http://www.nhtcu.ru/stat/stat006.htmlНазвание: Дисковые черви - новое поколение компьютерных вирусов
Автор: Юрин Игорь Юрьевич
Если бы всего год назад меня спросили о том, какой тип компьютерных вирусов сейчас наиболее распространен, опасен и актуален, я бы без раздумий назвал сетевых червей. Все прекрасно помнят большие и малые эпидемии, вызывавшиеся почтовыми червями.
Однако к 2007 году ситуация изменилась коренным образом. Почтовые черви стали встречаться все реже, а их место заняли другие вирусы - распространяющиеся на сменных носителях. Для их именования я предлагаю использовать термин "дисковый червь" (Disk-Worm), поскольку, во-первых, они не заражают существующие файлы, а создают свои собственные, во-вторых, объектами их интересов являются дисковые накопители.
Дисковые черви работают по следующему алгоритму. Впервые запустившись на заражаемом компьютере, они стремятся прочно обосноваться на нем. Для того, чтобы обеспечить себе постоянное присутствие в системе, они копируют себя на всех имеющихся в системе дисках либо в корень диска, либо в папку со стандартным именем, создают в корне диска файл autorun.inf, чтобы обеспечить автозапуск вируса при открытии этого диска средствами "Проводника" ОС Windows. В некоторых случаях вирусы могут прописываться в папки автозапуска или в соответствующие ветки реестра, чтобы получать управление при старте операционной системы, не дожидаясь открытия дисков пользователем.
Все большее количество устройств снабжаются флэш-памятью. Помимо обычных флэш-накопителей, это мобильные телефоны, цифровые фотоаппараты, MP3-плееры, цифровые диктофоны. Все эти устройства подключаются к компьютеру, при этом в системе появляется новый сменный диск. Если компьютер заражен активным дисковым червем, на этот сменный носитель сразу же копируются файлы червя. При подключении зараженного диска к компьютеру, на котором не отключен автозапуск сменных дисковых накопителей, дисковый червь запускается и заражает компьютер.
В настоящее время в России идет настоящая эпидемия дисковых червей. Список лидеров выглядит следующим образом: Trojan.Win32.VB.aqt, Virus.Win32.Perlovga.a, Email-Worm.Win32.VB.cs, Worm.Win32.VB.dz, Virus.VBS.Small.a (имена даны по классификации "Антивируса Касперского").
Trojan.Win32.VB.aqt
Другие названия - TROJ_VB.BDN (Panda Antivirus), Trojan.Recycle (Doctor Web), FakeRecycled (McAfee).
Написан на языке Visial Basic. Известны две версии, имеющие одинаковый размер в 20480 байт, не упакованы. Распространяется с лета 2006 года. Несмотря на префикс названия "Trojan" (по классификации "Антивируса Касперского"), распространяется как вирус. На зараженных компьютерах присутствует в файле с именем "ctfmon.exe" - одноименным с системным файлом ОС Windows, имеющим такую же иконку. При заражении дисков размещает себя в папке "Recycled" с атрибутом "скрытая" (т.е. маскируется под "Корзину"), а в корне диска создает файл "Autorun.inf" (размер 103 или 121 байт). На системном диске файл вируса располагается по адресу "Recycled\Recycled\ctfmon.exe", на других дисках - по адресу "Recycled\ctfmon.exe". В папке "Recycled" также создаются файлы "desktop.ini" (содержит классовый идентификатор, также предназначенный для маскировки под "Корзину") и "INFO2". В файле "Autorun.inf", создаваемом на системном диске, допущена ошибка. Дополнительно файл копируется в папки автозапуска в профилях пользователей. Также запуск вирусного файла осуществляется при обращении к расшаренному зараженному диску по сети. Визуально присутствие вируса определяется по невозможности открыть из "Проводника" диски (выдается сообщение "отказано в доступе"), в контекстном меню дисков появляется пункт "Open(0)", который установлен как действие по умолчанию при двойном щелчке мышью на диске.
