Страницы

TROJAN.WIN32.MIDGARE.UIK ОН ЖЕ WIN32.HLLW.AUTORUNER.4065 ИЛИ ДЕТСКОЕ ИСПОЛНЕНИЕ ЧЕРВЯ.



Недавно при профилактическом осмотре флешки своего отца, наткнулся на такого зверька :) Искал описание в нэте так и не нашел, сигнатуры в АВ компаниях есть, а вот описания нет :) Решил я написать свое. Поставил на 6 гигобайтный винчестер WinXP SP3 Высадил зверюгу на рабочий стол, и запустил :) Исследование началось :)
После запуска червя, через минуту на разделах жесткого диска появились нулевые файлы (пустые) с атрибутами скрытый, системный под названием "khr" я так понял червь использует их как метки. На флеш накопителе присоедененном в это время к компьютеру, в корне появляется два новых друга, файл с расширением .EXE под случайным названием, в моем случае vskjwg.exe и файл запуска вируса Autorun.inf с таким содержанием :




;lbRdhnpGOsmGAIuDqxMFqRfhiIokdetbnUlltPynqPqErpCpnvwdKgtsvXjAoHV
[AutoRun]
;nWDGCPBLjv
open=vskjwg.exe
;xrCVPWvaox
shell\open\Command=vskjwg.exe
;UBxzqiWYHYMgWreOmvxclcJQRLHWIZUNIXNeY
shell\open\Default=1
;45F27A231FB0BAE1D81F012F0B31BEDF8FFB0FECB727D2C7BFC81571
;ABsMSoHWZyxwuyWZsygVrvCSPFMvIYkPXGJdhyTSPNFSrRuZPet
shell\explore\Command=vskjwg.exe
;sBbuKjWFcGgZRCvRBHcWjLlzJHHBTWxgbQPhrPmKQzybXyocaOMQ

если убрать весь мусор то получится вот такая инструкция Autorun.inf

[AutoRun]
open=vskjwg.exe
shell\open\Command=vskjwg.exe
shell\open\Default=1
shell\explore\Command=vskjwg.exe

При открытии флеш накопителя двойным щелчком (если не отключен автозапуск со сьемных носителей) открывается второе окно эксплорера, вместо того в котором открывали. Это говорит о том что сработал файл запуска вируса Autorun.inf и соответственно запустил сам вирус vskjwg.exe На разделы жестких дисков червь не копируется, так как в корне каждого раздела жесткого диска имеются файлы метки "khr" нулевого содержания. Далее червь копирует свою копию в директорию system32 под названием csrcs.exe с атрибутами скрытый системный, и файл запуска червя Autorun.inf также с атрибутами скрытый системный(одно не понятно какого сцуко хрена в папке system32 файл запуска Autorun.inf делает?) Далее этот засранец прописывается в реестр для успешного запуска вместе с операционной системой.
Запуск себе обеспечивает данный зверь в ветках реестра по адресам: HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe csrcs.exe т.е. запускается вместе с эксплорером, соответственно это значение нужно изменить на, просто Explorer.exe но только после лечения :) После того как мы найдем все вредоносные .EXE :) тогда начнем и реестр чистить :)
И второй ключ запуска HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, csrcs.exe

В процессах появляется новый процесс, "csrcs.exe" запущеный от текущей учетной записи, и очень созвучно похожий на системный процесс под названием "csrss.exe" Данный процесс на тестируемом компьютере (мать-i815 ЦП Celeron-800 Mhz :) ) загружает ЦП каждые 2 секунды от 30-75% мощности. Кстатии этот процесс, просто снимается в диспетчере задач и не запускается, соответственно до следуйщего перезапуска системы, но до следуйщего перезапуска он сцуко уже не доживет :) Также данный червячок, делает показ скрытых системных файлов невозможным, НО! если в настройках папки по адресу Сервис>Свойства папки>вкладка Вид>"ВКЛЮЧИТЬ ПОКАЗ СКРЫТЫХ СИСТЕМНЫХ ФАЙЛОВ" "ОТОБРАЖАТЬ СОДЕРЖИМОЕ СИСТЕМНЫХ ПАПОК" отжать галку "СКРЫВАТЬ ЗАЩИЩЕННЫЕ СИСТЕМНЫЕ ФАЙЛЫ" нажать "Применить" "ОК" и не выходя из этой папки или раздела диска, будут видны скрытые системные файлы , но как только Вы выходите из раздела или папки, настройки становятся обратно на запрет показа скрытых файлов. Считаю глупо, с помощью реестра можно было бы вообще запретить показ скрытых файлов при любых настройках, но статья не о том :)

Файл червя достаточно велик 420,518 kb. что возможно означает что он работает с сетью.
Так и окозалось :) При подключении к сети и выходе в интернет данный зверек начинает активно так подключаться по TCP к следуйщим IP и портам:

66.186.60.146 к порту 80
78.159.124.139 к порту 80
72.233.89.200 к порту 80

66.186.60.146 US UNITED STATES CALIFORNIA ORANGE VPLS INC. D/B/A KRYPT TECHNOLOGIE

78.159.124.139 RU RUSSIAN FEDERATION - - RUSTELEKOM LLC. OBSHESTVO S OGRANICHENNOJ OTVETSTVENNOSTJU RUSTELEKOM

72.233.89.200 US UNITED STATES TEXAS PLANO LAYERED TECHNOLOGIES INC

ЛЕЧЕНИЕ:
Отключаем восстановление системы!

Отключаем сеть! (выдергиваем сетевой кабель из карты)

Удаляем все точки восстановления системы.

