Источником
распространения червя Win32.ChinaWorm.II
могут являться как СНИ, подключаемые к
USB-портам,
так и файло-обменные сети. Файл червя может иметь
различные имена.
Принцип
неконтролируемого запуска вируса при
обращении к файлу autorun.inf
через Проводник основан на свойстве
Windows автоматически считывать и выполнять
инструкции из файлов этого
формата. При подключении
СНИ к ПК под управлением ОС
Windows XP или выше, система открывает содержимое носителя в окне
Проводника. В случае с зараженным
носителем Windows выдает следующее
меню:
Также
в меню выбора способа открытия содержимого
носителя добавляется пункт - "Auto". Все
это происходит потому, что система
воспринимает носитель, содержащий в
своем корне файл autorun.inf,
как загрузочный. %windir%\System32\drivers\spoclsv.exe
Вредоносный файл spoclsv.exe
остается активным вплоть до завершения
работы системы. Для
возможности автоматического запуска
данного файла при каждом последующем
старте Windows в ключах автозапуска
системного реестра создается следующее
значение с ссылкой на файл
spoclsv.exe:
На
протяжении всей работы системы червь
ищет все доступные локальные, сетевые и съемные
диски, пытаясь создавать на них свои
копии. При этом игнорируются как
стационарные, так и съемные дисководы
под флоппи-диски (A: и B:). Поиск осуществляется от
диска C: до Z:, при этом вирус
запоминает все диски, которые являются
съемными. В ходе
заражения червь создает в корне каждого
из обнаруженных дисков, доступных для
записи,
файлы
%drivename%\autorun.inf %drivename%\setup.exe В том случае, если
запись на СНИ заблокирована при помощи
спец. джампера на корпусе флэшки, или
если к ПК подключен,
цифровой фотоаппарат, у которого чтение
производится с внутренней памяти, то при попытках червя заразить
такой носитель будет выдано
системное сообщение об ошибке:
Если
пользователь пытается отключить СНИ в
тот момент, когда зловред осуществляет
заражение последнего, то система выдает следующее:
Для
того, чтобы сделать невозможным просмотр
скрытых и системных файлов на дисках
зараженного ПК через Проводник,
вирус изменяет значение одного из
параметров в ветке
ключей системного реестра
с "1" на
"0":
Изменение
значения данного параметра приводит к
тому, что при попытках пользователя
установить "галочку" на параметре
"Показывать
скрытые файлы и папки"
в свойствах просмотра каталогов через
Проводник, система автоматически
возвращает параметру исходное значение
"Не
показывать скрытые файлы и папки". В
том случае, если вирус обнаруживает в
Сетевом окружении имена др. компьютеров
(т.е. при наличии локальной сети), то в
корне каждого из дисков инфицированного ПК вирус создает и копии
под названием
%drivename%\GameSetup.exe
идентичные
файлам setup.exe. При
заражении сетевых дисков
червь определяет те из них, которые
доступны для записи. Если доступ к общему
сетевому диску закрыт паролем, то вирус
пытается подобрать его, перебирая
варианты из собственного "словаря" 104 варианта: Получив
доступ к сетевым дискам, на которые
разрешена запись данных, вирус создает
в их корнях свои
файлы
Кроме
того, он пытается обнаружить нижеприведенные
системные подкаталоги автозагрузки
программ:
\Documents and Settings\All Users\Start
Menu\Programs\Startup\ \Documents and Settings\All Users\[тот
же путь, но с именами подкаталогов на
китайском языке]\ \WINDOWS\Start
Menu\Programs\Startup\ \WINNT\Profiles\All Users\Start
Menu\Programs\Startup\
Если таковые обнаружены
и открыты для записи, то червь записывает
в них свою копию под названием
GameSetup.exe.
Сразу
после внедрения в систему червь производит
ряд деструктивных действий в отношении
некоторых популярных антивирусов,
программ-отладчиков и межсетевых
экранов. Сначала он пытается принудительно
завершить работу активных процессов,
у которых в заголовках программных окон
присутствует любое из нижеприведенных
названий:
VirusScan
msctls_statusbar32
Ravmond.exe
KVCenter.kxp
NOD32
pjf(ustc)
CCenter.exe
KVSrvXP.exe
Symantec
AntiVirus
IceSword
RavTask.exe
KRegEx.exe
Duba
Mcshield.exe
Rav.exe
UIHost.exe
Windows
VsTskMgr.exe
Ravmon.exe
TrojDie.kxp
esteem procs
naPrdMgr.exe
RavmonD.exe
FrogAgent.exe
System Safety
Monitor
UpdaterUI.exe
RavStub.exe
Logo1_.exe
Wrapped gift Killer
TBMon.exe
KVXP.kxp
Logo_1.exe
Winsock
Expert
scan32.exe
KvMonXP.kxp
Rundl132.exe
Параллельно
с этим он пытается принудительно
завершить активные процессы:
Schedule
KVWSC
McAfeeFramework
ccEvtMgr
sharedaccess
KVSrvXP
McShield
ccSetMgr
RsCCenter
kavsvc
McTaskManager
SPBBCSvc
RsRavMon
AVP
navapsvc
Symantec
Core LC
RsCCenter
kavsvc
wscsvc
NPFMntor
RsRavMon
McAfeeFramework
KPfwSvc
MskService
KVWSC
McShield
SNDSrvc
FireSvc
KVSrvXP
McTaskManager
ccProxy
Кроме
того, чтобы в дальнейшем запуск защитного
ПО был невозможен, вирус удаляет из
ключей реестра следующие
ветки:
Вирус
постоянно просматривает все каталоги
с вложенными в них папками на всех
доступных для записи дисках от C: до Z:.
