Trojan equation что это
Кибершпионскую программу группы Equation нельзя уничтожить, но вам она не грозит
Вредоносные программы, которые невозможно стереть с винчестера, все же существуют. Но они так редки и дороги, что вы вряд ли с ними столкнетесь.
Исследование активности кибершпионской группировки Equation, опубликованное командой GReAT «Лаборатории Касперского», описывает несколько чудес техники. Эта давно действующая и очень мощная группа создала серию крайне сложных вредоносных «имплантов», но наиболее интересная находка экспертов — это умение зловреда перепрограммировать жесткие диски жертв шпионажа, благодаря чему «импланты» становятся невидимы и практически неуязвимы.
Касперский: более 500 организаций пострадало от кибергруппы Equation http://t.co/aMYdt48JIP
Это одна из давних страшилок компьютерной безопасности. Неизлечимый вирус, который навсегда остается в компьютерном оборудовании, считался городской легендой последние три десятилетия, но, похоже, кое-кто потратил миллионы долларов, чтобы сделать сказку былью. Некоторые газеты и сайты трактуют эту историю в довольно паническом тоне, заявляя, что хакеры могут «получать таким образом доступ к информации на большинстве компьютеров в мире«. Но нам бы хотелось снизить накал драматизма, поскольку эта возможность, скорее всего, останется такой же редкой, как панды, самостоятельно переходящие дорогу на ближайшем к вам перекрестке.
Давайте прежде всего разберемся, что такое «перепрограммирование прошивки винчестера». Жесткий диск состоит из нескольких компонентов, самыми важными из которых являются собственно носитель информации (магнитные диски для классических винчестеров HDD или чипы флеш-памяти для SSD) и микрочип, который управляет чтением и записью на диск, а также многочисленными сервисными процедурами, например обнаружением и исправлением ошибок.
Поскольку таких служебных процедур много и они сложны, чип работает по достаточно обширной программе и, технически говоря, сам по себе является маленьким компьютером. Программа этого чипа и называется прошивкой, и производители жестких дисков иногда хотят обновлять ее, чтобы исправить найденные ошибки или улучшить скорость работы диска.
Как раз этот механизм и научилась эксплуатировать группировка Equation, загружая свою собственную прошивку в жесткие диски 12 различных «категорий» (производителей/моделей). Функции модифицированной прошивки остаются загадкой, но вредоносное ПО на компьютере благодаря ей получает возможность читать и писать данные в специальный подраздел жесткого диска. Мы предполагаем, что этот подраздел становится полностью скрытым как от операционной системы, так и от специальных аналитических программ, работающих с диском на низком уровне. Данные в этой области могут пережить форматирование диска!
Более того, теоретически прошивка способна повторно заражать загрузочную область жесткого диска, делая даже свежеустановленную операционную систему инфицированной. Вопрос дополнительно усложняется тем, что за проверку состояния прошивки и обновление прошивки отвечает… сама прошивка, поэтому никакие программы на компьютере не могут надежно проверить целостность кода прошивки или обновить его с надежным результатом. Иными словами, однажды зараженная прошивка практически недетектируема и неуничтожима. Дешевле и проще выкинуть подозрительный жесткий диск и купить новый.
Впрочем, не бегите за отверткой — мы не ожидаем, что эта предельно мощная возможность инфицирования станет массовой. Даже сама группировка Equation использовала данную функцию всего несколько раз, модуль инфицирования дисков очень редко встречается на компьютерах жертв Equation.
Перепрограммировать жесткий диск гораздо сложнее, чем написать, скажем, программу для Windows. Каждая модель винчестера уникальна, и разработать для нее альтернативную прошивку — долго и дорого. Хакер должен получить внутреннюю документацию производителя (уже очень сложно), купить несколько винчестеров точно такой же модели, разработать и протестировать нужную функциональность, а также запихнуть ее в невеликое свободное место прошивки, сохранив при этом все исходные функции.