Virus.Win32.Perlovga.a
Имеет размер 1211 байт, упакован MEW. Распространяется с весны 2006 года. На зараженных компьютерах присутствует в файле с именем "copy.exe" в корне диска, там же создает файл autorun.inf. Другие создаваемые файлы: host.exe (Trojan-Dropper.Win32.Small.apl) в корне диска, svchost.exe (Trojan-Dropper.Win32.Small.apl) и xcopy.exe (Virus.Win32.Perlovga.a) в папке ОС Windows, temp1.exe (Virus.Win32.Perlovga.b) и temp2.exe (Backdoor.Win32.Small.lo) в папке system32 в папке ОС Windows.
Trojan-Dropper.Win32.Small.apl имеет размер 70207 байт, внутри содержит два файла, детектирующиеся как Virus.Win32.Perlovga.b (имеет размер 35350 байт, упакован MEW) и Backdoor.Win32.Small.lo (имеет размер 2085 байт, не упакован, содержит внутри адрес "hnmy.3322.org", при компиляции на компьютере автора троянской программы располагался в папке F:\ftp и имел первоначальное название ftp.exe).
Визуально присутствие вируса определяется по тому, что в контекстном меню дисков появляется пункт "Autoplay", который установлен как действие по умолчанию при двойном щелчке мышью на диске.
Email-Worm.Win32.VB.cs
Написан на Visual Basic, упакован UPX 1.93, имеет размер 19456 байт. На момент составления описания не детектировался антивирусами, с конца марта 2007 года начал детектироваться "Антивирусом Касперского". Помимо функций дискового червя размножается как обычный компаньон-вирус. Несмотря на префикс названия "Email-Worm" (по классификации "Антивируса Касперского"), по электронной почте рассылает только ссылку на файл в сети Интернет.
Содержит текстовые строки:
This code by =M.Schmitt= i.BooM \ Version ED \
http://upload.caxapa.ru/archive.zip http://Sitelong.narod.ru/archive.zip D:\документы\26.04.2006\BAd Proj\SCHM\SCHM.e_\Project1.vbp
ot02_88@mail.ru Деструктивные проявления:
В файлы doc, xls, rtf - записывает текст " ICQ: 409348016 Email:
valeriys85@rambler.ru ", тем самым уничтожая документы.
В файлы jpg выборочно записывает bmp-картинку, представляющую собой белый квадрат размером 11x11 точек (содержит ее в собственном теле).
В файлы htm, html добавляет текст "A href="
http://upload.caxapa.ru/archive.zip"> Посмотреть фото презентацию молодой девушки (+18)".
Записывает себя вместо exe-файлов, исходные файлы переименовывает в .dll с атрибутами Hidden. Не заражает файлы в папках "Program Files\Common Files", "WINDOWS", "WINNT".
Свое тело хранит в файлах:
С:\Media.scr (аналогично - в корне других дисков)
С:\Flashfoto.pif (аналогично - в корне других дисков)
С:\WINDOWS\system32\Windrv16\services.exe
C:\WINDOWS\system32\spool\svсhоst.exe (с и о - русские буквы)
C:\WINDOWS\system32\config\smss.exe (атрибут файла - Hidden)
C:\WINDOWS\system32\сtfmоn.exe (с и о - русские буквы, атрибут файла - Hidden, дата файла - 11.11.2003)
C:\WINDOWS\system32\SYSТЕM15.exe (Т и Е - русские буквы, дата файла - 04.08.2003)
Создает в корне дисков файл CDburn.exe и autorun.inf, в последний прописывает в секцию [autorun] строчку "open=CDburn.exe".
Использует файлы:
C:\WINDOWS\system32\sysrotdmo.sys (дата файла - 19.03.2000)
C:\WINDOWS\system32\msador15.dll (атрибут файла - Hidden, дата файла - 11.02.2000, содержит список почтовых адресов для рассылки спама)
msagor15.sys
Setup.scr
Изменяет ветки реестра:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
Рассылает себя по электронной почте пользователям mail.ru, inbox.ru, bk.ru, list.ru.
