdata .rsrc .reloc в
соотношении56.11% 0.11% 43.44% 0.11%соответсвенно.
Энтропия – это показатель хаотичности, или случайности распределения
значений байтов в файле. Энтропия любого файла в общем считается
методом «скользящего окна» по всем байтам файла. Суть анализа энтропии
заключается в том, что в скомпилированном файле обычной программы
участки кода распределенны более-менее равномерно. При использовании
кодировщиков или обфускации, упаковщиков, алгоритмов сжатия или
вставок подобного рода кода в исходный файл такая равномерность
нарушается. Одно их характерных свойств алгоритмов сжатия –
перераспределение частот встречаемости байтов кода (для всех 256
значений), что и станет заметно при анализе! В таких файлах будет степень
энтропии, близкая к максимальному значению 8. Для закодированных
(сжатых, зашифрованных) файлов на практике значение энтропии свыше 7
можно считать 100%-м признаком применения преобразователя кода, в то
время как обычные файлы имеют энтропию в районе 2-6.

2. 3.exe Основные
характеристики
Индикаторы

Сегменты

Данный вирусный файл видим написан на Visual Studio 2003. Этнтропия файла – 7.682 Тип файла
executable - .exe Из индикаторов мы видим куда ссылается основная программа какие
группы
API использует в своей работе и какой хэш программы.
Изсегментного анализа мы видим что вирусный файл имеет 4 сегментa
.text .rdata .data .rsrc
 3. X00A(1).exe
Основные характеристики

Индикаторы

Сегменты
Данный вирусный файл видим написан на Visual Studio 2003. Этнтропия файла – 7.682 Тип файла
executable - .exe Из индикаторов мы видим куда ссылается основная программа какие
группы
API использует в своей работе и какой хэш программы.
Из сегментного анализа мы видимчто вирусный файл имеет 4 сегментов .text .rdata .data .rsrc

Динамический анализ
Анализ с выполнением файлов в защищенной контролируемой среде, с
целью визуализации их поведения
1. winmgr.exe

До запуска
дебагера
После запуска дебагера

В динамическом анализе мы видим CPU окно, то что происходит на

регистрах процессора и какие команды применяются к деассемблированной
программе. Окно Memory map где мы видим нашу память и как там
храняться данные что записывается и куда, есть адресс ячейки размер кто
владеет ей в данный момент что в себе содержит а также тип доступ. Окно
Executable modules где мы видим запущенные процессы в начале программы
и при ее выполнении, из чего можно сделать вывод какие именно
дополнительные файлы вызываются при работе программы. Есть ещё окно
Registers так как файл сделан на 64-bit архитектуре то регисты типа R.
VideoConverter_v2.exe

До запуска
дебагера
После запуска дебагера :

В динамическом анализе мы видим CPU окно, то что происходит на

регистрах процессора и какие команды применяются к деассемблированной
программе. В окне Registers мы видим регисты типа E => программа сделана
на архитектуре 32-bit потому что регистры Extanded. Так же в окне CPU мы
видим нашу память и шестнадцетеричные значения символов кода ASCII
которые хранятся в ячейках память. Окно Executable modules где мы видим
запущенные процессы в начале программы и при ее выполнении, из чего
можно сделать вывод какие именно дополнительные файлы вызываются при
работе программы

2. X00(34)
До запуска
дебагера :

После запуска дебагера :

В динамическом анализе мы видим CPU окно, то что происходит на

регистрах процессора и какие команды применяются к деассемблированной
программе. В окне Registers мы видим регисты типа E => программа сделана
на архитектуре 32-bit потому что регистры Extanded. Так же в окне CPU мы
видим нашу память и шестнадцетеричные значения символов кода ASCII
которые хранятся в ячейках память. Окно Executable modules где мы видим
запущенные процессы в начале программы и при ее выполнении, из чего
можно сделать вывод какие именно дополнительные файлы вызываются при
работе программы по графе Static links мы видим что программа делает очень
много API запросов на сервер.
 Изучение работы антивирусных программ
Большинство антивирусных программ имеет два три различных варианта
сканирования:
1. Полное сканирование - выполняет тщательную проверку всей вашей
системы, внутри и снаружи. В зависимости от антивирусной
программы антивирус проверяет следующие объекты:
 Все жесткие диски, съемные носители и сетевые диски
 Системная память (RAM)
 Резервное копирование системы
 Папки автозагрузки
 Элементы реестра
Полное сканирование системы занимает несколько часов, в зависимости
от того, сколько данных вы сохранили. При этом полное сканирование
системы — это тщательный, глубокий анализ всего в вашей системе.
2. Выборочная проверка - пользовательское сканирование позволяет вам
выполнять те же функции углубленного сканирования, что и полное
сканирование, но вы выбираете места для сканирования. Выборочное
сканирование — это надежный способ проверки внешнего хранилища
и других съемных носителей.
3. Быстрое сканирование (Hyper / Smart / Quick Scan) - должно по крайней
мере обнаруживать вирус, даже если оно не идентифицирует напрямую
вариант или даже корневой каталог инфекции. Если ваше быстрое
сканирование обнаруживает что-то серьезное, вы всегда можете
переключиться на полное сканирование, чтобы попытаться обнаружить
больше зараженных файлов и информацию о том, с чем вы имеете
дело.
Методы и средства. Обнаружения компьютерных вирусов.
1. Сканирование
2. Обнаружение изменений, или контроль целостности
3. Эвристический анализ
4. Метод резидентного сторожа
5. Вакцинирование программ
 Сканирование - это самый простой метод поиска вируса. Он основан
на последовательном просмотре памяти компьютера, загрузочных
секторов и проверяемых файлов в поиске так называемых сигнатур
(масок) известных вирусов.
Сигнатура вируса - это уникальная последовательность байтов,
принадлежащая вирусу и не встречающаяся в других программах.
 Обнаружение изменений, или контроль целостности.
Контроль целостности основан на выполнении двух процедур:
 постановка на учет;
 контроль поставленного на учет.

