doc.3dn.ru
Вторник, 05.11.2024, 18:23
Приветствую Вас Гость | RSS
 
Главная Каталог статейРегистрацияВход
Меню сайта
Категории каталога
Антивирусы [2]
Компьютерные вирусы [4]
Все о вирусах, троянах, сетевых червях и др., а также средства защиты от них
Наш опрос
Нужны ли на сайте видео уроки по Flash?
Всего ответов: 489


Главная » Статьи » Безопасность » Компьютерные вирусы

ChinaWorm.II

Win32.ChinaWorm.II (aka Worm.Fujack).

1. Источники попадания в ПК.

Источником распространения червя Win32.ChinaWorm.II могут являться как СНИ, подключаемые к USB-портам, так и файло-обменные сети. Файл червя может иметь различные имена.

2. Инсталляция в систему.

В корне зараженного СНИ присутствуют 2 файла:

%drivename%\
setup.exe - файл-копия вируса (размер 36297 байт);
%drivename%\
autorun.inf - вредоносный файл-дроппер (размер 81 байт), используемый для автозапуска файла червя - setup.exe.

Принцип неконтролируемого запуска вируса при обращении к файлу
autorun.inf через Проводник основан на свойстве Windows автоматически считывать и выполнять инструкции из файлов этого формата.
При подключении СНИ к ПК под управлением ОС Windows XP или выше, система открывает содержимое носителя в окне Проводника. В случае с зараженным носителем Windows выдает следующее меню:



Также в меню выбора способа открытия содержимого носителя добавляется пункт - "Auto".
Все это происходит потому, что система воспринимает носитель, содержащий в своем корне файл
autorun.inf, как загрузочный.

%windir%\System32\drivers\
spoclsv.exe

Вредоносный файл
spoclsv.exe остается активным вплоть до завершения работы системы.
Для возможности автоматического запуска данного файла при каждом последующем старте Windows в ключах автозапуска системного реестра создается следующее значение с ссылкой на файл
spoclsv.exe:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%windir%\\system32\\drivers\\spoclsv.exe"


3. Размножение вируса.

На протяжении всей работы системы червь ищет все доступные локальные, сетевые и съемные диски, пытаясь создавать на них свои копии. При этом игнорируются как стационарные, так и съемные дисководы под флоппи-диски (A: и B:). Поиск осуществляется от диска C: до Z:, при этом вирус запоминает все диски, которые являются съемными.
В ходе заражения червь создает в корне каждого из обнаруженных дисков, доступных для записи, файлы

%drivename%\
autorun.inf
%drivename%\
setup.exe

В том случае, если запись на СНИ заблокирована при помощи спец. джампера на корпусе флэшки, или если к ПК подключен, цифровой фотоаппарат, у которого чтение производится с внутренней памяти, то при попытках червя заразить такой носитель будет выдано системное сообщение об ошибке:



Если пользователь пытается отключить СНИ в тот момент, когда зловред осуществляет заражение последнего, то система выдает следующее:



Для того, чтобы сделать невозможным просмотр скрытых и системных файлов на дисках зараженного ПК через Проводник, вирус изменяет значение одного из параметров в ветке ключей системного реестра с "1" на "0":

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\%\%]
"%"=dword:00000000


Изменение значения данного параметра приводит к тому, что при попытках пользователя установить "галочку" на параметре "
Показывать скрытые файлы и папки" в свойствах просмотра каталогов через Проводник, система автоматически возвращает параметру исходное значение "Не показывать скрытые файлы и папки".
В том случае, если вирус обнаруживает в Сетевом окружении имена др. компьютеров (т.е. при наличии локальной сети), то в корне каждого из дисков инфицированного ПК вирус создает и копии под названием

%drivename%\
GameSetup.exe

идентичные файлам
setup.exe.
При заражении сетевых дисков червь определяет те из них, которые доступны для записи. Если доступ к общему сетевому диску закрыт паролем, то вирус пытается подобрать его, перебирая варианты из собственного "словаря" 104 варианта:

Получив доступ к сетевым дискам, на которые разрешена запись данных, вирус создает в их корнях свои файлы

%drivename%\
autorun.inf
%drivename%\
setup.exe
%drivename%\
GameSetup.exe

Кроме того, он пытается обнаружить нижеприведенные системные подкаталоги автозагрузки программ:

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Documents and Settings\All Users\[тот же путь, но с именами подкаталогов на китайском языке]\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

Если таковые обнаружены и открыты для записи, то червь записывает в них свою копию под названием
GameSetup.exe.


