ProHoster > ะ‘ะปะพะณ > เบเบฒเบ™เบšเปเบฅเบดเบซเบฒเบ™ > เบเบฒเบ™เบฅเบฐเบšเบฒเบ”เบ”เบดเบˆเบดเบ•เบญเบ™: CoronaVirus vs CoViper

เบเบฒเบ™เบฅเบฐเบšเบฒเบ”เบ”เบดเบˆเบดเบ•เบญเบ™: CoronaVirus vs CoViper

เบ•เปเปˆเบเบฑเบšเบžเบทเป‰เบ™เบซเบฅเบฑเบ‡เบ‚เบญเบ‡เบเบฒเบ™เปเบœเปˆเบฅเบฐเบšเบฒเบ”เบ‚เบญเบ‡เป‚เบฃเบ coronavirus, เบกเบตเบ„เบงเบฒเบกเบฎเบนเป‰เบชเบถเบเบงเปˆเบฒเบเบฒเบ™เบฅเบฐเบšเบฒเบ”เบ‚เบญเบ‡เบ”เบดเบˆเบดเบ•เบญเบ™เบ‚เบฐ เปœเบฒเบ” เปƒเบซเบเปˆเป€เบ—เบปเปˆเบฒเบ—เบฝเบกเบเบฑเบ™เป„เบ”เป‰เปเบ•เบเบญเบญเบเบ‚เบฐเปœเบฒเบ™เบเบฑเบšเบกเบฑเบ™. [1]. เบญเบฑเบ”เบ•เบฒเบเบฒเบ™เป€เบ•เบตเบšเป‚เบ•เบ‚เบญเบ‡เบˆเปเบฒเบ™เบงเบ™เป€เบงเบฑเบšเป„เบŠเบ—เปŒ phishing, spam, เบŠเบฑเบšเบžเบฐเบเบฒเบเบญเบ™เบ—เบตเปˆเบซเบผเบญเบเบฅเบงเบ‡, malware เปเบฅเบฐเบเบดเบ”เบˆเบฐเบเปเบฒเบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™เป€เบฎเบฑเบ”เปƒเบซเป‰เป€เบเบตเบ”เบ„เบงเบฒเบกเบเบฑเบ‡เบงเบปเบ™เบ—เบตเปˆเบฎเป‰เบฒเบเปเบฎเบ‡. เบ‚เบฐเบซเบ™เบฒเบ”เบ‚เบญเบ‡เบ„เบงเบฒเบกเบšเปเปˆเบกเบตเบเบปเบ”เบซเบกเบฒเบเบขเปˆเบฒเบ‡เบ•เปเปˆเป€เบ™เบทเปˆเบญเบ‡เปเบกเปˆเบ™เบŠเบตเป‰เปƒเบซเป‰เป€เบซเบฑเบ™เป‚เบ”เบเบ‚เปˆเบฒเบงเบงเปˆเบฒ "เบžเบงเบเบฅเบฑเบเบฅเบญเบšเบชเบฑเบ™เบเบฒเบงเปˆเบฒเบˆเบฐเบšเปเปˆเบ—เปเบฒเบฎเป‰เบฒเบเบชเบฐเบ–เบฒเบšเบฑเบ™เบเบฒเบ™เปเบžเบ”" [2]. เปเบกเปˆเบ™เปเบฅเป‰เบง, เบกเบฑเบ™เบ–เบทเบเบ•เป‰เบญเบ‡: เบœเบนเป‰เบ—เบตเปˆเบ›เบปเบเบ›เป‰เบญเบ‡เบŠเบตเบงเบดเบ”เปเบฅเบฐเบชเบธเบ‚เบฐเบžเบฒเบšเบ‚เบญเบ‡เบ›เบฐเบŠเบฒเบŠเบปเบ™เปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เบเบฒเบ™เปเบœเปˆเบฅเบฐเบšเบฒเบ”เบ‚เบญเบ‡เป‚เบฅเบเบฅเบฐเบšเบฒเบ”เปเบกเปˆเบ™เบเบฑเบ‡เบ–เบทเบเป‚เบˆเบกเบ•เบต malware, เป€เบŠเบฑเปˆเบ™เบ”เบฝเบงเบเบฑเบšเบเปเบฅเบฐเบ™เบตเปƒเบ™เบชเบฒเบ—เบฒเบฅเบฐเบ™เบฐเบฅเบฑเบ”เป€เบŠเบฑเบ, เบšเปˆเบญเบ™เบ—เบตเปˆ CoViper ransomware เบฅเบปเบšเบเบงเบ™เบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบเบ‚เบญเบ‡เป‚เบฎเบ‡ เปเป เบซเบผเบฒเบเปเบซเปˆเบ‡. [3].
