Sality төрлийн хортой программ
Sality хортой программ нь ихэвчлэн USB флаш диск, дундын хуваалцсан хавтас зэргээр дамжуулагдан халдварладаг. Sality нь халдвар авсан файл (эсвэл хост)-ын төгсгөлд урьдчилан бэлтгэсэн өөрийн хортой кодыг нэмж оруулдаг trojan-“Хэрэглэгчийн төхөөрөмжид бусад хэвийн программтай хавсарсан байдлаар суух болон түүнийг дуурайлган хийсэн хэрэглэгчийн мэдээллийг хулгайлах, өөр бусад хорт программыг суулгах, төхөөрөмжид нэвтрэх хандалт үүсгэж өгөх гэх мэт төрөл бүрийн хорт кодыг хавсаргасан хортой программ” төрлийн хорт программ юм. Sality-ийн оруулж буй хортой код нь polymorph- Өөрийн ялгаатай хувилбаруудыг үүсгэх боломжтой ба түүнчлэн илрүүлэхэд улам нарийн төвөгтэй кодтой бөгөөд шинжилгээг илүү төвөгтэй болгох зорилготой байдаг.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Sality.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Sality.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Sality хортой кодыг хайна.
Жишээ нь:
- C дискээс Sality хортой программыг хайх команд: "yara64.exe -r Sality.yara C:\ 2>NUL"
- D дискээс Sality хортой программыг хайх команд: "yara64.exe -r Sality.yara D:\ 2>NUL"
import "hash"
rule Detect_Files_By_SHA256 {
meta:
description = "SHA-256 hash-aar olno"
author = "bilg"
date = "2023-10-17"
condition:
hash.sha256(0,filesize)==
"040f8a9fbdc49c0ae2c2e3872f1fabd8ed805bb8e0baaefd6e426d5facd2a173" or
hash.sha256(0,filesize)==
"c2d814a34b184b7cdf10e4e7a4311ff15db99326d6dd8d328b53bf9e19ccf858" or
hash.sha256(0,filesize)==
"c015b6e5b8e1dc3707b555042480c1001c8eb847561ab2f7c05594e057cde7ad"
}
//Ajluulah :
//yara -r sality.yara {haih zam}
//Jishee :
//yara -r sality.yara C:\
- Sality төрлийн хортой программыг ихэнх антивирусын программууд илрүүлж байгаа тул хост системүүдэд антивирусын программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
- Sality программ Temp нэртэй фолдерт үүсгэсэн файлуудаасаа дахин халдварлах боломжтой тул C:\Windows зам дээрх бүх файлыг устгах, хогийн савыг мөн цэвэрлэх.
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг хийх, цаашдаа хийж байх сонголтыг тогтмол байдлаар идэвхжүүлэх.