Win32/TaiChi

Tento virus ma par prednosti, ktere bych zde rad vyjmenoval a okomentoval:

  • virus ziskava bazovou adresu knihovny kernel32.dll (z ktere pote importuje potrebne fc rozhrani Win32 api) pomoci datove struktury obsazene ve vsech verzich WindowsNT, ale pouze v nich. tento postup jsem zatim v zadnem viru nevidel. snizuje mnozstvi kodu v podstate na minimum.
  • modifikuje jeden ze systemovych procesu WinNT - winlogon.exe, pomoci cehoz nejen vypina ochranu souboru (znamou pod zkratkou SFP), ale tez loguje administratorske ucty (ziskava uzivatelske jmeno a heslo a uklada je do registru), ktere pripadne pouziva, kdyz je prihlasen uzivatel bez administratorskeho opravneni. proces bezici pod security kontextem tohoto uzivatele prohlasi (impersonuje) pomoci legalniho volani Win32 api za administratorsky a tim je mu umozneno prakticky neomezena pusobnost.
  • k tomuto ucelu ovsem potrebuje pridat urcita prava vsem uzivatelum. proto je pridava skupine Everyone (jmenovite se jedna o prava (SeTcbPrivilege a SeDebugPrivilege). cili postaci, aby se jednou pustil jako uzvatel root a pozdeji si jiz vse potrebne dokaze zajistit sam ...
  • aby nedoslo k prozrazeni, vypina auditovani a maze security event log (do ktereho se ukladaji vyse zminene kroky)

    To byla cast venovana zajisteni administratoskych privilegii pro vsechny uzivatele. virus tato privilegia potrebuje, aby mohl pouzit sve dalsi prednosti a to sice NTFS infekce.

  • TaiChi obsahuje vlastni rutiny pro praci s nativnim souborovym systemem Windows NT - NTFS. pristupuje k datum na disku nizkourovnovym zpusobem a vyhledava struktury NTFS, s kterymi pote pracuje (lokalizuje a infikuje soubory), cimz obchazi bezpecnost a navic lze timto zpusobem modifikovat i soubory, ktere jsou pouzivane (treba mapovane) - s kterymi by se normalnimi legalnimi prostredky pracovat nedalo.
  • pro tento pristup k souborum jsem naprogamoval emulaci pametove mapovanych souboru pomoci strukturovane obsluhy vyjimek, cimz se programatorovi jevi prace se souborem v podstate uplne stejna, jako prace s kterymkoliv jinym pametove mapovanym souborem (tj. je redukovana na praci s ukazatelem do pameti ...)
  • jelikoz se jedna pouze o proof of concept virus, infikuje pouze jeden PE exe soubor v aktualnim adresari pomoci cavity infekce (tj. vklada se do der v exe souboru)
  • tato detabuizace NTFS datovych struktur ma imho budoucnost. mozna bychom se mohli znovu dockat boot viru pro WindowsNT nebo viru podobnych virum DIRII a Yobe.

    Virus dale obsahuje graficky payload.

  • nahrazuje soubor bootvid.dll, jez se stara o zobrazovani startovaciho loga WindowsNT a misto nej se tudiz objevuje logo 29A (tj skupiny, jejimz clenem mam tu cest byt :))
  • take ukazuje moznost modifikace jadra systemu Windows NT za behu tim, ze vypina ochranu pomoci patche jedne z hlavnich bezpecnostnich fci WindowsNT (fce SeAccessCheck)

    To by bylo asi fse :)

    Autorem Φlßnku je Ratter (ratter@atlas.cz). Velice mu za n∞j d∞kuji !!!