Страницы

CSRCS.EXE ОНЖЕ PACKED.WIN32.KLONE.bj (Kaspersky) ОНЖЕ WIN32.HLLW.AUTOHIT.3438 (DrWeb)











Win32/Packed.Autoit.Gen NOD32
Packed.Win32.Klone.bj Kaspersky
Win32.HLLW.Autohit.3438 DrWeb

Вес 484 КБ (495 410 байт)
MD5 b9768f238205fc347a914562762cd27f
Упаковщик UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo


При запуске с инфицированной флешки червь копирует свои файлы в директорию System32\ с атрибутами скрытый системный:

csrcs.exe
autorun.i
autorun.in

C:\Documents and Settings\All Users\Документы\

(random_name.exe) uawdmt.exe

Метка вируса, файл нулевой длинны "kht" с атрибутами скрытый системный.


Запрещает отображение скрытых файлов.

Запуск с системой обеспечивает себе с помощью ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe csrcs.exe

Создает файлы метки в корне локальных дисков, файлы нулевой длинны (пустые) под названием "kht"

При наличии соединения с "Internet" связывается по следующему адресу:

Порт жертвы_________IP_________Удаленный порт
___2404________72.233.89.200 ____________80________

72.233.89.200 - US UNITED STATES US TEXAS PLANO LAYERED TECHNOLOGIES INC

Ссылка на описание IP

Расспостраняется по сети посредством сканирования удаленных хостов и наличия на них открытого tcp\445 порта.

При присоеденении "чистого" USB Flash-накопителя, копирует свое тело и файл запуска (random_name.exe) uawdmt.exe и Autorun.inf в корень USB-Flash

Инструкция автозапуска червя Autorun.inf:

************************************************************************
;nGIhYSFJxybXZUgAzTTIPCLCIPdQJtnGTdRrVRRxZFFdCvfGrHovnoZmA
;avfzViKVKrqDjrblAtaISvvQCGKwNxgMKFUZuBoFfewDQUEULebsABNhamzMiYidXVbcxKohg
;jteFHSalaBBxLniLxYKsRJVoQjThCnZjHhiJvzJWJBMUet
;SleBPbOpmCZMiQNYhBRYMyoUcj
[AutoRun]
;NtgFwopIIHLrGwnMWDiwTbxkOiDdsmUubBFayrFZFgrpgpzAUFApYmqWGGwruoczJIBz
;fbvpvmLmpleOCBKMSZQJxxWVlLnjDmRRQP
;xwfJnHQjYyGrRPlaSpVOUmSPczrXcmgnnlClrTKnoTJCXgBryLUOfhjGbUENV
;45F27A231FB2BAE1D81E002D083DBEAA8E8A0EE9B727D2C7BFC81571
;NQHYzB
open=uawdmt.exe
;bMxdnLDRIKtqkRAHIeUFagIcAsLlKyIBFdyYpRBnPkTPDWRJaSZKxQAYazTQcQRr
;vsYg
;TqGhBsLBrStLGCtbeyyOVMpWWHdugbvDcYUnsfFLQYuqs
Icon=%system%\shell32.dll,7
UseAutoPlay=1
action=Open Drive
;KqDKAXtQKajxUqCRPKrtxkevrcWLFuCWImQLigbV
;DhPZGrzvlONUwVCWFakXdsNzBilsmEWoOQTaQBiPVTALhDQIaeWqWIE
;mYaeuOdjVGCzavNk
action= @uawdmt.exe
;NolrtTegEJquwyWhemNdhMKKHUOL
;huozspcPTFrxsfIFiOLAcikTCPRQtYCXDAxwlwxskdeyPE
shell\open\Command=uawdmt.exe
;cWupueuWglMeftJKwSRowqRnWN
;sMxiozuaDpZQfGQMWBRktEAIZhlqKUxyGwgoXFqhmCuwtGOoEicTAmIqZVqgbrjssViFhNw
;OaLZpYJEfqYrOzAMAShqYhGOCUYhpfjTFlVdjOlQKPXMzOtaqfLreFwplqoe
;GEfxxrYjboRMftpZgOLpSeSfNqdYDPWNOfqOilc
;bnxttuoleLlFCnCyvsOt
;MxbSXjzuGzlWlfbWktFoRF
shell\open\Default=1
shell\explore\Command=uawdmt.exe
;xayyEXiYrohDOELQsqKnLjpPsnhEHnOcOMbGNYjOm
**********************************************************************

