ViperSoftX хортой программ
Хорт кодын ерөнхий мэдээлэл ViperSoftX хортой программ нь 2019 оны сүүл, 2020 оны эхээр ажиглагдаж эхэлсэн бөгөөд түүний хамгийн идэвхтэй байсан үе нь 2022, 2023 онуудад юм. ViperSoftX нь stealer буюу хэрэглэгчийн компьютероос нууц үг, крипто хэтэвчийн мэдээлэл зэрэг санхүүгийн мэдээлэл рүү хандах боломжит өгөгдлийг хулгайлагч төрлийн хортой программ бөгөөд тархах аргачлал нь кракдсан программ, keygen1, activator2 зэрэг хууль бус программуудаар дамжин хэрэглэгчийн компьютерт сууна. Тэрээр executable3, browser extension4, javascript5 зэрэг хэд хэдэн төрлийн хувилбараар бүтээгдсэн ба өөрийнхөө шинж чанарыг нуух зорилгоор маш олон давхар obfuscation техникүүд ашигладгаараа онцлог юм.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж ViperSoftX.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Sality.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар ViperSoftX хортой кодыг хайна.
Жишээ нь:
- C дискээс ViperSoftX хортой программыг хайх команд: "yara64.exe -r ViperSoftX.yara C:\ 2>NUL"
- D дискээс ViperSoftX хортой программыг хайх команд: "yara64.exe -r ViperSoftX yara D:\ 2>NUL"
import "hash"
rule ViperSoftX_hortoi_code {
meta: description = "ViperSoftX-iin last variant ilruuleh"
author = "pcert"
date = "2024-02-27"
strings:
// by registry $regKey = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Wpad" nocase
// by file paths
$filePath1 = "%AUTO%\\1582108473.0167336_40d2b83b-f78f-4d18-aba6- caf1cfd0815d\\" nocase
// by file names
$fileName1 = "reg.converter.sys" nocase
condition:
// hortoi code haih
(
$regKey or
$filePath1 or
$fileName1
)
or (
//by hash hash.sha256(0, filesize) == "65cb35d1b09097aa64b89062a060b3bb680bc4c962ff116f32edf92735f401eb"
)
}
- Дээрх YARA дүрмийг ашиглан ViperSoftX төрлийн хортой кодыг илрүүлэх
- ViperSoftX төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх