Нашумевший в последние дни зловред Regin поражает воображение, своей навороченностью, продуманностью, глубокими техническим знаниями в разных областях, вроде шифрования, устройства файловых систем, устройства телекоммуникационных протоколов и многого другого. Всех интересующихся деталями можно отослать к документу на SecureList, — там подробно описаны (насколько это вообще возможно) детали работы этого монстра, особенно рекомендуется почитать pdf отчет с техническим анализом.

Вашему же вниманию, я предлагаю скрипт (инструкции), для моего хэш калькулятора, который может найти вам файлы загрузчика Regin 1-го уровня (этот уровень может существовать в виде файлов на диске), по их MD5 сигнатурам.

Сохраните этот текст в файл, скажем C:\ReginStage1.hq:

for file f from dir 'c:' where 
f.md5 == '01c2f321b6bfdb9473c079b0797567ba' or
f.md5 == '06665b96e293b23acc80451abb413e50' or
f.md5 == '187044596bc1328efa0ed636d8aa4a5c' or
f.md5 == '1c024e599ac055312a4ab75b3950040a' or
f.md5 == '26297dc3cd0b688de3b846983c5385e5' or
f.md5 == '2c8b9d2885543d7ade3cae98225e263b' or
f.md5 == '47d0e8f9d7a6429920329207a32ecc2e' or
f.md5 == '4b6b86c7fec1c574706cecedf44abded' or
f.md5 == '6662c390b2bbbd291ec7987388fc75d7' or
f.md5 == '744c07e886497f7b68f6f7fe57b7ab54' or
f.md5 == 'b269894f434657db2b15949641a67532' or
f.md5 == 'b29ca4f22ae7b7b25f79c1d4a421139d' or
f.md5 == 'b505d65721bb2453d5039a389113b566' or
f.md5 == 'ba7bb65634ce1e30c1e5415be3d1db1d' or
f.md5 == 'bfbe8c3ee78750c3a520480700e440f8' or
f.md5 == 'd240f06e98c8d3e647cbf4d442d79475' or
f.md5 == 'db405ad775ac887a337b02ea8b07fddc' or
f.md5 == 'ffb0b9b5b610191051a7bdf0806e1e47' or
f.md5 == 'bddf5afbea2d0eed77f2ad4e9a4f044d' or
f.md5 == 'c053a0a3f1edcbbfc9b51bc640e808ce' or
f.md5 == 'e63422e458afdfe111bd0b87c1e9772c'
do find withsubs;

и далее просто запускайте

hc -F C:\ReginStage1.hq

В результате работы будет выведен список всех файлов хэши которых совпадают с одним из известных хэшей загрузчиков Regin. Учитывайте правда, что полное сканирование диска с вычислением для каждого файла пары десятков сумм md5, занимает весьма продолжительное время, даже в случае SSD диска.

Калькулятор 3.0 можно загрузить из портфеля.

2014-11-24 20:29:33 UTC hacking hash md5 regin security windows