Вирус Win32.Polipos

[Синауридзе Александр]

Всем здравствуйте!
Сегодня получил очередную рассылку от Dr.Web. В ней было сказано о начале распространения вируса Win32.Polipos. В частности писалось, что это очень опасный полиморфный вирус и определят его пока только Dr.Web. Так же было написано, что только Доктор может успешно лечить этот вирус благодаря высокому технологическому уровню антивирусного ядра. В связи с чем просьба ко всем у кого есть образец данной заразы слить для закачки, а также высказаться по данной теме (реакция других антивирусов, возможность лечения и др.). Есть предположение, что Dr.Web в очередной раз хвалится.
Заранее всем спасибо.

[Shu_b]

Почитайте эту: http://forum.drweb.com/viewtopic.php?t=2810 тему.

Сам пресс релиз:

Антивирус Dr.Web защищает пиринговые сети от опасного вируса Win32.Polipos
19 апреля 2006 года

Служба вирусного мониторинга компании «Доктор Веб» информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже в течение целого месяца распространяется по различным пиринговым сетям.

Началось распространение Win32.Polipos в марте этого года. Тогда же (20 марта) он был добавлен в вирусную базу антивируса Dr.Web и с этого момента для наших пользователей он не представлял никакой угрозы. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция "нейтрализации" целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами:

savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll
smss, csrss, spoolsv, ctfmon, temp

Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.

Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.

Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако обращает на себя внимание довольно любопытное обстоятельство. Несмотря на то, что присутствие в P2P-сетях Win32.Polipos не является ни для кого новостью уже около месяца, антивирус Dr.Web до последних дней был единственным, кто его детектировал. В самом начале эпидемии пользователи Dr.Web сетовали на срабатывание антивируса на якобы чистые файлы, но вирусные аналитики компании «Доктор Веб» подтвердили факт существования именно нового вируса. Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web.

В настоящее время Служба вирусного мониторинга компании «Доктор Веб» разработала и процедуру лечения зараженных вирусом Win32.Polipos файлов. Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах. Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит - все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз.

Описание http://info.drweb.com/virus_description/102959

Win32.Polipos
()

Сложный полиморфный вирус.

При запуске заражает скринсейвер (получает из реестра), заражает logonui.exe и logon.scr в системной директории, внедряет свой код во все процессы.

Удаляет файлы:


drwebase.vdb, avg.avi, vs.vsn, anti-vir.dat, avp.crc
chklist.ms,ivb.ntz, ivp.ntz, chklist.cps, smartchk.ms
smartchk.cps, aguard.dat, avgqt.dat, lguard.vps

Не заражает процессы в памяти:


savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll
smss, csrss, spoolsv, ctfmon, temp

Не заражает файлы, имена которых содержат:


tb dbg f- nav pav mon rav nvc fpr dss ibm inoc scn pack vsaf vswp fsav
adinf sqstart mc watch kasp nod setup temp norton mcafee anti tmp
secure upx forti scan zone labs alarm symantec retina eeye virus
firewall spider backdoor drweb viri debug panda shield kaspersky
doctor trend micro sonique cillin barracuda sygate rescue pebundle ida
spf assemble pklite aspack disasm gladiator ort expl process eliashim
tds3 starforce safe'n'sec avx root burn aladdin esafe olly grisoft avg
armor numega mirc softice norman neolite tiny ositis proxy webroot
hack spy iss pkware blackice lavasoft aware pecompact clean hunter
common kerio route trojan spyware heal alwil qualys tenable avast a2
etrust spy steganos security principal agnitum outpost avp personal
softwin defender intermute guard inoculate sophos frisk alwil protect
eset nod32 f-prot avwin ahead nero blindwrite clonecd elaborate
slysoft hijack roxio imapi newtech infosystems adaptec swift sound
copystar astonsoft gear software sateira dfrgntfs

Зараженный компьютер становится участником децентрализованной peer2peer сети Gnutella.

Содержит строку:


Win32.Polipos v1.2 by Joseph

[Синауридзе Александр]

Спасибо за информацию! Правда она уже известна. Интересно посмотреть образцы заразы, а также реакцию других антивирей на нее.
Может кто писал в ЛК или еще куда? Что ответили?

[Shu_b]

Может кто писал в ЛК или еще куда? Что ответили?

Вы тему то на форуме ( http://forum.drweb.com/viewtopic.php?t=2810 ) читали???