В каждом подкаталоге он создает по
файлу
Desktop_.ini
которому
присваивает атрибуты "скрытый",
"системный", "архивный" и
"только для чтения". В этот файл он
записывает текущую дату в формате
[год]-[месяц]-[день]. Когда текущая дата изменяется,
вирус перезаписывает содержимое файлов
Desktop_.ini. Однако
вирус не создает данные файлы в корнях
дисков, а также в тех каталогах, имена которых соответствуют
одному из нижеприведенных:
WINDOWS
Recycled
Internet Explorer
InstallShield Installation
Information
WINNT
Windows
NT
NetMeeting
MSN
system32
WindowsUpdate
Common Files
Microsoft Frontpage
Documents
and Settings
Windows Media Player
ComPlus
Applications
Movie Maker
System Volume Information
Outlook
Express
Messenger
MSN Gamin
Zone
Также
он случайным образом ищет в подкаталогах,
содержащих файлы Desktop_.ini,
случайное количество HTML-документов, файлы которых
имеют одно из следующих
расширений:
htm
asp
jsp
html
php
aspx
При
обнаружении таковых червь расшифровывает
и считывает из своего кода
вредоносный скрипт, выполненный в
формате HTML, и проверяет наличие кода
этого скрипта в обнаруженных
HTML-документах. Если код найден, то,
следовательно, файл уже заражен; если
же нет, то вирус дописывает скрипт в
конец заражаемого файла, добавляется пустая
строка. При запуске зараженного
файла, параллельно с открытием его
оригинального содержимого, вэб-броузер,
установленный в системе "по умолчанию",
скрытно от глаз пользователя пытается
загрузить ссылку (фрагменты
заменены символами "%" по
соображениям
безопасности):
http://ww.v%ph.net/wu%%n/down.htm
При
наличии активного подключения к сети
Интернет, по данной ссылке в ПК
скрытно загружается и запускается на
выполнение вредоносная программа. При отсутствии
активного подключения к сети Интернет
вредоносный скрипт никакой опасности
не представляет.
7.
Прочее.
Вирус
удаляет на диске, на который в ПК
установлена ОС Windows, скрытый системный
каталог Recycled.
Этот каталог используется системой как
хранилище копий удаленных пользователем
файлов, поэтому он подвязан к ярлыку
"Корзина" на Рабочем столе. Однако
вирус создает вместо него скрытый
каталог RECYCLER,
который регистрирует в системе, подвязывая
его к ярлыку "Корзина". В
ходе своей "деятельности" червь
может создавать служебный
файл
C:\test.txt
Файл
червя не содержит информационной секции,
а его иконка при просмотре в Проводнике
выглядит следующим образом:
8.
Дэтэктирование и удаление вируса из
машины и с СНИ.
На
данный момент вирус Win32.ChinaWorm.II
уже дэтэктируется антивирусами под
следующими номенклатурными
названиями:
Для удаления всех
вирусных копий, лечения зараженных
HTML-документов, а также устранения
проблемы, связанной с блокировкой
некорректно вылеченных носителей при
обращении к ним через Проводник, я
рекомендую Вам проделать следующее:
-
проверьте ПК установленной на
нем антивирусной программой; - в
случае обнаружения вируса, отключите
все сетевые подключения, закройте все открытые окна
Проводника, после чего при помощи
Диспетчера задач завершите вредоносный
процесс spoclsv.exe
(не перепутайте с системным процессом
spoolsv.exe); -
используя программу Total Commander (предварительно
включив поддержку просмотра
скрытых/системных папок и файлов) или
Far Manager, удалите со всех дисков ПК,
а также с подключенных к нему СНИ,
вредоносные файлы в корневых каталогах,
а также системных
подкаталогах:
Если
не удалить из корневых каталогов дисков
файл-дроппер autorun.inf,
то при прямом обращении к ним через
Проводник на экране появится одно из следующих
окон, что зависит от версии Windows,
установленных пакетов обновления и
критических "заплаток" для модулей
системного ядра:
или:
После
очистки от вируса ПК необходимо
перезагрузить, USB Flash - до момента их
отключения, т.е. достаточно просто вынуть
из разъема заблокированную флэшку и
вставить ее снова - блокировка пропадет.
Это обусловлено использованием
специальных потоков данных и некоторых
временных ключей реестра.
- для
разблокировки измененной вирусом
настройки, связанной с показом в
Проводнике скрытых/системных файлов и
папок, а также для просмотра данных
типов объектов, Вы можете воспользоваться
соответствующей утилитой из спец. набора
от VirusHunter'а, который можно скачать
здесь.
Все
созданные вирусом файлы Desktop_.ini
можно выявить через системный поиск и
удалить. Ключ реестра, созданный вирусом
для автозапуска своей копии spoclsv.exe
при каждом старте системы, можно не
удалять.
С учетом потенциальной
опасности, которую несет неконтролируемое
считывание системой данных из вредоносных
файлов autorun.inf,
для пользователей Windows XP была разработана
специальная
утилита,
выгружающая из системной памяти потоки
данных, связанные со считыванием и
выполнением инструкций из файлов
autorun.inf.
Данная утилита также добавлена в спец.
набор от VirusHunter'а. Перед использованием
утилиты настоятельно рекомендую
прочитать прилагаемое к набору руководство
пользователя, поскольку ее работоспособность
зависит от некоторых системных
условий.
Также для обнаружения в
будущем как известных, так и еще
неизвестных вариантов скрипт-троянцев, Вы можете воспользоваться
утилитой STSS от
VirusHunter'а, которую можно скачать
здесь.