Исследователи безопасности обнаружили в киберпространстве уникальный и интересный Python-скрипт, использующий нетрадиционный метод уклонения от анализа - имитацию синего экрана смерти (BSOD). Эта техника не только усложняет анализ вредоносного ПО, но и может обмануть пользователей.
Описание
Скрипт имеет низкий процент обнаружения среди антивирусных решений: только четыре из 59 решений определили его как вредоносный на VirusTotal. Внимание экспертов по кибербезопасности привлекло использование стандартной библиотеки Python Tkinter, обычно применяемой для создания графических пользовательских интерфейсов.
В отличие от типичных вредоносных программ на Python, которые работают через командную строку, этот скрипт генерирует полноэкранное окно, имитирующее BSOD. Окно, созданное с помощью Tkinter, лишено кнопок управления и появляется поверх всех остальных окон, создавая иллюзию критического сбоя системы.
| 1 2 3 4 5 6 7 8 | root = tk.Tk() root.configure(background="dark blue") ex = Example(root) w, h = root.winfo_screenwidth(), root.winfo_screenheight() root.overrideredirect(1) root.geometry("%dx%d+0+0" % (w, h)) root.wm_attributes("-topmost", 1) root.mainloop() |
Эта техника, несмотря на свою простоту, способна запутать пользователей и отвлечь аналитиков во время расследования вредоносного ПО. При обнаружении ложного BSOD первым побуждением может быть просто перезагрузить виртуальную машину.
Хотя анализ показал, что скрипт не обладает серьезными разрушительными возможностями, подобные техники могут усложнить проведение криминалистических экспертиз и реверс-инжиниринга. Представитель Института SANS отметил, что хотя использование такой тактики не является чем-то революционным, в сочетании с другими методами она может повысить стойкость вредоносного кода.
Indicators of Compromise
MD5
- 40920e0ab7323c7136e52f312ad57ee1
SHA1
- f97b07415c8621a7a6c519b633a0e386f0141131
SHA256
- d716c2edbcdb76c6a6d31b21f154fee7e0f8613617078b69da69c8f4867c9534