На даный момент ситуация:

http://www.virustotal.com/
CAT-QuickHeal 8.00 04.19.2006 (Suspicious) - DNAScan
DrWeb 4.33 04.19.2006 Win32.Polipos
Fortinet 2.71.0.0 04.19.2006 W32/Polipos.V12
------------------------------------------------------------------------------------
http://virusscan.jotti.org/
Dr.Web Found Win32.Polipos
------------------------------------------------------------------------------------
http://www.fortinet.com/FortiGuardCe...s_scanner.html
The file mshearts.rar appears to be clean

на каспере, скрепя сердце, признали в инфицированных файлах наличие Worm Win32.Plipos - цитирую - и то со второго раза, правда, в список всяческих зараз отчего то не занесли. Остальные противостолбнячные монстры молчат, как рыба об лёд......

[Ilya_K]

К сожалению до сих пор никто (кроме Dr.Web) уверенно не детектирует.

Fortinet на www.virustotal.com детектирует, но на официальном сайте Fortinet онлайн сканер говорит
>The file calc.exe appears to be clean

Лечение было создано для тех, кто всё же успел подхватить - для них есть cureit!.

[ALEX(XX)]

Кто что думает по этому поводу? Интересная ситуация... Какие данные в настоящее время? Кто из АВ-компаний ещё детектирует эту заразу?

[kps]

Кто что думает по этому поводу? Интересная ситуация...

Т.е. если я правильно понял, получается, что другие антивирусы не могут не то что лечить от этой заразы, но даже детектировать ее ?!
Вот это да. В пресс-релизе написано

Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web.

Это наводит на размышления...

[Ilya_K]

Это наводит на размышления...

На какие же? :-)

[Shu_b]

Это наводит на размышления...

На какие же? :-)

Во всех темах одно и тоже... :))))))
вспоминается: Сегодня читал SMS, много думал...

[azza]

Это наводит на размышления...

Действительно, если учесть, что вирус сносит основную вирусную базу ДрВеба - drwebase.vdb.

[ALEX(XX)]

Вот что на форуме НОД ответили

That's after a long time after ZMist one of the "best" viruses i've seen.
It's indeed highly complex - the encryption algo is medium difficult and the virus uses a lot of tricks. I've here some samples with nice antiemulation tricks, such as code performance speed tests (meaning the virus will know when it runs in a virtual environment) and registry dummy - writing tricks, such as trying to write a random value to the registry and trying to read it later and compare it. If not equ or if it doesn't exist the virus exits. The virus is able to act as space filler, same technic was used by the tschernobyl virus already (CIH). The virus is able to use EPO functionallity, it looks for common API calls after the entry point and hooks/redirects them. Means the virus does not execute its own code/decrypter at a fixed position after the entry point.

Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time.

[diizii]

описание поменялось

Win32.Polipos представляет собой сложный полиморфный вирус.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом основное зашифрованное тело вируса записывается в новой секции.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют следующие имена процессов:

savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon, temp.
Таким образом, в памяти оказываются несколько копий вируса каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся обще доступными для участников этой сети.

Win32.Polipos перехватывает следующие API функции:

ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW.
При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, дистрибутивы и т.д.) вирус создает чистую копию во временном каталоге с именем ptf*.tmp, которую и запускает.

Вирус удаляет следующие файлы антивирусных программ:

drwebase.vdb, avg.avi, vs.vsn, anti-vir.dat, avp.crc, chklist.ms,ivb.ntz, ivp.ntz, chklist.cps, smartchk.ms, smartchk.cps, aguard.dat, avgqt.dat, lguard.vps.
Win32.Polipos не заражает файлы, имена которых содержат следующие строки:

tb dbg f- nav pav mon rav nvc fpr dss ibm inoc scn pack vsaf vswp fsav adinf sqstart mc watch kasp nod setup temp norton mcafee anti tmp secure upx forti scan zone labs alarm symantec retina eeye virus firewall spider backdoor drweb viri debug panda shield kaspersky doctor trend micro sonique cillin barracuda sygate rescue pebundle ida spf assemble pklite aspack disasm gladiator ort expl process eliashim tds3 starforce safe'n'sec avx root burn aladdin esafe olly grisoft avg armor numega mirc softice norman neolite tiny ositis proxy webroot hack spy iss pkware blackice lavasoft aware pecompact clean hunter common kerio route trojan spyware heal alwil qualys tenable avast a2 etrust spy steganos security principal agnitum outpost avp personal softwin defender intermute guard inoculate sophos frisk alwil protect eset nod32 f-prot avwin ahead nero blindwrite clonecd elaborate slysoft hijack roxio imapi newtech infosystems adaptec swift sound copystar astonsoft gear software sateira dfrgntfs
Вирус содержит строку Win32.Polipos v1.2 by Joseph .

