Анализ Virus.MeTrA (желающим)

Тема в разделе "Пакетные файлы CMD, BAT", создана пользователем Dragokas, 18 мар 2015.

  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.493
    Симпатии:
    4.310
    Для желающих сломать размять себе мозг :D

    Честно говоря я не совсем понял, что делает вирус, но в текущем (сыром?) варианте ничего плохого.

    Судя по анализу VT большинство аверов ругаются по причине самомодификации,
    но вот Nano.Antivirus-у название Metra знакомо, но описание я не нашел.

    Может, кому-то повезет больше в разгадке тайны -)

    Батник в архиве под паролем virus.
     

    Вложения:

    • Metra.rar
      Размер файла:
      337 байт
      Просмотров:
      5
    Kиpилл нравится это.
  2. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.841
    DrWeb BATCH.Virus 20150317 - судя по детекту доктора это именно вируc, заражает батники. Вот нагуглил.
    Смысл заражения таков: в вирусе каждая строчка имеет метку, в данном примере она MeTrA. Например, в первой строке эта метка ничего не делает, во второй строке эта метка, как бы, не является пассивной, она используется для внутренней работы вируса, а именно участвует в названии метки. При запуске вирус проверяет, есть ли файл C:METRA.BAT, если нет, то вирус создает его и с помощью программы find копирует из файла (из которого стартовал) все строки содержащие метку вируса, т.е. копирует только вирусные строки. Так, вирусные строки скопированы. Значит в файле C:METRA.BAT теперь находится копия вируса. Далее вирус ищет BAT-файлы. Чтобы не происходило повторного заражения используется все таже программа find. Допустим вирус нашел файл RUN.BAT и он оказался еще не заражен, тогда вирус вызывает файл C:METRA.BAT с такими параметрами: In_ RUN.BAT, здесь первый параметр In_ говорит вирусу, что надо заразить файл, имя которого указано во-втором параметре, в данном случае он RUN.BAT. Вирус в C:METRA.BAT заражает файл RUN.BAT простейшим способом - с помощью команды type дописывает к файлу RUN.BAT себя. Вот так файл RUN.BAT оказывается зараженным.
    --- Объединённое сообщение, 19 мар 2015, Дата первоначального сообщения: 19 мар 2015 ---
    Dragokas, по твоей ссылке вирусная строка заремлена, а вот без комментария (агнитум ушёл, майкрософт пришёл)
    https://www.virustotal.com/ru/file/...7d509b88ce80c867ab9f79fc/analysis/1426791262/
     
    Dragokas нравится это.
  3. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.493
    Симпатии:
    4.310
    Ясно. Конкретно эта модификацию Metra похожа на концепцию. Т.е. никакой полезной нагрузки не делает.
    В этом она схожа на Virus.Induc.Win32, который заражал приложения Delphi на этапе компиляции и не содержал в себе никакой деструктивной функции.
     
  4. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.841
    .
    Нет, только без-полезную :) Особенно, если батников много..
     

Поделиться этой страницей