Качаем с сайта Кассперского архив с файлом реестра, для отключения автозапуска с флешек Sality_RegKeys.zip В архиве вам нужен файл под названием Disable autorun.reg
нажимаем на него двойным кликом, и соглашаемся с внесением изменений в реестр системы, нажатием на кнопку ОК После этого обязательно перезагружаем систему!!!

Присоеденяем флешки к компьютеру, которые как Вы думаете могут быть заражены.

Завершаем в ручную в диспетчере задач процесс csrcs.exe Иначе не даст себя удалить в папке \system32

Удаляем файлы csrcs.exe и Autorun.inf по адресу Windows\system32\
так как отображение скрытых системных файлов заблокировано, создаем RARовский архив например на рабочем столе, и открываем в нем папку system32 находим вышеуказанные файлы и в нем удаляем.

С того же архива заходим на каждый раздел жесткого диска и удаляем файлы под названием "khr"

Далее открываем с архива флешку, и смотрим ее на предмет зараженности.

Ищем и удаляем в корне флеш накопителя файл запуска вируса Autorun.inf
Ищем и удаляем в корне флеш накопителя файл наподобии vskjwg.exe (случайное имя.ехе)

Правим ключи реестра которые изменил червь:

HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на

HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe) далее

HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, csrcs.exe
Удаляем в каталоге Run ключ запуска csrcs.exe

Если не почистить реестр, будут кумарить сообщения при старте системы что то типа "СИСТЕМЕ НЕ УДАЛОСЬ НАЙТИ ФАЙЛ CSRCS.EXE"

И последний штрих, восстанавливаем отображение скрытых и системных файлов:
Качаем утилиту AVZ 4.3
Запускаем ее, и далее идем по пути >файл>восстановление системы>ставим галочку на пункте №8 и нажимаем "Выполнить отмеченные операции" дожидаемся окончания выполнения задачи, закрываем программу.
Перезагружаем операционную систему.
Создаем новую точку восстановления системы.
Все система чиста!

Профилактика:
Просто скачайте и установите в систему и на флеш накопители мою последнюю версию комплексной защиты против вирусов типа Autoruner ЗДЕСЬ ЗДЕСЬ и ЗДЕСЬ
К слову данный троян, ломает зубы об мою защиту, атрибуты скрытый системный снимает с защитной папки Autorun.inf а вот удалить ее не может :) копирует на флешку только себя, но толку? Заразить он уже не сможет систему без файла запуска, он будет просто тихонечко лежать до ближайшего антивируса :)

Профилактика для скептиков ЗДЕСЬ :)


© Нестеров Игорь Владимирович 2009 год

8 комментариев:

Unknown комментирует...

Ха... Не плохо... :) Че за чайники :)))

А чем пользовался при анализе системы?

Мои инструменты обычно AVZ, AVP Tool, Process Explorer и еще штуки 3, только не могу вспомнить щас названия. Ну а в более тяжелых ситуациях исследую систему через линукс, либо спец. дистры линукса для форензики заточенные.

F@got@dmin комментирует...

Здравствуй Angel 2S2 :) Давно тебя не читал на страницах моего блога :)
Да, меня удивило, что достаточно распостраненный червь имеет достаточно детское исполнение :)
При анализе использовал следующий набор:
1) Опыт
2) AVZ_4.3
3) Dr.Web Cureit!
4) regedit
5) архиватор RAR (для показа скрытых файлов)
6) Procmon

В тяжелых случаях использую Live CD
заточеный под конкретный случай, с нужным набором софта.

Unknown комментирует...

В общем у нас подход почти одинаковый :)
Ну, а опыт это естественно прежде всего :) Куда же без него, вот и не стал упоминать его ;)

На счет опыта был случай у меня такой:
Админ-коллега из Питера, новичок в компах еще тот, попросил пояснить как я с вирусами борюсь. Ну я уме рассказал все да более-менее подробно. Она меня в ответ еще и кучкой вопросов накрыл. Ответил. Через 3 дня узнаю, что он умудрился винду снести вычищая вирусы...
Вот и говорю, что без опыта никуда :)))



ЗЫЖ Ты в аську то хоть отвечай ;) а то я тебе уже раз 5 писал и ни слух ни духу...

F@got@dmin комментирует...

To Angel 2S2
Я в асе почти каждый день, ну может на выходных не быть, а так каждый будний день :) Не знаю почему ты до меня не можешь достучаться, может не туда стучишь?? Мой номер 209-371 Давай на неделе, спишемся :)
А новичков коллег нужно учить :) так сказать подрастающее поколение :) Тебе хоть есть кому опыт передать :) а мне некому, вот блог смастерил :) когда есть время некоторые материалы выкладываю в нем :) Делюсь опытом со всеми :)

Unknown комментирует...

Да, я заметил, что ты почти каждый день в сети, в общем как и я. Просто когда писал ты не отвечал (может спам бот резал...). Но теперь списались, Ураааааа :)

Да, новичков надо учить, с этим полностью согласен. Но те коллеги, что есть они все из других городов, не так то и просто их учить. А те знакомые компьютерщики, что в моем городе, почти все мои "ученики" (ну не полностью я их учил, но во много помогал разбираться и знаний набираться). Не редко бывает так: нужно совета попросить, да не у кого :)))

Димка комментирует...

Вот кроме рапиды бы еще куда-нибудь файлик выложили..

F@got@dmin комментирует...

Уважаемый Димка по вашей просьбе добавил вторую ссылку для скачивания комплексной защиты от вирусов типа Autoruner, на Letetbit.

Анонимный комментирует...

Содержание ваша порядком сложная ради новичка.