Daxa-számítógépes vírusok
VirusHunter figyelmeztet a számítógép-felhasználók terjedését tömegpusztító féreg Win32.Email-Worm.Wukill.A (aka Win32.Wukill) beruházások révén az e-mail üzeneteket, valamint a cserélhető adathordozók.
Néhány definíció megtalálható a leírásban.
VBS - Visual Basic Script. A Windows alapú rendszerekben használt programozási nyelv. Ezen a nyelven írásos rendszer parancsfájlok, valamint az internetes oldalak segédprogramjai.
VB - Visual Basic. A Windows alapú rendszerekben használt programozási nyelv. Számos rendszer- és felhasználói alkalmazás (program) van ezen a nyelven.
Az applet egy újabb script-program, az úgynevezett. "aktív rendszer forgatókönyvek". Általában VBS-ben vagy JS-ben (Java Script) írva. Az ilyen programokat speciálisan használják. beillesztések internetes oldalak tervezésénél (például mozgóképek, hangprofilos oldalak stb.).
Explorer - a szövegben hívom az Explorer nevű "Explorer" Windows-ot, amelyet a legtöbb felhasználó használ fájlok és mappák kezelésére.
A lemez gyökere a lemez alján található összes fájl, kivéve az összes mappát az összes tartalmukon.
SNI - ezért a "cserélhető adathordozó" szövegben rövidítenék.
% windir% - könyvtár, amelyben a Windows telepítve van.
% user% - az aktuális felhasználó könyvtára a Windows 2K / XP rendszerben.
2. Telepítés a rendszerbe.
A féreg programját a Microsoft VB 6.0-s verziója írta és az EXE alkalmazás PE formátumába (Windows program) fordította. A fájl eredeti mérete 49152 bájt (kódot nem kódolt vagy kriptázó segédprogrammal dolgozott fel), de bizonyos esetekben nagyobb lehet (lásd a leírás 6. bekezdését).
A Windows operációs rendszer futtatásához a msvbvm60.dll műszaki könyvtárat kell telepíteni. Ez az összetevő szükséges a Microsoft VB 6. verziójára írt speciális és egyedi programok működéséhez. Windows 9x / ME ez hiányzik (a Windows 2K nem fogja azt mondani, hogy pontosan), de lehet kölcsönözni, például a Windows XP (ott van, pontosan), és rögzítve 9X / ME rendszerben alkönyvtárához% Windir% \ SYSTEM.
Ha a féreg nem találja ezt az összetevőt indításkor, akkor a rendszer indításakor hibaüzenet jelenik meg a képernyőn, és a rendszer nem fertőződik:
Amikor egy rosszindulatú mellékletet indít el egy levélből (a fájlnév mindig ugyanaz - MShelp.exe), a féreg a következő hamis "file corruption" üzenetet jeleníti meg, hogy megzavarja a felhasználót:
Ezután a féreg a rendszerkönyvtárba másolja a következő neveket:
A féreg leolvassa az aktuális lemez nevét, ahol a csatolt fájlt indult (ez általában a rendszer meghajtó), majd megpróbálja másolni magát a lemezre, vagy CNI, akinek a neve szerepel a médiában ezt megelőzően, azaz a például amikor a C meghajtóról indul: ilyen lesz az A lemez. A D meghajtóról: - C meghajtóról stb. Ha a kiválasztott meghajtó vagy CDI írható, akkor a féreg az MShelp.exe példányát is gyökérkönyvtárba írja.
Az Mstray.exe fájl a féreg működő fájlja, és automatikusan átveszi a vezérlést, amikor a rendszer újraindul. Ehhez a rendszerleíró adatbázisban létrehozza a következő, "RavTimeXP" nevű értékű rendszerleíró kulcsot:
A féreg a következő értékeket a következő rendszerleíró kulcsban is módosítja:
[HKEY_CURRENT_USER \ Szoftver \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Speciális]
"Rejtett" = dword: 00000000
"HideFileExt" = dword: 00000001
Alapvetően ezek az értékek az összes Windows rendszerben alapértelmezés szerint alapértékűek. Azonban a féreg megváltoztatja őket, mert tapasztalt felhasználók általában cserélni a rendszer beállításait érték érték „Rejtett” a „0” és „1”, hogy amikor dolgozik az Explorer volt elérhető fájlok és mappák, melyek a hozzárendelt attribútumok „rendszer” és / vagy „rejtett” ( „rendszer” és " rejtett "). Ami a telepítés a féreg a standard fölötti érték érték „HideFileExt” (azaz „1”), akkor azt kell neki, hogy elrejtse kiterjesztése „EXE” fájlt Mstray.exe stb másolatok dolgozik ezeket a fájlokat Explorer valódi mappáknak tűnt (lásd a fenti képet).
Ezenkívül a féreg felváltja az új értéket és a következő rendszerleíró kulcs következő értékének "alapértelmezett" értékét:
A féreg ezt a változást teszi lehetővé annak a lehetőségnek a megvalósításában, hogy saját példányokat hozhasson létre a felhasználó által megnyitott könyvtárakban (lásd a leírás 3. bekezdését).