Если убрать мусор то получается вот такая инструкция автозапуска:

[AutoRun]
open=uawdmt.exe
Icon=%system%\shell32.dll,7
UseAutoPlay=1
action=Open Drive
action= @uawdmt.exe
shell\open\Command=uawdmt.exe
shell\open\Default=1
shell\explore\Command=uawdmt.exe

Интересная особенность:

Если запустить файл червя на выполнение например на рабочем столе, то инсталляция в систему не произойдет, а если запустить файл червя на самой флешке, то начнется инсталляция червя в систему. Я так понимаю некая система безопасности (что б не сразу вычислили :) )

ЛЕЧЕНИЕ:

1) Отключаем сеть! (выдергиваем сетевой кабель из карты)

2) Отключаем восстановление системы идем по пути ПУСК>СВОЙСТВА МОЙ КОМПЬЮТЕР>ВКЛАДКА ВОССТАНОВЛЕНИЕ СИСТЕМЫ>СТАВИМ ГАЛКУ НА "ОТКЛЮЧИТЬ ВОССТАНОВЛЕНИЕ СИСТЕМЫ НА ВСЕХ ДИСКАХ" нажимаем ОК

3) Завершаем в ручную в "Диспетчере задач" процесс "csrcs.exe" Иначе не даст себя удалить в папке \system32














4) Так как отображение скрытых файлов заблокированно червем, нужно это дело восстановить. Качаем AVZ 4.3

Запускаем ее, далее кликаем > файл>восстановление системы>ставим галочку на пункте №8 и нажимаем "Выполнить отмеченные операции" дожидаемся окончания выполнения задачи, закрываем программу.

Отображение скрытых файлов восстановлено.

5) Далее заходим в любую папку, кликаем сервис > свойства папки > вкладка "Вид" ставим галку на "Отображать содержимое системных папок" > убираем галку на "Скрывать защищенные системные файлы" > ставим галку на "Показывать скрытые файлы и папки" > убираем галку на "Скрывать расширения для зарегестрированных типов файлов" и нажимаем "ОК" Теперь мы видим срытые файлы и системные папки.

6) Идем по пути Пуск>Мой компьютер>Локальный диск С:\WINDOWS\system32\
Находим и удаляем файл червя csrcs.exe (не перепутайте с csrss.exe это системный файл!!)

















7) Удаляем все точки восстановления системы (Загружаемся из под Windows Live CD Качаем например Hiren's BootCD 9.9 в нем есть Windows Live CD При загрузке Hiren'sa его можно выбрать для запуска, на мой взгляд самый быстрый. После загрузки Windows Live CD заходим в корень каждого локального диска в папку "System Volume Information" и полностью удаляем содержимое папки)

8) Далее качаем файл реестра, для отключения автозапуска с флешек ЗДЕСЬ Нажимаем на него двойным кликом, и соглашаемся с внесением изменений в реестр системы нажатием на кнопку "ОК" После этого обязательно перезагружаем систему!!!

9) Присоединяем флешки к компьютеру, которые как Вы думаете могут быть заражены.

10) Открываем флешку, и смотрим ее на предмет зараженности.

