Информация Как вирусы закрепляются в системе


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 104
Репутация
8 226
Всем привет!

Как я понял, что эта тема интересна здесь...

В общем под закреплением в систему я понимаю повторный запуск зверька, после например перезапуска системы.

Способов на самом деле много, да и возможно такая тема тут уже была, но перечислю что знаю, с возможными плюсами/минусами каждого способа:


1)Копирование в папку "Автозагрузка", простой способ, но минус что "жертва" может это всё дело увидеть, просто просмотрев папку автозагрузки.
Также из плюса данного способа, что не нужно теребить UAC.

Из минусов ещё, то-что часто такое копирование в рантайме не нравятся антивирусам.)

Поэтому тут нужно что-то придумывать, из очевидных способов, не нужно делать ваших зверьков монолитными (Одна программа, где весь функционал), я-бы предлагал разделить функционал зверька при проектировании, например функционал инсталяции можно делать скриптом, тем-же батником как вариант, для антивируса это уже может-быть вполне легальная программа, также батник относительно легко поддается чистки, например обфускации кода.
Также и про обход файервола, вполне-себе можно вынести отсылку чего-то в сеть, в рамки какой-то "белой" программы, которая в белом списке у ав.)
Белые списки программ, это ахилесова пята любой защиты, но без них никак.)

2)Отошёл я что-то от темы, второй способ, ну очевидно реестр.

Тут можно добавлять как для одной учетки системы, в котором был запущен зверёк, тут из плюсов что также не нужно дёргать UAC, можно ещё добавить в автозагрузку для всех пользователей системы, но тут уже нужно повышать права в UAC.

3)Планировщик, честно не видел зверьков, которые использовали-бы планировщик, легальные программы активно используют отложенный запуск после старта системы.
С чем это связанно ?
Возможно проще добавить в реестр, UAC нужно повышать.

4)Использовать ярлыки популярных программ, например можно инфицировать ярлыки браузеров и при запуске браузера, запустится и ваш зверек.
Из популярных вредоносов, кто так делал, это вот webalta-вирус

5)Есть ветка в реесте:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Windows

А конкретно интересны следующие параметры:

AppInit_DLLs — определяет библиотеки, необходимые для совместимости с каким_нибудь оборудованием или программой.
Все описанные в данном параметре библиотеки будут запускаться перед запуском любой программы.

Как это использовать и минусы данного способа тут:User-mode rootkit for windows: Скрытие файлов и процессов от пользователя

6)Ну можно использовать сервисы, но тут это имеет смысл если вы имеете повышенные права в системе, хотя я думаю смысла сервис создавать нет, проще использовать метод реееста из пункта 2.

7)Заражение исполняемых файлов, смысл в том что после запуска исполняемого файла, запускается зверёк, раньше очень-очень давно этот метод для закрепления в системе и распространении имел популярность, но сейчас перестал существовать в силу того-что, антивирусы научились с этим бороться.

Ну вроде всё что знал, можете дополнять...)
 

MKII

Уважаемый пользователь
Форумчанин
Регистрация
03.10.2022
Сообщения
255
Репутация
179
Ну вроде всё что знал, можете дополнять...)
Ещё хороший способ, это dll hijacking, но, в большинстве случаев требуются права администратора,но, это не отменяеь того факта, что, если заморочиться можно всё провернуть без прав админа, возможно напишу статью об этом...)
 

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
271
Репутация
146
Планировщик активно юзается всякими майнерами, потому что в диспетчере задач в разделе автозапуск записи видно не будет.
Помню ещё на XP такой вирус как brontok, он юзал ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon, прописывался в ключ Userinit, таким образом грузился даже в безопасном режиме
 

MKII

Уважаемый пользователь
Форумчанин
Регистрация
03.10.2022
Сообщения
255
Репутация
179
Планировщик активно юзается всякими майнерами, потому что в диспетчере задач в разделе автозапуск записи видно не будет.
Помню ещё на XP такой вирус как brontok, он юзал ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon, прописывался в ключ Userinit, таким образом грузился даже в безопасном режиме
Тогда вроде бы не будет загружаться проводник, и это надо будет продумывать в своём вирусе, а в целом идея хорошая.
 

MKII

Уважаемый пользователь
Форумчанин
Регистрация
03.10.2022
Сообщения
255
Репутация
179

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
271
Репутация
146
Тогда вроде бы не будет загружаться проводник, и это надо будет продумывать в своём вирусе, а в целом идея хорошая.
будет, проводник прописан в Shell. Вредонос прописывается в userinit через запятую
Код:
C:\Windows\System32\userinit.exe,,C:\Windows\eksplorasi.exe
 
Верх Низ