เบกเบตเบ„เบงเบฒเบกเบ•เป‰เบญเบ‡เบเบฒเบ™เบ—เบตเปˆเบˆเบฐเป€เบ‚เบปเป‰เบฒเปƒเบˆเบงเปˆเบฒ ransomware เบ‚เบนเบ”เบฎเบตเบ”เบซเบปเบงเบ‚เปเป‰เป‚เบฃเบ coronavirus เปเบกเปˆเบ™เบซเบเบฑเบ‡เปเบฅเบฐเป€เบ›เบฑเบ™เบซเบเบฑเบ‡เบžเบงเบเบกเบฑเบ™เบˆเบถเปˆเบ‡เบ›เบฒเบเบปเบ”เบขเปˆเบฒเบ‡เป„เบงเบงเบฒ. เบ•เบปเบงเบขเปˆเบฒเบ‡ Malware เป„เบ”เป‰เบ–เบทเบเบžเบปเบšเป€เบซเบฑเบ™เบขเบนเปˆเปƒเบ™เป€เบ„เบทเบญเบ‚เปˆเบฒเบ - CoViper เปเบฅเบฐ CoronaVirus, เป€เบŠเบดเปˆเบ‡เป‚เบˆเบกเบ•เบตเบ„เบญเบกเบžเบดเบงเป€เบ•เบตเบˆเปเบฒเบ™เบงเบ™เบซเบผเบฒเบ, เบฅเบงเบกเบ—เบฑเบ‡เบขเบนเปˆเปƒเบ™เป‚เบฎเบ‡เบซเบกเปเบชเบฒเบ—เบฒเบฅเบฐเบ™เบฐเปเบฅเบฐเบชเบนเบ™เบเบฒเบ™เปเบžเบ”.
เบ—เบฑเบ‡เบชเบญเบ‡เป„เบŸเบฅเปŒเบ—เบตเปˆเบชเบฒเบกเบฒเบ”เบ›เบฐเบ•เบดเบšเบฑเบ”เป„เบ”เป‰เป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰เปเบกเปˆเบ™เบขเบนเปˆเปƒเบ™เบฎเบนเบšเปเบšเบš Portable Executable, เป€เบŠเบดเปˆเบ‡เบŠเบตเป‰เปƒเบซเป‰เป€เบซเบฑเบ™เบงเปˆเบฒเบžเบงเบเป€เบ‚เบปเบฒเบกเบตเบˆเบธเบ”เบ›เบฐเบชเบปเบ‡เปƒเบ™ Windows. เบžเบงเบเป€เบ‚เบปเบฒเบเบฑเบ‡เบ–เบทเบเบฅเบงเบšเบฅเบงเบกเบชเปเบฒเบฅเบฑเบš x86. เป€เบ›เบฑเบ™เบ—เบตเปˆเบชเบฑเบ‡เป€เบเบ”เบงเปˆเบฒเบžเบงเบเบกเบฑเบ™เบกเบตเบ„เบงเบฒเบกเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™เบเบฑเบšเบเบฑเบ™เปเบฅเบฐเบเบฑเบ™, เบžเบฝเบ‡เปเบ•เปˆ CoViper เป„เบ”เป‰เบ–เบทเบเบ‚เบฝเบ™เป„เบงเป‰เปƒเบ™ Delphi, เบ•เบฒเบกเบซเบผเบฑเบเบ–เบฒเบ™เบ‚เบญเบ‡เบงเบฑเบ™เบ—เบตเบฅเบงเบšเบฅเบงเบกเบ‚เบญเบ‡เป€เบ”เบทเบญเบ™เบกเบดเบ–เบธเบ™เบฒ 19, 1992 เปเบฅเบฐเบŠเบทเปˆเบžเบฒเบ, เปเบฅเบฐ CoronaVirus เปƒเบ™ C. เบ—เบฑเบ‡เบชเบญเบ‡เปเบกเปˆเบ™เบ•เบปเบงเปเบ—เบ™เบ‚เบญเบ‡เบœเบนเป‰เป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”.
