Анализ Virus.MeTrA (желающим)

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,813
Реакции
6,592
Для желающих сломать размять себе мозг :D

Честно говоря я не совсем понял, что делает вирус, но в текущем (сыром?) варианте ничего плохого.

Судя по анализу VT большинство аверов ругаются по причине самомодификации,
но вот Nano.Antivirus-у название Metra знакомо, но описание я не нашел.

Может, кому-то повезет больше в разгадке тайны -)

Батник в архиве под паролем virus.
 

Вложения

  • Metra.rar
    337 байт · Просмотры: 6
DrWeb BATCH.Virus 20150317 - судя по детекту доктора это именно вируc, заражает батники. Вот нагуглил.
Смысл заражения таков: в вирусе каждая строчка имеет метку, в данном примере она MeTrA. Например, в первой строке эта метка ничего не делает, во второй строке эта метка, как бы, не является пассивной, она используется для внутренней работы вируса, а именно участвует в названии метки. При запуске вирус проверяет, есть ли файл C:METRA.BAT, если нет, то вирус создает его и с помощью программы find копирует из файла (из которого стартовал) все строки содержащие метку вируса, т.е. копирует только вирусные строки. Так, вирусные строки скопированы. Значит в файле C:METRA.BAT теперь находится копия вируса. Далее вирус ищет BAT-файлы. Чтобы не происходило повторного заражения используется все таже программа find. Допустим вирус нашел файл RUN.BAT и он оказался еще не заражен, тогда вирус вызывает файл C:METRA.BAT с такими параметрами: In_ RUN.BAT, здесь первый параметр In_ говорит вирусу, что надо заразить файл, имя которого указано во-втором параметре, в данном случае он RUN.BAT. Вирус в C:METRA.BAT заражает файл RUN.BAT простейшим способом - с помощью команды type дописывает к файлу RUN.BAT себя. Вот так файл RUN.BAT оказывается зараженным.
Dragokas, по твоей ссылке вирусная строка заремлена, а вот без комментария (агнитум ушёл, майкрософт пришёл)
https://www.virustotal.com/ru/file/...7d509b88ce80c867ab9f79fc/analysis/1426791262/
 
Ясно. Конкретно эта модификацию Metra похожа на концепцию. Т.е. никакой полезной нагрузки не делает.
В этом она схожа на Virus.Induc.Win32, который заражал приложения Delphi на этапе компиляции и не содержал в себе никакой деструктивной функции.
 
Назад
Сверху Снизу