zed.0xff.me
раскодируем Trojan.Siggen3.35000
лечение
обнаружение
Попался мне как-то в руки троянчик.
Вот его анализ на pedump.me
Вот так он обнаруживается различными антивирусами:
| AntiVir: | TR/Offend.6610086.8 |
| BitDefender: | Trojan.Generic.6610086 |
| ClamAV: | Trojan.Dropper-31300 |
| DrWeb: | Trojan.Siggen3.35000 |
| Emsisoft: | Trojan.SuspectCRC!IK |
| F-Secure: | Trojan.Generic.6610086 |
| Fortinet: | W32/Filecoder.AA |
| GData: | Trojan.Generic.6610086 |
| Ikarus: | Trojan.SuspectCRC |
| K7AntiVirus: | Riskware |
| Kaspersky: | UDS:DangerousObject.Multi.Generic |
| McAfee: | Artemis!2A8242105FED |
| NOD32: | Win32/Filecoder.AA |
| Norman: | W32/Malware.WVNX |
| Panda: | Trj/CI.A |
| TheHacker: | Trojan/Filecoder.ab |
полный отчет на virustotal.com
анализ
троян портит JPG, DOC, XLS файлы. Обнаружить испорченные файлы можно визуально по следующему куску данных в конце файла:
1 2 3 4 5 6 7 8 9 10 |
001a2cfb: 34 36 34 36 34 34 33 38 34 36 34 36 34 35 33 31 |4646443846464531| 001a2d0b: 33 32 33 35 34 36 34 36 34 36 34 36 33 30 33 31 |3235464646463031| 001a2d1b: 33 30 33 30 33 30 33 30 33 30 33 30 33 30 33 30 |3030303030303030| 001a2d2b: 33 30 33 30 33 30 33 30 33 30 33 30 33 30 33 30 |3030303030303030| 001a2d3b: 33 30 33 30 33 30 33 30 33 30 33 30 33 30 33 30 |3030303030303030| 001a2d4b: 33 30 33 30 33 30 33 30 33 30 33 30 33 30 33 30 |3030303030303030| 001a2d5b: 33 30 33 30 14 00 00 00 00 fb 2c 1a 00 14 00 04 |3030......,.....| 001a2d6b: 00 00 0f 2d 1a 00 14 00 08 00 00 23 2d 1a 00 14 |...-.......#-...| 001a2d7b: 00 0c 00 00 37 2d 1a 00 14 00 10 00 00 4b 2d 1a |....7-.......K-.| 001a2d8b: 00 05 |
(конкретные данные различны в зависимости от содержимого файла)
результат бинарного сравнения нормального (слева) и испорченного (справа) файла:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
00000000: ff 54 00000001: d8 2f 00000002: ff 54 00000003: e1 38 00000004: 25 7a 00000400: ff 54 00000401: ff 56 00000402: 01 56 00000403: 00 57 00000404: 00 55 00000800: 00 54 00000801: 00 51 00000802: 00 54 00000803: 00 51 00000804: 00 54 00000c00: 00 54 00000c01: 00 51 00000c02: 00 54 00000c03: 00 51 00000c04: 00 54 00001000: 00 54 00001001: 00 51 00001002: 00 54 00001003: 00 51 00001004: 00 54 [!] 168_ok.jpg is 1715451 bytes long [!] 168_bad.jpg is 1715597 bytes long |
фактически троян портит по 5 байт в файле с интервалом в 1024 байта. но не просто портит, а записывает оригинал в конец испорченного файла. вот наглядный вид чего он там понаписал:
1 2 3 4 5 6 |
001a2d5f: 14 00 00 00 00 fb 2c 1a 00 |......,..| 001a2d68: 14 00 04 00 00 0f 2d 1a 00 |......-..| 001a2d71: 14 00 08 00 00 23 2d 1a 00 |.....#-..| 001a2d7a: 14 00 0c 00 00 37 2d 1a 00 |.....7-..| 001a2d83: 14 00 10 00 00 4b 2d 1a 00 |.....K-..| 001a2d8c: 05 |