Ransomware เบซเบผเบท ransomware เปเบกเปˆเบ™เป‚เบ„เบ‡เบเบฒเบ™เบ—เบตเปˆ, เป€เบกเบทเปˆเบญเบขเบนเปˆเปƒเบ™เบ„เบญเบกเบžเบดเบงเป€เบ•เบตเบ‚เบญเบ‡เบœเบนเป‰เบ–เบทเบเป€เบ„เบฒเบฐเบฎเป‰เบฒเบ, เป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”เป„เบŸเบฅเปŒเบ‚เบญเบ‡เบœเบนเป‰เปƒเบŠเป‰, เบฅเบปเบšเบเบงเบ™เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบšเบนเบ”เบ›เบปเบเบเบฐเบ•เบดเบ‚เบญเบ‡เบฅเบฐเบšเบปเบšเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™, เปเบฅเบฐเปเบˆเป‰เบ‡เปƒเบซเป‰เบœเบนเป‰เปƒเบŠเป‰เบฎเบนเป‰เบงเปˆเบฒเบฅเบฒเบงเบ•เป‰เบญเบ‡เบเบฒเบ™เบˆเปˆเบฒเบเป€เบ‡เบดเบ™เปƒเบซเป‰เบœเบนเป‰เป‚เบˆเบกเบ•เบตเป€เบžเบทเปˆเบญเบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบกเบฑเบ™.
เบซเบผเบฑเบ‡โ€‹เบˆเบฒเบโ€‹เบเบฒเบ™โ€‹เป€เบ›เบตเบ”โ€‹เบ•เบปเบงโ€‹เป‚เบ„เบ‡โ€‹เบเบฒเบ™โ€‹, เบกเบฑเบ™โ€‹เบŠเบญเบโ€‹เบซเบฒโ€‹เป„เบŸเบฅโ€‹เปŒโ€‹เบœเบนเป‰โ€‹เปƒเบŠเป‰โ€‹เปƒเบ™โ€‹เบ„เบญเบกโ€‹เบžเบดเบงโ€‹เป€เบ•เบตโ€‹เปเบฅเบฐโ€‹เบเบฒเบ™โ€‹เป€เบ‚เบปเป‰เบฒโ€‹เบฅเบฐโ€‹เบซเบฑเบ”โ€‹เปƒเบซเป‰โ€‹เป€เบ‚เบปเบฒโ€‹เป€เบˆเบปเป‰เบฒโ€‹. เบžเบงเบเป€เบ‚เบปเบฒเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เบ„เบปเป‰เบ™เบซเบฒเป‚เบ”เบเปƒเบŠเป‰เบŸเบฑเบ‡เบŠเบฑเบ™ API เบกเบฒเบ”เบ•เบฐเบ–เบฒเบ™, เบ•เบปเบงเบขเปˆเบฒเบ‡เบ‚เบญเบ‡เบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เบ—เบตเปˆเบชเบฒเบกเบฒเบ”เบŠเบญเบเบซเบฒเป„เบ”เป‰เบ‡เปˆเบฒเบเปƒเบ™ MSDN [4].