«..it would take a very skilled programmer many months or years to master» reprogramming hard drives, says @vkamluk #TheSAS2015
Это очень высокоуровневая и профессиональная работа, которая требует месяцев разработки и многомиллионных инвестиций. Поэтому данный тип технологий бессмысленно использовать в криминальных вредоносных программах и даже большинстве целевых атак. Кроме того, разработка прошивок — это «бутиковый» подход ко взломам, который трудно развернуть в широком масштабе. Производители дисков выпускают новые винчестеры и их прошивки чуть ли не каждый месяц, и взламывать каждую из них — трудно и бессмысленно даже группе Equation, не говоря уже обо всех остальных.
Практический вывод из истории прост. Вредоносные программы, заражающие винчестеры, больше не являются легендой, но среднестатистическому пользователю ничего не угрожает. Не крушите винчестер молотком, если только вы не трудитесь над иранской ядерной программой. Больше внимания стоит уделять не столь впечатляющим, но гораздо более вероятным рискам вроде взлома из-за плохого пароля или устаревшего антивируса.
Вложения
 | CollectionLog-2017.09.10-14.15.zip (70.7 Кб, 13 просмотров) |
Trojan.Win32.EquationDrug.gen не могу удалить
Добрый вечер. Помогите, плз, справиться с MEM:Trojan.Win32.EquationDrug.gen в системной памяти.
Касперский не справляется: MEM:Trojan.Win32.EquationDrug.gen
Каспер находит вирус, пишет что не может вылечить и требует перезагрузку, после перезагрузки вируса.
MEM:Trojan.Win32.EquationDrug.gen в системной памяти
Здравствуйте! Недавно появилось окно Касперского: обнаружен MEM:Trojan.Win32.EquationDrug.gen в.
Касперский не справляется: MEM:Trojan.Win32.EquationDrug.gen
Здравствуйте. Касперский обнаружил вирус, MEM:Trojan.Win32.EquationDrug.gen, объект: системная.
Вложения
 | AdwCleaner[S0].txt (1.7 Кб, 10 просмотров) |
2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также «Shortcut.txt».
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
Вложения
| AdwCleaner[C0].txt (1.9 Кб, 6 просмотров) |
| FRST.zip (4.9 Кб, 3 просмотров) |
| Addition.zip (6.4 Кб, 2 просмотров) |
| Shortcut.zip (6.8 Кб, 3 просмотров) |
Это еще продолжается?
Добавлено через 2 часа 5 минут
+
Хоть у Вас и сборка, попробуйте установить это обновление.
Обновление все же установите.
Вложения
| SecurityCheck.txt (15.8 Кб, 4 просмотров) |
Хотфиксы, по возможности, установите все.
Trojan.Siggen7.344333 и Trojan.Equation + Btcmine и Backdoorspy
В декабре обнаружил у себя вирусы btcmine и equation. Писал в раздел помощи и вроде справился с этими вирусами (как я думал тогда). Вот ссылка на прошлую тему: https://forum.drweb.com/index.php?showtopic=328912.
Сегодня решил проверить cureit’ом (полная проверка) для профилактики и нашел свыше 100 угроз. В их числе были Trojan.Siggen7.344333, Trojan.Equation (там было слишком много цифр от 2-100), один Btcmine, неск Backdoorspy. Короче тот же полный комплект как и в декабре. Только к ним еще и Siggen7 прибавился. Возможно ли вообще как то избавиться от этих вирусов? p.s после проверки при выключении показывает одну включенную прогу dial-up connection.
Вот логи при первой полной проверке, после лечения и после перезагрузки. Ну и hijack и dwsysinfo: http://dropmefiles.com/YsqJj
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Тень АНБ: на чем прокололись авторы супервируса группы Equation
ЛК выпустила отчет, посвященный хакерской группе Equation («уравнение») – «одной из самых изощренных групп – организаторов кибератак в мире; она является источником самой серьезной угрозы, какую мы только видели».
Эта группа выпускает вредоносные программы – червь Fanny, который распространяется через интернет и флеш-карты, а также вирусные вредоносные коды Equationdrug и Grayfish, которые меняют прошивку жестких дисков. Флеш-карты позволяют заражать компьютеры, которые даже не подключены к интернету – так, чтобы потом через другие флеш-карты передать интересную авторам вируса информацию. А на зараженном жестком диске вредоносная программа создает специальный раздел, невидимый владельцу компьютера. Избавиться от вируса на компьютере с таким зараженным жестким диском намного сложнее: не поможет даже переустановка операционной системы, вредоносный код пропишется и в нее.
