TROJAN-DOWNLOADER.WIN32.VB.hkq ОН ЖЕ WIN32.FLYSTUDIO.NNJ

















В последнее время все чаще на флешках клиентов (да и на работе) я начал встречать
Trojan-Downloader.Win32.VB.hkq (Кассперски) он же
Win32.HLLW.Autoruner.2855 (Dr.Web) он же
Win32.FlyStudio.NNJ (NOD32)

Не знаю как по миру или СНГ, но в городе котором я живу он распостранился достаточно сильно. Решил поискать толковое описание на него, но не тут то было! Как всегда в сигнатурах антивирусных компаний он есть, а вот толкового описания как всегда нет, и появится оно как всегда, наверно через пару лет :)
Попутно в сети видел даже такие бредовые названия постов по типу "Троян преобразующий папки в .ехе" :) Вот и решил я в очередной раз сделать свое описание :) думаю получится ничем не хуже чем у антивирусных компаний, хотя конечно же, судить вам мои читатели :) Установил я на тестовый винчестер Windows SP-3 высадил зверюгу на рабочий стол, запустил его, итак приступим...
Сразу же после его запуска мне высветилась таблица проводника






Думаю в чем загвоздка, и тут меня осенило :) Создал рядом с файлом трояна каталог (папку) с таким же названием, и снова нажал на трояна, открылся созданный каталог :) принцип понемногу мне начал становится понятен. Подключил флешку. Через минуту троян скрыл некоторые мои папки, и создал свои копии ".EXE" с иконкой папки, и названием моих папок, которые он скрыл. При нажатии на файл трояна с иконкой папки "Фото.exe" открылась моя скрытая папка с фотографиями под названием "Фото" :) Теперь принцип роботы и заражения мне стал полностью понятен!

Обьяснение принципа работы трояна

Заражая флешку, он скрывает например папку под названием "Фото" с фотографиями пользователя, создает свой файл трояна под названием "фото.exe" когда пользователь нажимает на "фото.exe" (думая что он нажимает на свою папку) троян открывает папку пользователя под названием "фото" которую он скрыл. Таким образом пользователь не подозревает о подвохе и заражении системы. По умолчанию насколько Вы знаете показ срытых файлов и расширения для зарегистрированных типов файлов в Windows скрыт, поэтому пользователь нажимая на файл трояна с иконкой папки и названием папки пользователя, ни о чем не подозревает (нажимая на то что мы привыкли видеть папкой мы всегда как правило привыкли что это папка, а не ".exe" файл логично? Тем более с тем названием которое мы дали ей сами)

Далее я приведу техническое описание о работе данного трояна, лечении ОС и флешки.

При запуске файла трояна он сразу копируется в директорию \ system32 с атрибутами скрытый, по адресу C:\Windows\system32\ название файла трояна XP-C8544A34.EXE или XP-9ED95EA3.EXE или XP-9B941947.EXE или XP-9FB9279E.EXE Названия случайны, могут отличаться, но! На подобии этих! Смотрите внимательно! Например: XP-C8544A34.EXE Т.Е. начало XP- далее случайный набор 8 ми латинских букв и цифр C8544A34 и расширение файла .EXE Далее для примера, файл трояна я буду называть XP-C8544A34.EXE потому как он под таким названием скопиравался мне в систему. Хочу сказать что в папке \system32 такого типа названия файлов ".exe" нет! Поэтому не бойтесь удалить что то серьезное :) К тому же не забывайте, этот файл трояна имеет иконку папки! Поэтому Вы не ошибетесь при удалении, если название файла будет наподобие XP-C8544A34.EXE и иконкой папки!
Вес трояна 1,223 КБ. Флешка заражается в момент присоединения ее к инфицированному компьютеру. Троян на флешке выборочно скрывает некоторые папки пользователя, и копирует свои файлы с расширением ".exe" с иконкой папки и названием той папки которую он скрыл + троян копирует на флеш еще один скрытый файл "себя" под названием Recycled.exe который имеет иконку папки (так что не забутье удалить еще и этот файл) В диспетчере приложений появляется новый процесс:
















В реестре делает следующие изменения:

Изменения в реестре настолько не критичны, что можно даже не лезть в реестр и не удалять эти ключи. Если для вас это принципиально важно, то эти ключи можно просто убрать утилитой CCleaner или альтернативной "чистилкой " реестра, но после удаления файла трояна из системы.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XP-C8544A34 = C:\WINDOWS\system32\XP-C8544A34.EXE


HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\g = C:\WINDOWS\system32\XP-C8544A34.EXE


HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\EXE\a = C:\WINDOWS\system32\XP-C8544A34.EXE


HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\XP-C8544A34.EXE =


HKEY_USERS\S-1-5-21-1957994488-764733703-1060284298-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\g = C:\WINDOWS\system32\XP-C8544A34.EXE

HKEY_USERS\S-1-5-21-1957994488-764733703-1060284298-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\EXE\a = C:\WINDOWS\system32\XP-C8544A34.EXE

HKEY_USERS\S-1-5-21-1957994488-764733703-1060284298-500\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\XP-C8544A34.EXE =

При наличии интернет соединения активно соединяется через ниже приведенные IP адреса и порты.











Запуск себя вместе с системой он себе обеспечивает с помощью ключа реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XP-C8544A34

А также размещает свой ярлык в папке Автозагрузка.


ЛЕЧЕНИЕ

ЛЕЧЕНИЕ: ОС

1) Отключаем восстановление системы!

2) Отключаем сеть! (выдергиваем сетевой кабель из карты)

3) Удаляем все точки восстановления системы.