[Shu_b]

Вот что на форуме НОД ответили

а перевести... :))

[ALEX(XX)]

а перевести... )

Перевод корявый получается... Счас посмеёмся. Кто знает толком английский, помогите. Но смысл таков: "Это - после долгого времени после ZMist один из "лучших" вирусов я видел.
Это действительно очень сложно - шифрование algo среднее трудный, и вирус использует много уловок. Я имею здесь некоторые образцы с хорошими уловками антиэмуляции, типа кодовых тестов скорости работы (будет знать значение вируса, когда это бежит в действительной окружающей среде), и кукла регистрации - пишущие уловки, типа попытки написать случайную ценность регистрации и попытке прочитать это позже и сравнить это. Если не equ или если это не существует вирусные выходы. Вирус в состоянии действовать как космический наполнитель, та же самая техника использовалась tschernobyl вирусом уже (CIH). Вирус в состоянии использовать EPO functionallity, это ищет общие запросы программного интерфейса приложения после того, как вход указывает, и вербует/переадресовывает их. Означает, что вирус не выполняет его собственный code/decrypter в неподвижном положении после пункта входа.

Очистка становится хитрой, поскольку доктор Веб уже заявил правильный, однако, уборщик будет доступен скоро через мой weblog так или иначе в течение этой недели, когда я имею некоторое время."

[ALEX(XX)]

В целом, из английского текста я смысл уловил, но вот самостоятельно дать перевод не могу
Судя по постам на оф. форуме, сегодня образец этого зверя попал в лаборатории ESET. Посмотрим результат. Жаль образца нет

[Синауридзе Александр]

Здравствуйте!
Форум Dr.Web совсем скучный и его я читал. Чуть не уснул. У кого нибудь есть образец этой заразы или нет Скиньте.

[_HEKTO_]

Вот, что у меня с переводом получилось

После давнего ZMist это один из "лучших" вирусов, которые я видел.
Он действительно крайне сложен - криптоалгоритм средней сложности, плюс вирус использует множество tricks (трюки, уловки). Я вижу нескоько примеров (не уверен: I've here some samples with) отличных антиэмуляционных трюков, таких как измерение скорости выполнения кода (это эзначает, что вирус будет знать, когда он запущен в виртуальном окружении) и обнаружения фиктивного реестра, такой как запись в реестр случайных значений, а затем попытка их прочесть и сравнить. Если они не совпадают или не удалось их прочесть, то вирус ничего не делает. Этот вирус "is able to act as space filler" - способен заполнять несипользуемое пространство файла (т.е. при записи в exe не увеличивается его длинна - прим. мое), аналогичную технику использовал "Чернобыль" (CIH). Вирус способен использовать "EPO functionality", он ищет типичные вызовы API после точки входа и подменяет/перенаправляет их. Т.о. вирус не начинает выполнение своего кода/расшифровщика с некоторой фиксированной позиции после точки входа ("entry point")

"Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time."

Насчет DrWeb я не понял. В общем, обещает выложить лечилку в скорости на этой неделе через свой блог.

[ALEX(XX)]

_HEKTO_ Огромное спасибо!

[Sanja]

Касперы говорят - работают - Сегодня / Завтра все будет.

Интересно под "все" лечение тоже подразумавается?!

[Ilya_K]

Касперы говорят - работают - Сегодня / Завтра все будет.

Интересно под "все" лечение тоже подразумавается?!

updates.drweb.com
win32.polipos
For a period from 1 January 2006 till ...

drwtoday.vdb (2006-03-20 20:27:25, MD5: 2e664cec370e04dfd97e0a3e0ff31275)
...
Win32.Polipos
...

-------------------------
drwtoday.vdb (2006-04-20 00:20:38, MD5: 6424ec79e376ca4579310ebe2fb8d8f1)
...
Win32.Polipos(2)
...

судя по всему (2) - запись для лечения ;)

Когда же хоть кто-то проснётся?