Amikor egy tiszta gépen futtat egy winfile.exe nevű féreg fájlt közvetlenül a SNI-ből vagy a merevlemezről, a rendszer telepítési eljárása és a megfelelő rendszerleíró kulcsok módosítása majdnem megegyezik a fent leírtakkal. Az egyetlen különbség az, hogy indításakor a féreg nem jelenít meg semmilyen üzenetet (mert a fájlnév eltér az MShelp.exe-től), és nem hoz létre semmilyen fájlt, mint Mstray.exe munkakönyvét.
A fenti műveletek után a féreg kilép és inaktív marad, amíg a következő rendszer újraindul.
3. Szaporítás a médián keresztül. Pusztító intézkedések.
A rendszer első indításakor az Mstray.exe fájl elindul, és a művelet befejezéséig a Windows memóriájában marad. A vírus munkaablaka nem látható a felhasználó számára, mert a képernyő alsó részén kívül helyezkedik el.
Miután megkapta ellenőrzés, ellenőrzi a féreg kerekek A. és C. D: és E: (mind belső, mind a hálózati, ha a fertőzött gép más számítógépekhez csatlakoztatott a helyi hálózat, valamint azok a kerekek vannak nyitva felvétel.) És létrehozza a saját gyökereit következő fájlok :
- desktop.ini 72 bájt méretű;
- comment.httset 697 bytes.
A féreg a "rejtett" és a "rendszer" attribútumokat is hozzárendeli a többi fájlhoz, aminek következtében a fájlok nem láthatók a felhasználó számára az Explorer használatakor.
Amikor a meghajtón bárki felfedezi a böngészőt, a féreg a winfile.exe néven írja a gyökérkönyvtárba. és létrehozza a két fenti fájlt is. Ebben az esetben a rendszer automatikusan elolvassa a desktop.ini fájlt a parancsot a VBS szubrutin végrehajtására a comment.htt fájlból. Ez a segédprogram az Applet, amelyet a rendszerleíró adatbázis egy speciális része kezel. Az eljárás ebben a módban lehetővé teszi a féreg számára, hogy másolja magát olyan mappába, amelybe a felhasználó bejelentkezik az Explorer használatával. Ez az eljárás úgy néz ki, mint ez: amikor egy felhasználó megnyit egy mappát, a féreg a mappába írja be a winfile.exe fájlt. példák:
Programozza a Files \ Program Files.exe fájlt
My Documents \ My Documents.exe
és hasonlók.
Annak érdekében, hogy az Explorer felhasználó ne észrevegyen semmit, a féreg hozzárendeli a "rejtett" attribútumot a létrehozandó fájlhoz.
Ha a felhasználó által megadott mappában található egy eredeti EXE fájl, amelynek neve megegyezik annak (mappa) nevével, akkor a féreg "tekercseli a tételeket":
- Ne készítsen saját példányt ebben a mappában;
- létrehoz egy másolatot a mappa nevével, először az egyik azonos nevű eredeti EXE fájl nevében megváltoztat egy karaktert, például: Win amp.exe -> Wiz amp.exe;
- létrehozza saját példányát ennek a mappának a nevével, és felülírja a megfelelő eredeti EXE fájlt annak másolatával, amelynek összes negatív következménye van.
A Windows 2K / XP alatt a féreg véletlenszerűen létrehozhatja a desktop.ini fájlok másolatát is. comment.htt és winfile.exe a következő könyvtárban a következő nevek alatt:
Dokumentumok és Beállítások \% user% \ %%. Esktop.ini
Dokumentumok és beállítások \% user% \ %%% comment.htt
Dokumentumok és beállítások \% user% \ %%% WINFILE.EXE
ahol a %%% három karakterből álló, véletlenszerű kombináció, amelyet egy önkényesen kiválasztott mappának vagy fájlnak a fertőzött számítógépe egyik lemezén kölcsönöztek. példák:
Dokumentumok és beállítások \% user% \ typedesktop.ini
Dokumentumok és beállítások \% user% \ Typecomment.htt
Dokumentumok és beállítások \% user% \ TypeWINFILE.EXE
Dokumentumok és Beállítások \% user% \ Zntdesktop.ini
Dokumentumok és beállítások \% user% \ Zntcomment.htt
Dokumentumok és beállítások \% user% \ ZntWINFILE.EXE
A féreg csak egy aktív példánya jelen lehet a készülék memóriájában.
% windir% \ system \% name% .exe
% windir% \ web \% név% .exe
% windir% \ fonts \% name% .exe
% windir% \ temp \% name% .exe
% windir% \ help \% name% .exe
Az aktív fájl új neve "% name%", a féreg tetszőleges tőkehajtású kombinációt használhat. betűk száma 1-5. Példák az ilyen nevekre:
HFFC.exe
SQQNO.exe
E.exe
KI.exe
QOO.exe
DBBXY.exe
ZX.exe
RPPM.exe
T.exe
VVT.exe, stb.