เบเบฒเบ™เบฅเบฐเบšเบฒเบ”เบ”เบดเบˆเบดเบ•เบญเบ™: CoronaVirus vs CoViper
Fig.1 เบ„เบปเป‰เบ™เบซเบฒเป„เบŸเบฅเปŒเบœเบนเป‰เปƒเบŠเป‰

เบซเบผเบฑเบ‡เบˆเบฒเบเบ—เบตเปˆเปƒเบ™เบ‚เบฐเบ™เบฐเบ—เบตเปˆ, เบžเบงเบเป€เบ‚เบปเบฒเป€เบˆเบปเป‰เบฒ restart เบ„เบญเบกเบžเบดเบงเป€เบ•เบตเปเบฅเบฐเบชเบฐเปเบ”เบ‡เบ‚เปเป‰เบ„เบงเบฒเบกเบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™เบเปˆเบฝเบงเบเบฑเบšเบ„เบญเบกเบžเบดเบงเป€เบ•เบตเป„เบ”เป‰เบ–เบทเบเบชเบฐเบเบฑเบ”.
เบเบฒเบ™เบฅเบฐเบšเบฒเบ”เบ”เบดเบˆเบดเบ•เบญเบ™: CoronaVirus vs CoViper
Fig.2 เบเบฒเบ™เบ‚เบฑเบ”เบ‚เบงเบฒเบ‡เบ‚เปเป‰เบ„เบงเบฒเบก

เป€เบžเบทเปˆเบญเบ‚เบฑเบ”เบ‚เบงเบฒเบ‡เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบšเบนเบ”เบ‚เบญเบ‡เบฅเบฐเบšเบปเบšเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™, ransomware เปƒเบŠเป‰เป€เบ•เบฑเบเบ™เบดเบเบ‡เปˆเบฒเบเป†เบ‚เบญเบ‡เบเบฒเบ™เบ”เบฑเบ”เปเบ›เบ‡เบšเบฑเบ™เบ—เบถเบเบเบฒเบ™เบšเบนเบ” (MBR) [5] เปƒเบŠเป‰ Windows API.
เบเบฒเบ™เบฅเบฐเบšเบฒเบ”เบ”เบดเบˆเบดเบ•เบญเบ™: CoronaVirus vs CoViper
Fig.3 เบเบฒเบ™เปเบเป‰เป„เบ‚เบšเบฑเบ™เบ—เบถเบเบเบฒเบ™เบšเบนเบ”

เบงเบดเบ—เบตเบเบฒเบ™ exfiltrating เบ„เบญเบกเบžเบดเบงเป€เบ•เบตเบ™เบตเป‰เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เป‚เบ”เบ ransomware เบญเบทเปˆเบ™เป†เบˆเปเบฒเบ™เบงเบ™เบซเบผเบฒเบ: SmartRansom, Maze, ONI Ransomware, Bioskits, MBRlock Ransomware, HDDCryptor Ransomware, RedBoot, UselessDisk. เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เบ‚เบฝเบ™เบ„เบทเบ™ MBR เปเบกเปˆเบ™เบกเบตเปƒเบซเป‰เบ›เบฐเบŠเบฒเบŠเบปเบ™เบ—เบปเปˆเบงเป„เบ›เบ—เบตเปˆเบกเบตเบฎเบนเบšเบฅเบฑเบเบชเบฐเบ™เบฐเบ‚เบญเบ‡เบฅเบฐเบซเบฑเบ”เปเบซเบผเปˆเบ‡เบชเปเบฒเบฅเบฑเบšเป‚เบ„เบ‡เบเบฒเบ™เป€เบŠเบฑเปˆเบ™ MBR Locker เบญเบญเบ™เป„เบฅเบ™เปŒ. เบเบฒเบ™เบขเบทเบ™เบขเบฑเบ™เบ™เบตเป‰เบขเบนเปˆเปƒเบ™ GitHub [6] เบ—เปˆเบฒเบ™โ€‹เบชเบฒโ€‹เบกเบฒเบ”โ€‹เบŠเบญเบโ€‹เบซเบฒโ€‹เบˆเปเบฒโ€‹เบ™เบงเบ™โ€‹เบซเบผเบงเบ‡โ€‹เบซเบผเบฒเบโ€‹เบ‚เบญเบ‡ repositories เบ—เบตเปˆโ€‹เบกเบตโ€‹เบฅเบฐโ€‹เบซเบฑเบ”โ€‹เปเบซเบผเปˆเบ‡โ€‹เบซเบผเบทโ€‹เป‚เบ„เบ‡โ€‹เบเบฒเบ™โ€‹เบเบฝเบกโ€‹เบžเป‰เบญเบกโ€‹เบชเปเบฒโ€‹เบฅเบฑเบš Visual Studioโ€‹.