5. Деструктивные действия червя.

Сразу после внедрения в систему червь производит ряд деструктивных действий в отношении некоторых популярных антивирусов, программ-отладчиков и межсетевых экранов. Сначала он пытается принудительно завершить работу активных процессов, у которых в заголовках программных окон присутствует любое из нижеприведенных названий:

VirusScan
msctls_statusbar32
Ravmond.exe
KVCenter.kxp
NOD32pjf(ustc) CCenter.exeKVSrvXP.exe
Symantec AntiVirusIceSwordRavTask.exeKRegEx.exe
DubaMcshield.exeRav.exeUIHost.exe
WindowsVsTskMgr.exeRavmon.exeTrojDie.kxp
esteem procsnaPrdMgr.exeRavmonD.exeFrogAgent.exe
System Safety MonitorUpdaterUI.exeRavStub.exeLogo1_.exe
Wrapped gift KillerTBMon.exeKVXP.kxpLogo_1.exe
Winsock Expertscan32.exeKvMonXP.kxpRundl132.exe

Параллельно с этим он пытается принудительно завершить активные процессы:

Schedule
KVWSC
McAfeeFramework
ccEvtMgr
sharedaccessKVSrvXPMcShieldccSetMgr
RsCCenterkavsvcMcTaskManagerSPBBCSvc
RsRavMonAVPnavapsvcSymantec Core LC
RsCCenterkavsvcwscsvcNPFMntor
RsRavMonMcAfeeFrameworkKPfwSvcMskService
KVWSCMcShieldSNDSrvcFireSvc
KVSrvXPMcTaskManagerccProxy

Кроме того, чтобы в дальнейшем запуск защитного ПО был невозможен, вирус удаляет из ключей реестра следующие ветки:

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse


6. Заражение HTML-документов.

Вирус постоянно просматривает все каталоги с вложенными в них папками на всех доступных для записи дисках от C: до Z:. В каждом подкаталоге он создает по файлу

Desktop_.ini

которому присваивает атрибуты "скрытый", "системный", "архивный" и "только для чтения". В этот файл он записывает текущую дату в формате [год]-[месяц]-[день]. Когда текущая дата изменяется, вирус перезаписывает содержимое файлов Desktop_.ini.
Однако вирус не создает данные файлы в корнях дисков, а также в тех каталогах, имена которых соответствуют одному из нижеприведенных:

WINDOWSRecycled
Internet Explorer
InstallShield Installation Information
WINNTWindows NTNetMeetingMSN
system32WindowsUpdateCommon FilesMicrosoft Frontpage
Documents and SettingsWindows Media PlayerComPlus ApplicationsMovie Maker
System Volume InformationOutlook ExpressMessengerMSN Gamin Zone

Также он случайным образом ищет в подкаталогах, содержащих файлы
Desktop_.ini, случайное количество HTML-документов, файлы которых имеют одно из следующих расширений:

htmasp
jsp
htmlphpaspx

При обнаружении таковых червь расшифровывает и считывает из своего кода вредоносный скрипт, выполненный в формате HTML, и проверяет наличие кода этого скрипта в обнаруженных HTML-документах. Если код найден, то, следовательно, файл уже заражен; если же нет, то вирус дописывает скрипт в конец заражаемого файла, добавляется пустая строка.
При запуске зараженного файла, параллельно с открытием его оригинального содержимого, вэб-броузер, установленный в системе "по умолчанию", скрытно от глаз пользователя пытается загрузить ссылку (фрагменты заменены символами "%" по соображениям безопасности):

http://ww.v%ph.net/wu%%n/down.htm

При наличии активного подключения к сети Интернет, по данной ссылке в ПК скрытно загружается и запускается на выполнение вредоносная программа.
При отсутствии активного подключения к сети Интернет вредоносный скрипт никакой опасности не представляет.

7. Прочее.