Ha például, az új név a féreg fájl VVT.exe és ő került alkönyvtárba / fonts, akkor az értéke „RavTimeXP” saját indul a féreg volt kiegyenesíteni a legfontosabb, hogy a következő:
5. Az ideiglenes és műszaki adatok tárolása.
Annak érdekében, hogy a rendszermemória ne töltsön fel kevés szükségtelen adatral, a féreg a kód jelentős részét nem a RAM-ban tárolja, hanem közvetlenül a merevlemezen ideiglenes TMP-fájlként. A vírus speciális ideiglenes alkönyvtárakat is létrehoz, amelyekben további ideiglenes fájlok vannak. Az összes ilyen objektumot a féreg hozza létre a rendszer ideiglenes fájljainak könyvtárában (Windows 9X / ME) vagy az aktuális felhasználó (Windows 2K / XP) ideiglenes fájljainak könyvtárában:
a Windows 9X / ME esetében:
Itt a "%%" két karakter (számok és / vagy tőkés latin betűk) önkényes kombinációja, a "%" tetszőleges nagybetű. betű, "% name%" - az aktuális aktív féreg fájl neve, "%%%%" négy karakter (szám és / vagy latin betű) önkényes kombinációja. Például:
a Windows 2K / 2K kiszolgálóhoz / XP:
Dokumentumok és beállítások \% user% \ Helyi beállítások \ Temp \
Bármely Windows operációs rendszer alatt a féreg folyamatosan hozzáfér a fájlhoz
df %%%%. tmp. A Windows 9X / ME esetében a fájl látható mérete 1536 bájt (a féreg elrejtve), de valójában 11776 bájt; a Windows 2K / XP alatt a fájl mérete valós és 16384 bájt.
A levél tárgya. [karakterhulladék] MS-DOS [karakteres szemét]
A levél szövege. hiányzó
Mellékletet. fájl MShelp.exe (a féreg másolata)
7. Egyéb.
Ha a féreg művelete során néhány belső hiba történt, a következő szöveget jelenítheti meg:
A féreg teste tartalmaz egy információs szakaszt, amelyben a következő adatokat rögzítik:
Cégnév gy
Terméknév Xgtray
FileVersion 1.00
ProductVersion 1.00
Belső név wukill
EredetiFájlnév wukill.exe
D: \ Program Files \ Microsoft Visual Studio \ VB98 \ lhw \ XDD \ XDD \ Xgtray.vbp
8. A féreg észlelése és eltávolítása a gépből.
A leírás írásakor a Win32.Email-Worm.Wukill.A és az általa létrehozott vírusirtó összetevőket a következőképpen észlelték:
A Kaspersky Anti-Virus for Windows szerverek:
winfile.exe fájlt (aka MShelp.exe Mstray.exe stb): Exploit.HTML.Agent.am (korábban feltárt, mint egy e-mail-Worm.Win32.Rays)
comment.htt fájl. Trojan.VBS.Starter.a
Antivirus DrWeb:
winfile.exe fájlt (aka MShelp.exe Mstray.exe stb): Win32.HLLM.Wukill
comment.htt fájl. Trojan.AppActXComp
BitDefender Professional Antivirus:
fájl winfile.exe (más néven MShelp.exe.Mstray.exe stb.): Win32.Wukill.E@mm
comment.htt fájl. Trojan.VBS.Starter.G
A féreg eltávolítása a gépből az átlagos felhasználónak ajánlott:
- ellenőrizze a fertőzött gépen telepítve van egy antivírus szoftver, egyetértve az eltávolítása az összes fájlt az észlelt vírusok a fenti azonosító neve. Ha a készülék csatlakoztatva van a többiekkel. LAN számítógépeket, szükség van a kezelés alatt, hogy húzza ki a hálózatból. A hálózatban lévő többi számítógépet is ellenőriznie kell.
- beállíthatja a rejtett / rendszerfájlok és mappák megjelenítését a jövőbeli munkában az Explorerben, amelyhez a speciális segédprogramot használhatja. amit a VirusHunter'a állít be, amely itt letölthető. A segédprogram használata előtt javasoljuk, hogy olvassa el a készlethez mellékelt felhasználói kézikönyvet.
A kimutatáshoz a jövőben egyaránt ismert és még ismeretlen változatai trójaiak script automatikusan futtatni rosszindulatú kódot elérésekor az Explorer az elsődleges partíció a merevlemez, akkor a típus egy sor VirusHunter'a №9 - STS (Stealth trójai Script kereső) .
Jelenleg a vírus következő verziói kerültek kifejlesztésre és közzétételre honlapunkon:
Win32.Email-Worm.Wukill.B
Win32.Email-Worm.Wukill.C
Win32.Email-Worm.Wukill.D (leírás nem fejlesztett)
Win32.Email-Worm.Wukill.E (leírás nem fejlesztett)