Эксперты ЛК назвали группу «Уравнением» потому, что она любит использовать алгоритмы шифрования и специальные приемы маскировки, пишут авторы отчета ЛК.
Equation однозначно связана с авторами вируса Stuxnet, который нанес ущерб иранской ядерной программе: вредоносные программы Equation первыми использовали две неизвестные широкой публике уязвимости, которые потом перекочевали в Stuxnet. «Это свидетельствует о том, что группа Equation и разработчики Stuxnet или одни и те же люди, или работают вместе», – пишут авторы отчета ЛК.
Участники группы Equation все-таки прокололись, считают эксперты ЛК. Они указывают на то, что ключевое слово – GROK: группировка Equation называла так свою программу для перехвата нажатий клавиатуры (кейлогер). Такое же название использовало АНБ в документах, которые были предоставлены журналу Der Spiegel перебежчиком Эдвардом Сноуденом. В этих документах словом GROK также называли шпионскую программу-кейлогер, указывает «Лаборатория Касперского».
По данным ЛК, сейчас в мире около 500 людей и организаций, компьютеры которых заражены вирусами от Equation. Это немного, но, по данным ЛК, группа ежемесячно заражает около 2000 компьютеров. Она очень разборчиво относится к поиску жертв и во многих случаях просто уничтожает свой вредоносный код, если владелец компьютера ей неинтересен.
Код, который исследовали эксперты ЛК, работает на операционных системах Windows. Экспертам ЛК удалось захватить контроль над управляющими серверами вирусов Equation, и они получают из Китая данные, которые отправляют, скорее всего, компьютеры под управлением системы Mac OS от Apple. Кроме того, одна из изученных вредоносных серверных программ специально пытается определить, не работает ли устройство жертвы под управлением системы iOS, на которой работают смартфоны iPhone и планшеты iPad от Apple. Возможно, для них у Equation тоже есть вирусы, заключают авторы отчета ЛК.
Представитель АНБ отказался комментировать агентству Reuters обвинения ЛК. Он заявил, что агентство следует американским законам и директивам Белого дома, чтобы защитить США и союзников «от широкого спектра серьезных угроз».
Equation: Звезда смерти Галактики Вредоносного ПО
«Хьюстон, у нас проблема»
В один прекрасный солнечный день 2009 года Гжегож Бженчишчикевич 1 прилетел в цветущий город Хьюстон, где открывалась престижная международная научная конференция. Будучи крупным специалистом в своей области, Гжегож давно привык к подобным поездкам. На протяжении следующих двух дней г-н Бженчишчикевич обменивался визитными карточками с другими ведущими исследователями и обсуждал с ними важные вопросы, какие обычно и обсуждают друг с другом ученые такого уровня (что это были за вопросы, простому человеку не понять). Но все хорошее заканчивается – завершилась и конференция. Гжегож Бженчишчикевич отправился домой, увозя с собой тезисы наиболее интересных докладов, представленных на этом важном форуме.
Некоторое время спустя, как принято на подобных мероприятиях, организаторы разослали всем участникам компакт-диск, содержащий множество прекрасных фотографий с конференции. Вставив компакт-диск в свой компьютер и начав просматривать слайд-шоу, Гжегож и понятия не имел о том, что стал жертвой могущественной организации, занимающейся кибершпионажем и только что заразившей его компьютер вредоносным кодом, применив при этом три эксплойта, два из которых были эксплойтами нулевого дня.
Свидание с «богом» кибершпионажа
Нет точных данных о том, когда группировка Equation 2 начала свою деятельность. Наиболее ранние из известных нам вредоносных образцов были скомпилированы в 2002 году, однако домен их командного сервера был зарегистрирован в августе 2001 года. Домены других командных серверов, используемых группировкой Equation, были, судя по всему, зарегистрированы еще в 1996 году; это может означать, что группировка действует уже почти два десятилетия. Она много лет взаимодействует с другими влиятельными группировками, например с теми, что стоят за Stuxnet и Flame, причем каждый раз с позиции превосходства: Equation всегда получала доступ к эксплойтам нулевого дня раньше других групп.