เบเบฒเบ™เบฅเบงเบšเบฅเบงเบกเบฅเบฐเบซเบฑเบ”เบ™เบตเป‰เบˆเบฒเบ GitHub [7], เบœเบปเบ™เป„เบ”เป‰เบฎเบฑเบšเปเบกเปˆเบ™เป‚เบ„เบ‡เบเบฒเบ™เบ—เบตเปˆเบ›เบดเบ”เบเบฒเบ™เปƒเบŠเป‰เบ‡เบฒเบ™เบ„เบญเบกเบžเบดเบงเป€เบ•เบตเบ‚เบญเบ‡เบœเบนเป‰เปƒเบŠเป‰เปƒเบ™เบชเบญเบ‡เบชเบฒเบกเบงเบดเบ™เบฒเบ—เบต. เปเบฅเบฐเบกเบฑเบ™เปƒเบŠเป‰เป€เบงเบฅเบฒเบ›เบฐเบกเบฒเบ™เบซเป‰เบฒเบซเบผเบทเบชเบดเบšเบ™เบฒเบ—เบตเป€เบžเบทเปˆเบญเบ›เบฐเบเบญเบšเบกเบฑเบ™.
เบกเบฑเบ™เบ›เบฐเบเบปเบ”เบงเปˆเบฒเป€เบžเบทเปˆเบญเบฅเบงเบšเบฅเบงเบก malware เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ, เบ—เปˆเบฒเบ™เบšเปเปˆเบˆเปเบฒเป€เบ›เบฑเบ™เบ•เป‰เบญเบ‡เบกเบตเบ—เบฑเบเบชเบฐเบซเบผเบทเบŠเบฑเบšเบžเบฐเบเบฒเบเบญเบ™เบ—เบตเปˆเบเบดเปˆเบ‡เปƒเบซเบเปˆ; เปƒเบœ, เบšเปˆเบญเบ™เปƒเบ”เบเปเปˆเบ•เบฒเบกเบชเบฒเบกเบฒเบ”เป€เบฎเบฑเบ”เป„เบ”เป‰. เบฅเบฐเบซเบฑเบ”เปเบกเปˆเบ™เบกเบตเบขเบนเปˆเปƒเบ™เบญเบดเบ™เป€เบ•เบตเป€เบ™เบฑเบ”เบขเปˆเบฒเบ‡เป€เบชเบฅเบต เปเบฅเบฐเบชเบฒเบกเบฒเบ”เบœเบฐเบฅเบดเบ”เบ„เบทเบ™เป„เบ”เป‰เปƒเบ™เป‚เบ„เบ‡เบเบฒเบ™เบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™. เบ™เบตเป‰เป€เบฎเบฑเบ”เปƒเบซเป‰เบ‚เป‰เบญเบเบ„เบดเบ”. เบ™เบตเป‰เปเบกเปˆเบ™เบšเบฑเบ™เบซเบฒเบ—เบตเปˆเบฎเป‰เบฒเบเปเบฎเบ‡เบ—เบตเปˆเบฎเบฝเบเบฎเป‰เบญเบ‡เปƒเบซเป‰เบกเบตเบเบฒเบ™เปเบŠเบเปเบŠเบ‡เปเบฅเบฐเปƒเบŠเป‰เบกเบฒเบ”เบ•เบฐเบเบฒเบ™เบ—เบตเปˆเปเบ™เปˆเบ™เบญเบ™.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: www.habr.com

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™