Вирус удаляет на диске, на который в ПК установлена ОС Windows, скрытый системный каталог Recycled. Этот каталог используется системой как хранилище копий удаленных пользователем файлов, поэтому он подвязан к ярлыку "Корзина" на Рабочем столе. Однако вирус создает вместо него скрытый каталог RECYCLER, который регистрирует в системе, подвязывая его к ярлыку "Корзина".
В ходе своей "деятельности" червь может создавать служебный файл

C:\
test.txt

Файл червя не содержит информационной секции, а его иконка при просмотре в Проводнике выглядит следующим образом:



8. Дэтэктирование и удаление вируса из машины и с СНИ.

На данный момент вирус Win32.ChinaWorm.II уже дэтэктируется антивирусами под следующими номенклатурными названиями:

Антивирус DrWeb:
файл
autorun.inf: Win32.HLLW.Autoruner.461
файл
setup.exe (GameSetup.exe, spoclsv.exe): Win32.HLLP.Whboy
зараженные HTML-документы:
Win32.HLLW.Whboy (лечит файлы)

Для удаления всех вирусных копий, лечения зараженных HTML-документов, а также устранения проблемы, связанной с блокировкой некорректно вылеченных носителей при обращении к ним через Проводник, я рекомендую Вам проделать следующее:

- проверьте ПК установленной на нем антивирусной программой;
- в случае обнаружения вируса, отключите все сетевые подключения, закройте все открытые окна Проводника, после чего при помощи Диспетчера задач завершите вредоносный процесс
spoclsv.exe (не перепутайте с системным процессом spoolsv.exe);
- используя программу Total Commander (предварительно включив поддержку просмотра скрытых/системных папок и файлов) или Far Manager, удалите со всех дисков ПК, а также с подключенных к нему СНИ, вредоносные файлы в корневых каталогах, а также системных подкаталогах:

%drivename%\
autorun.inf
%drivename%\
setup.exe
%drivename%\
GameSetup.exe
%drivename%\Documents and Settings\All Users\Start Menu\Programs\Startup\
GameSetup.exe
%windir%\Start Menu\Programs\Startup\
GameSetup.exe
%windir%\Profiles\All Users\Start Menu\Programs\Startup\
GameSetup.exe
%windir%\System32\drivers\
spoclsv.exe

Если не удалить из корневых каталогов дисков файл-дроппер
autorun.inf, то при прямом обращении к ним через Проводник на экране появится одно из следующих окон, что зависит от версии Windows, установленных пакетов обновления и критических "заплаток" для модулей системного ядра:



или:



После очистки от вируса ПК необходимо перезагрузить, USB Flash - до момента их отключения, т.е. достаточно просто вынуть из разъема заблокированную флэшку и вставить ее снова - блокировка пропадет. Это обусловлено использованием специальных потоков данных и некоторых временных ключей реестра.

- для разблокировки измененной вирусом настройки, связанной с показом в Проводнике скрытых/системных файлов и папок, а также для просмотра данных типов объектов, Вы можете воспользоваться соответствующей утилитой из спец. набора от VirusHunter'а, который можно
скачать здесь.

Все созданные вирусом файлы
Desktop_.ini можно выявить через системный поиск и удалить. Ключ реестра, созданный вирусом для автозапуска своей копии spoclsv.exe при каждом старте системы, можно не удалять.

С учетом потенциальной опасности, которую несет неконтролируемое считывание системой данных из вредоносных файлов
autorun.inf, для пользователей Windows XP была разработана специальная утилита, выгружающая из системной памяти потоки данных, связанные со считыванием и выполнением инструкций из файлов autorun.inf. Данная утилита также добавлена в спец. набор от VirusHunter'а. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя, поскольку ее работоспособность зависит от некоторых системных условий.

Также для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, Вы можете воспользоваться утилитой STSS от VirusHunter'а, которую можно
скачать здесь.

Взято с http://www.daxa.com.ua

Категория: Компьютерные вирусы | Добавил: doc (03.05.2008) | Автор: Бройде Герман (aka VirusHunter)
Просмотров: 4532 | Рейтинг: 5.0/2 |

Всего комментариев: 0

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа

Поиск
Друзья сайта
www.work-zilla.com
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0


Copyright MyCorp © 2024
Бесплатный хостинг uCoz