Начиная с 2001 года группировка Equation сумела заразить по всему миру компьютеры тысяч, возможно даже десятков тысяч жертв, относящихся к следующим сферам деятельности:
Для заражения жертв Equation применяет мощный арсенал «имплантов» (так они называют свои троянские программы), для которых мы придумали следующие имена: EQUATIONLASER, EQUATIONDRUG, DOUBLEFANTASY, TRIPLEFANTASY, FANNY и GRAYFISH. Несомненно, существуют и другие импланты, которые нам еще только предстоит обнаружить и назвать.
#EquationAPT взаимодействует с другими влиятельными группировками, например, #Stuxnet и #Flame #TheSAS2015
Сама группировка использует множество внутренних кодовых слов для обозначения собственных инструментов и имплантов, таких как SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER и GROK. Как это ни удивительно для группировки столь высокого уровня, один из разработчиков совершил непростительную ошибку, оставив свое имя пользователя «RMGREE5» в одном из вредоносных образцов в названии рабочей папки: «c:usersrmgree5«.
Вероятно, наиболее мощный инструмент в арсенале группировки Equation – таинственный модуль, известный под именем «nls_933w.dll«. Этот модуль позволяет изменять встроенную микропрограмму (прошивку) жестких дисков двенадцати наиболее популярных производителей, в том числе Seagate, Western Digital, Toshiba, Maxtor, IBM и т.д. Это поразительное техническое достижение, позволяющее сделать выводы об уровне возможностей группы.
Модуль nls_933w.dll из арсенала #EquationAPT позволяет изменять прошивку жестких дисков #TheSAS2015
За последние годы группировка Equation организовала множество различных атак. Одна из них выделяется на общем фоне – это червь Fanny. Вредоносная программа предположительно была скомпилирована в июле 2008 года, впервые она обнаружена и заблокирована нашими системами в декабре 2008 года. В Fanny были применены два эксплойта нулевого дня, которые были впоследствии обнаружены при изучении Stuxnet. Червь распространялся через USB флеш-накопители, используя тот же LNK-эксплойт, что и Stuxnet. Повышение привилегий Fanny в системе обеспечивалось за счет эксплуатации уязвимости, впоследствии закрытой патчем Microsoft MS09-025. Эта же уязвимость использовалась в одной из ранних версий Stuxnet, датируемой 2009 годом.
LNK-эксплойт, используемый Fanny
Важно подчеркнуть, что оба этих эксплойта были применены в Fanny до того, как они вошли в состав Stuxnet. Это говорит о том, что группировка Equation получила доступ к этим эксплойтам нулевого дня раньше, чем группировка Stuxnet. Главная задача, решаемая Fanny, – получение подробных сведений об изолированных сетях, отделенных от внешнего мира так называемым «воздушным барьером», то есть не подключенных к интернету. Для решения этой задачи червь использовал уникальный механизм офлайновой связи с командными серверами, основанный на применении USB-накопителей для передачи команд и данных между изолированными сетями и командным сервером, причем в обе стороны.
Группировка #EquationAPT применила два эксплойта нулевого дня до того, как они вошли в состав #Stuxnet #TheSAS2015
В ближайшие дни мы опубликуем новые подробности о вредоносных программах группировки Equation и атаках, осуществленных этой группой. В первом документе серии будут даны ответы на часто задаваемые вопросы.
Публикуя эти данные, мы хотим пригласить к сотрудничеству компании, работающие в сфере информационной безопасности, а также независимых исследователей. Возможно, это позволит лучше понять механизм таких атак. Чем больше мы изучаем подобные кибершпионские операции, тем больше отдаем себе отчет в том, что в действительности мы очень мало о них знаем. Сообща мы сможем приподнять эту завесу тайны и сделать (кибер-)мир более безопасным.