Темы и тексты писем (вместо @ стоит ссылка на archive.zip):
отчеты
вот, нашёл @ тут все отчёты, когда сможешь позванить?
для рассылки
Вот ссылка @ , незнаю видимо не туда послалась:))) приятного пользования.
ссылка
Игорёха, вот @ ссылка)) ..регистрационный ключ программы: 538DE-GT16K-510BC-337HD как приедешь в питер позвани...и ещё тебе привет от Машки.
документы
а что он просил? тут все отчёты, описания, документы вот @ ссылка, только описания без рисунков..если нужны эскизы напиши
тёлки
лёха посмотри презентацию..как тебе тёлочки??? отпишись когда домой собираешься. @ презентация
Саньку
Евгений идиот))
санёк, посмотри программку как тебя тёлочки?? @ ссылка )))))) позвани как сможешь. Привет от Насти
Re:Re: ZIP архив
не посылается по мылу, даю тебе ссылкой @ ссылка
люблю тебя)) скучаю очень
надеюсь понравится. даша
антохе
Здарова антоха, как и обещал даю ссылку на Вещь
@
Анютке
вот сонц ))) @
вот
Жека посмотри тока не говари что это не она.. @ archive.zip ...позвани когда приедешь в Москву
На адрес
ot02_88@mail.ru отправляет письмо, содержащее следующие строки:
Зомби машина
Имя компьютера:
Имя пользователя:
\ED\
Противодействует запущенным программам NOD32, Kaspersky (AVP), Outpost, Regedit.
Worm.Win32.VB.dz (дополнение от 10.05.2007)
Написан на Visual Basic, упакован UPX 2.01, имеет размер 10240 байт. На зараженных компьютерах присутствует в файле с именем "desktop.exe" (имеет атрибуты - Hidden, System, оригинальное имя афйла - "USB.exe") в корне диска. Также носит с собой файл "folder.exe" (имеет атрибуты - Hidden, System, размер 124688 байт), который является переименованным файлов Microsoft Winsock OCX. В корне диска создает файл "Autorun.inf" вида:
[AutoRun]
shell=verb1
shell\verb1\command=desktop.exe
shell\verb1=??(&O)
shell=Auto
Создает файлы boothide.reg вида:
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:2
"SuperHidden"=dword:1
"ShowSuperHidden"=dword:0
и bootrun.reg вида:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,имя червя
и вносит их содержимое в реестр при помощи стандартной программы regedit.exe.
Также использует в своей работе файлы desktop2.exe, USB2.exe, svchost\svchost.exe, svchost.ini, wuauserv.exe.
Известны и другие версии этого червя, например использующие имя файла "Flash.exe" и "Thumbs.dn\1.{3aea-1069-a2de-08002b30309d}\Thumbs.bat".
Virus.VBS.Small.a (дополнение от 10.05.2007)
Написан на скриптовых языках, состоит из нескольких файлов, имеющих атрибуты System Hidden.
Файл autorun.bat вносит в реестр записи из файла autorun.reg при помощи стандартной программы regedit.exe, благодаря которым обеспечивает себе автозапуск из ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, а также блокирует показ скрытых файлов в свойствах Проводника. Запускает файлы с именем autorun.vbs из текущей папки и папки system32 операционной системы. Также использует файлы с именами autorun.bin и c:\autorun.txt.
Файлы autorun.inf и autorun.wsh обеспечивают запуск файла autorun.vbs при открытии диска.
Что делать?
Заражение дисковыми червями гораздо проще предотвратить, чем лечить. Для профилактики необходимо отключить автозапуск сменных дисковых накопителей. С этой целью можно удалить раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 например с помощью команды
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f
[23.04.2007, дополнение от 10.05.2007]