Ищем и удаляем в корне флеш накопителя файл запуска вируса "Autorun.inf"

Ищем и удаляем в корне флеш накопителя файл наподобии "uawdmt.exe" (случайное имя.ехе)

11) Заходим на каждый раздел жесткого диска и удаляем файлы под названием "kht"

12) Далее правим ключи реестра которые изменил червь:

HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на

HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe)

Если боитесь страшного слова "СИСТЕМНЫЙ РЕЕСТР" можете воспользоваться написанным мною скриптом, для восстановления изменений в реестре сделанных червем скачать ЗДЕСЬ

Если не почистить реестр в ручную или не исправить ключ реестра с помощью скрипта то при каждом запуске Windows система будет выдавать сообщение






13) Включаем восстановление системы.

14) Перезагружаем операционную систему.

Все система чиста!

Профилактика:

Просто скачайте и установите в систему и на флеш накопители мою последнюю версию комплексной защиты против вирусов типа Autoruner ЗДЕСЬ

К слову данный червь, ломает зубы об мою защиту! атрибуты скрытый системный снимает с защитной папки Autorun.inf а вот удалить ее не может :) копирует на флешку только себя, но толку? Заразить он уже не сможет систему без файла запуска, он будет просто тихонечко лежать до ближайшего антивируса :)

Профилактика для скептиков относительно моей защиты ЗДЕСЬ :)

© Нестеров Игорь Владимирович 2009 год

14 комментариев:

pavel-rimsky комментирует...

Спасибо дружище, очень подробно!!!
Завтра испытаю на 7-ми компах Kido вчера поборол под вечер эта зараза выплыла. Думаю скошу, я примерно так и планировал поступать, можешь еще добавить в статью чтобы люди отключали адм $ ресурсы тоже полезно.

F@got@dmin комментирует...

To Blogger pavel-rimsky

Да, черви данного семейства для расспотранения по сети используют 445 порт TCP (шары) Но! Насколько Вы знаете админ с пустым паролем по сети на админскую шару не сможет зайти. Нужен пароль, но у большинства он не стоит ))) А у кого стоит пароль, так его еще нужно подобрать, единственное что хочу посоветовать остальным, это ставить хорошие пароли на учетку администратора и гостя, а еще лучше отключить их.

Анонимный комментирует...

Вопрос маленький: после установки иммунизирующего батника на некоторых компах стали менять ся буквы дисков. Меняю их обратно, но после перезагузки системы букыв опять меняются.В чём может быть дело?

F@got@dmin комментирует...

Вопрос маленький: после установки иммунизирующего батника на некоторых компах стали меняться буквы дисков. Меняю их обратно, но после перезагузки системы буквы опять меняются.В чём может быть дело?


Ответ:
Никаких инструкций по постоянному изменению букв, или меток дисков в батниках не используется, это Вы можете просмотреть и сами, код простой. Ищите причину в системе.

Unknown комментирует...

Большое Вам спасибо! Nod32 все проспал, а Avira нашел и удалил, я даже не уловила этого момента до тех пор, пока не увидела это дурацкое окно,а этот чудо скрипт все исправил.

Игроь комментирует...

Прошу помощи. Подципил несколько вирусов , почистил авирой. Осталась проблема белый лист закрывает заставку рабочего стола. Думал на CSRCS.EXE. При запуске системы всплывает окно что виндовс не может его найти. Воспользовался вашим скриптом, для восстановления изменений в рэестре. Окно пропало но лист остался. Делал поиск с учетом скрытых, системних файлов и папок ( в св-ах файлов и папок галочки соответственно) ничего не нашел. Видимо это последствия другого вируса? Под каким именем его найти и где? Или это повреждены файлы системы?

F@got@dmin комментирует...

