Время появления и источник

Рассматриваемый вид блокеров появился в начале июня 2011 года и привлек внимание схожими названиями файлов:

http://*******porno.info/1/porno.html/porno-rolik.avi.exe
http://*******porno.info/2/video/porno-rolik2.avi.exe
http://*******porn0.info/3/video/porno-rolik3.avi.exe

Источниками заражения были сайты, названия которых свидетельствуют об их "взрослом" контенте.

Характерные особенности зловреда

Расширение "avi" непосредственно перед "exe" явно указывает на то, что троянец маскируется под видеоролик — и это действительно так:

Packed — особый тип детектируемых объектов, используемый для определения зловредных файлов, защищенных вредоносным упаковщиком. Главная цель вредоносного упаковщика — максимальное усложнение детектирования на различных уровнях. Модификация Packed.Win32.Katusha.n появилась в конце мая 2010 года. Ее характерным признаком стала оперативная техническая поддержка: детектирование вирусописатели пытаются сбивать в течение кратчайшего времени после выхода свежих антивирусных баз.

Динамика распространения Packed.Win32.Katusha.n

Как видно на графике, обновления данного упаковщика происходили с завидной периодичностью — им соответствуют пики на кривых. Также можно установить, что на одну зараженную систему приходилось в среднем по три вредоносные программы.

Конечная цель выполнения большинства зловредных упаковщиков — передать управление на исходный код упакованной вредоносной программы после его расшифровки. Katusha.n имеет довольно необычный способ получения адресов зашифрованного кода и ключа. С этой целью упаковщик ищет в системных библиотеках определенные сигнатуры и выбирает на некотором расстоянии от них всегда фиксированные на любых системах 4 байта (длина адреса на 32-х битных системах).

Затем к выбранным 4-м байтам добавляется заранее вшитое в код значение — и результат используется как адрес. Главная цель этих действий — обойти слабую эмуляцию и подложные библиотеки. Библиотеки специально выбираются различные (например, SHELL32.DLL, GDI32.DLL, VERSION.DLL).

После упаковщик выделяет память, куда копирует собственный зашифрованный код, и дешифрует его парой xor key/add key. Адрес ключа также получается динамически вышеуказанным способом. В ранних версиях использовалась тройная расшифровка каждых 4-х байт данной парой, затем разработчики оставили лишь одну:

После этого управление передается на расшифрованный код в выделенной памяти. В первую очередь там происходит восстановление импортов по хэш-функциям их имен:

После идет второй уровень расшифровки уже исходного кода обработанной вредоносной программы, который осуществляется в несколько приемов:

Затем управление передается на оригинальный код.

Несколько слов о том, как была реализована обфускация. Первые версии были разбавлены легко узнаваемыми «мусорными» инструкциями.

Затем инструкциями, которые немного отличались от первоначальных:

Однако уже через 5 дней создатели вредоносной программы отказались от данного способа.

В последних версиях вирусописатели постарались разбросать функциональный код упаковщика в разные функции, а также разделить его большим количеством более осмысленных бесполезных инструкций.

Данный упаковщик продолжает развиваться, реализуя новые способы обхода текущего детектирования. Судя по завидной периодичности выхода обновлений, можно предположить, что Katusha.n создан на заказ с условием техподдержки. Стоит отметить еще один интересный факт — иногда после выхода свежего обновления детектирования создатели останавливали на время распространение Packed.Win32.Katusha.n и распространяли с тех же сайтов Trojan.Win32.Monder.

Определить перспективы развития упаковщика непросто. Предполагаю, что рано или поздно его создатели ввиду нерентабельности постоянной поддержки уже столь изученной текущей версии приступят к созданию новой.

В настоящее время все продукты «Лаборатории Касперского» успешно находят и удаляют существующие версии Packed.Win32.Katusha.n. Детектирование новых версий добавляется в базы в кратчайшие сроки.