4) Заходим в любую папку, кликаем сервис > свойства папки > вкладка "Вид" ставим галку на "Отображать содержимое системных папок" > убираем галку на "Скрывать защищенные системные файлы" > ставим галку на "Показывать скрытые файлы и папки" > убираем галку на "Скрывать расширения для зарегестрированных типов файлов" и нажимаем "ОК"

5) Завершаем в ручную в диспетчере задач процесс XP-C8544A34.EXE Иначе не даст себя удалить в папке \system32 Возможно таких процессов будет несколько, заканчиваем все (возможен глюк в работе трояна)

6) Удаляем файл XP-C8544A34.EXE по адресу С:\Windows\system32\ (файл трояна находится почти в самом низу)

7) ОС чиста.

ЛЕЧЕНИЕ: Флеш

1) Присоединяем флешки к компьютеру, которые как Вы думаете могут быть заражены (проверяем все флешки в вашем наличии)

Троян не ставит на запрет показ скрытых файлов и запрет на просмотр расширения файла. Поэтому почистить флешку можно и в ручную (без антивирусных программ) разрешив при этом показ срытых файлов и расширения для зарегестрированных типов файлов в сервисе папки (что мы уже с вами сделали)

Чситим флешку

Далее от вас требуется только внимание, внимание, и еще раз внимание!! Никаких спец навыков и знаний!

2) Открываем флешку привычным нам способом через "Мой компьютер"
Для того что б вам было удобнее чистить флешку необходимо, когда Вы зашли на флеш, сделать в ней вид папки "таблицей"

3) Ищем полупрозрачный (скрытый) файл с названием Recycled расширением ".exe" и иконкой папки, удаляем через Shift+Del








4) Далее Ищем все полупрозрачные папки (скрытые) Записываем их название на бумажку. Как понять что это папка а не файл? Просто! Присмотритесь внимательно, напротив нее написано "Папка с файлами" :)








5) Дальше ищем файлы с иконкой папки, расширением .exe и названием тех полупрозрачных папок (скрытых) название которых Вы записали на бумагу. Нашли? удаляем их через Shift+Del Боитесь что удаляете ваши папки с информацией? Присмотритесь в конце названия "папки" идет ".exe" и надпись напротив нее "Приложение" это исполнительный файл трояна, а не папка, удаляем!











Вот так в общем то без антивирусных утилит мы с вами почистили систему и флешку от трояна. Если Вы все сделали как написано, и почистили все от заразы, можете собой гордится Вы вступили в ряды борцов с компьютерной нечистью! Если переживаете все таки, что возможно Вы что то пропустили, скачайте Dr.Web Cureit! и просканируйте полностью систему со всеми флешками что у вас есть в наличии. В настройках Dr.Web Cureit! в окне сканера поставьте точку "Полное сканирование" а в настройках сканера выставьте "инфецированное > удалить" в этом случае такую настройку можно спокойно ставить. Если у вас возникнут вопросы то воспользуйтесь в блоге новым сервисом прямой связи со мной, или оставьте комментарий на который я всегда отвечу.

© Нестеров Игорь Владимирович 2009 год

9 комментариев:

Unknown комментирует...

статья классная, узнал все что надо, только такое пожеланиме если не трудно можешь сделать такой же тыест в Windows Seven

F@got@dmin комментирует...

Алексей! Спасибо за рецензию :) Но к сожалению пока не имею такой возможности.

Unknown комментирует...

Статья очень полезная для новичков и расписано все подробно... Хотел и сам писать что-то подобное, да уже видимо не буду, у вас и так все подробно расписано
Попадись эта статья мне раньше - не пришлось бы самому разбираться ))
А по поводу теста в "семерке" я пока еще не добрался поставить Seven потестить, как-то времени нету, но предполагаю что принцип будет такой же...
А вообще Алексей, можете и сами тест провести, вооружитесь только: AVZ, AnVir Task Manager, ну и Total Commander`ом к примеру...

F@got@dmin комментирует...

To Павел

Спасибо, всегда при написании статьи я стараюсь детально, и качественно написать, на эту статью у меня ушло 4 дня.

Анонимный комментирует...

Благодарю за статью, но у меня вирус с харда таким методом не удаляется, ибо при вставке чистой от вирусов флешки на ней не только создаются файлы ехе с именем папок, но и прописывается файл autorun.inf (иногда вместе с u.bat) с зашифрованным содержимым

F@got@dmin комментирует...

Это говорит о том что
1)У вас инфицирована система не только одним вирусом.

2) WIN32.FLYSTUDIO Вы не удалили до конца с системы.

Мой вам совет, запишите на болванку Dr.Web Cureit! (только на чистой машине) Вставьте все ваши флешки в компьютер, запустите сканер от Вэба записанный на болванку, в сканере поставьте галки на всех хардах и флешках. Запустите на сканирование, все найденное сканером удаляйте. Все..

Unknown комментирует...

респект. Молодец, хорошо расписано. Я уже сталкивался с этой гадостью, первый раз воевал долго, пока разобрался. НОД-32 находит и изолирует сразу, ну а я еще подстраховался и глянул в гугле - нашел твою статью. Если бы раньше не воевал - отличное подспорье.
Еще раз спасибо.

Владимир комментирует...

Спасибо за помощь! Я тоже подхватил по глупости этот троян. Все сделал как описывалось. Единственное, что у меня не получилось, и я не знаю как это решить, это название папок при просмотре их эскиз страниц. Я вижу их название при просмотре: плика, значки, список, таблица. Если не трудно подскажи дельный совет. Мой мэйл: qwer200578@mail.ru

VVNNVV комментирует...

Не мню себя большим специалистом в области компьютерной антивирусной безопасности, но отзывы о статье сами за себя говорят. Статья своевременная, основательная, доходчивая и поэтому очень полезная. Респект и уважуха автору.