Ув. Игорь ваш вопрос:
Прошу помощи. Подципил несколько вирусов , почистил авирой. Осталась проблема белый лист закрывает заставку рабочего стола. Думал на CSRCS.EXE. При запуске системы всплывает окно что виндовс не может его найти. Воспользовался вашим скриптом, для восстановления изменений в рэестре. Окно пропало но лист остался. Делал поиск с учетом скрытых, системних файлов и папок ( в св-ах файлов и папок галочки соответственно) ничего не нашел. Видимо это последствия другого вируса? Под каким именем его найти и где? Или это повреждены файлы системы?
Ответ:
Для полного удостоверения что система чиста, просканируйте ее полностью Загрузочным диском от Dr.Web
Опишите более подробно что означает "белый лист закрывает заставку рабочего стола" я не совсем понимаю о чем ВЫ, постарайтесь более детально описать что это именно.
В любом случае для начала полное сканирование с загрузочного диска от Доктор Вэб ссылка на скачку http://www.freedrweb.com/livecd/
О том как им пользоваться если Вы не знаете детально написано в моей статье "Как лечить вирусы или простейший способ лечения вирусов"
Выполните для начала это, потом будем разбираться дальше.

Анонимный комментирует...

Хорошая статья. Действительно было интересно почитать. Не часто такое и встречается та.Наверное стоит подписаться на ваше RSS

Анонимный комментирует...

Всё хорошо. НО...
после установки Autoruner в каждый раздел жесткого диска не запускается вторая операционная система windows xp, стоящая в отдельном разделе жесткого диска.
При запуске этой системы появляется стандартный синий экран с эмблемой Microsoft windows xp professional, но далее всё зависает на этой картинке. При этом на экране есть указатель мыши и больше ничего нельзя сделать. Перегрузить можно только принудительно кнопкой, клавиатура не работает. При этом первая система, тоже windows xp, работает нормально.

F@got@dmin комментирует...

Ув. Аноним более детально опишите суть проблемы, что вы установили, после чего пошел збой загрузки второй оси? Что значит после установки Autoruner в каждый раздел жесткого диска??

Анонимный комментирует...

Жесткий диск разбит на три.
На диске С система работает, а на диске Е начинает загружаться,доходит до синего экрана с эмблемой Microsoft windows xp и всё на этом.
После чистки компа и своих флеш от "CSRCS.EXE", установил защиту, как у вас написано выше, на каждый из трёх разделов жесткого диска то есть С, D и Е. OS - разные. НА С нормально всё, здесь windows xp pro SP3.
На Е - windows xp pro GOLD SP2.

F@got@dmin комментирует...

Какую защиту? "Stop_Flash_infect_For_PC_by_FagotAdmin v1.1" ??

Avol комментирует...

Cбой загрузки второй оси произошел после лечения компа и флеш носителей от вируса “CSRCS.EXE” и установки на комп и на флеш накопители версию комплексной защиты против вирусов типа Autoruner.
После установки Autoruner в каждый раздел жесткого диска – это значит:
Жесткий диск разбит на три раздела (диски С, D, E ).
На диске С всё нормально, на диске Е происходит сбой.
Система начинает грузиться и зависает на синем экране с эмблемой “microsoft windows xp”.
Сборки разные. На С: windows xp professional service pack 3 версия 2002.
На Е: Gold windows xp professional service pack 2.
Всё делал по Вашему описанию с чисткой регистра и т.д.
Регистры чистил вручную, сначала на С, затем заходил с диска Е.
То есть каждая система чистилась отдельно.
Как Вы думаете, в чем здесь дело?

Именно так:
Stop_Flash_infect_For_PC_&_USB_FLash_Drive_by_FagotAdmin v1.1

F@got@dmin комментирует...

Мне кажется что Вы повредили реестр второй оси, именно в разделах

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe

или


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe,


Еще проверьте все ли файлы есть во второй оси для ее загрузки

ntldr
NTDETECT.COM
MSDOS.SYS
IO.SYS

это в корне С:\

Пересмотрите ветки реестра которые вы правили во второй ОС и наличие файлов в корне раздела второй ОС

Если все в порядке то

Далее удали защиту Autoruner, и при загрузке второй ОС попробуй зайди в ее безопасный режим, если же не получится, то попытайся зайти в последнюю нормальную конфигурацию загрузки второй ОС

После этого если дело не поправишь, тогда наверно подключусь удаленно посмотрю сам.