При внедрении вируса в компьютерную систему обязательно

происходят изменения в системе (которые некоторые вирусы успешно
маскируют). Это и изменение объема доступной оперативной памяти, и
изменение загрузочных секторов дисков, и изменения самих файлов.

Достаточно запомнить характеристики, которые подвергаются

изменениям в результате внедрения вируса, а затем периодически
сравнивать эти эталонные характеристики с действующими.

 Эвристический анализ. Он предназначен для обнаружения новых

неизвестных вирусов. Программы, реализующие этот метод, тоже
проверяют загрузочные секторы дисков и файлы, только уже пытаются
обнаружить в них код, характерный для вирусов. Например, таким
может быть код, устанавливающий резидентный модуль в памяти и т.п.

 Метод резидентного сторожа. Этот метод направлен на выявление

«подозрительных» действий пользовательских программ, например,
таких, как запись на диск по абсолютному адресу, форматирование
диска, изменение загрузочного сектора, изменение или переименование
выполняемых программ, появление новых резидентных программ,
изменение системных областей DOS и других. При обнаружении
 «подозрительного» действия необходимо «спросить разрешение» у
пользователя на выполнение такого действия.

 Вакцинирование программ. Этот метод заключается в дописывании к

исполняемому файлу дополнительной подпрограммы, которая первой
получает управление при запуске файла, выполняет проверку
целостности программы. Проверяться могут любые изменения,
например, контрольная сумма файла или другие характеристики.

Уровни защиты от вирусных программ

На первом уровне защиты находятся резидентные программы для
защиты от вируса. Эти программы могут первыми сообщить о вирусной
атаке и предотвратить заражение программ и диска.
Второй уровень защиты составляют программы-ревизоры, программы-
доктора и доктора-ревизоры. Ревизоры обнаруживают нападение тогда,
когда вирус сумел пройти сквозь первый уровень. Программы-доктора
применяются для восстановления зараженных программ, если ее копий
нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры
обнаруживают нападение вируса и лечат зараженные файлы, причем
контролируют правильность лечения.
Третий уровень защиты - это средства разграничения доступа. Они не
позволяют вирусам и неверно работающим программам, даже если они
проникли в компьютер, испортить важные данные.
В резерве находятся архивные копии информации и эталонные диски с
программными продуктами. Они позволяют восстановить информацию
при ее повреждении на жестком диске.

В ходе данной лабораторной работы был выбран антивирус для бизнес

решений Kaspersky End Security. Данный антивирус обладает
множеством кастомизируемых видов сканирования и продвинутой
системой расшифровки вирусов в системе. Пользователю предлогается
масса видов сканирования: полное сканирование системы, выборочное
сканирование, быстрое сканирование, пользовательское сканирование,
сканирование веб трафика, сканирование систем отслеживания. Сделан
удобный и понятный интерфейс который позволяет точно настроить
антивирус под свои задачи.
Настройка антивируса Kaspersky End Security для бизнес защиты
- Выполните проверку всех объектов, предварительно произведя такую
настройку, чтобы антивирус при обнаружении угроз безопасности сразу же
лечил, а при невозможности удалял;

- Настройте проверку так, чтобы проверялись архивы защищенные паролем.

Примените настройки проверки ко всем задачам проверки;
- Сохраните отчѐт о проверке в режиме показа только важных событий;
- Установите режим запуска каждый день в 13:00 для поиска уязвимостей;

- Произвести поиск вирусов в папке Мои документы (параметры: не искать в

архивах, проверять все файлы, зараженные лечить, включить расширенный
поиск руткитов); предварительно оптимизировавее так, чтобы проверялись
только новые и измененные файлы.

- Сохраните отчет со всеми событиями проверки.

Вывод: В ходе данной лабораторной работы были проанализированны
различные вирусные программы winmgr.exe 3.exe X00A(1).exe Длятого чтобы
не заразить свою основную систему был использован эмулятор VMware
Workstation с установленной Windows 10. Был вроведен детальный анализ
вирусных программ: предварительный анализ, статический анализ,
динамический анализ. Так же изучил работу антивирусных программ как они
определяют вирус как его лечат и как востанавливают файлы. Произвел
найстройку антивируса Kaspersky End Point Security для бизнес задачать,
настройки были выбраны с оптимальной защитой и моими задачами.