Показано с 1 по 9 из 9.

Описание вирусов: Email-Worm.Win32.Bagle.fy - червь с руткитом

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Описание вирусов: Email-Worm.Win32.Bagle.fy - червь с руткитом

    Распространяется в виде писем электронной почты, содержащих запароленный ZIP архив. Примерный текст письма:
    I love you
    Password -- <картинка>
    Текст письма может немного видоизменяться - в теле червя есть несколько вариантов текстовки и набор имен, которые подставляются в заголовок.
    Пароль к архиву приложен к письму в виде GIF картинки, паролем является пятизначное число. Архив содержит исполняемый файл (имя типа yqvabhccef.exe) размером 69 кб и папку, содержащую файл с расширением DLL.
    В случае запуска (а для его запуска необходимо вручную извлечь исполняемый файл из архива, указав при этом пароль) создает файл Documents and Settings\<имя профиля>\Application Data\hidn\hidn.exe и запускает его, после чего запущенный завершает работу.
    Файл hidn.exe в свою очередь выполняет следующие действия:
    1. Создает и загружает драйвер Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys и проводит обмен с ним. Драйвер регистрируется под именем m_hook, имя устройства - \\.\m_hook. Сам драйвер хранится внутри hidn.exe и сохраняется на диске перед установкой.
    2. создает в корне диска файл error.gif и отображает его пользователю при помощи "rundll32.exe WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\error.gif". Изображение в файле error.gif содержит текст "Error".
    3. Создает в реестре ключ с HKCU\Software\FirstRuxzx и параметр FirstRun = 1 в нем. Удаляет ключ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
    4. Пытается удалить файл WINDOWS\system32\re_file.exe
    5. Загружает из Интернет файл и сохраняет его под именем WINDOWS\system32\re_file.exe. Шаги 4 и 5 повторяются многократно, меняется только сайт, ск оторого делается попытка закачки файла
    6. Пересоздает в корне диска файл temp.zip. Этот архив собственно и рассылается червем по почте
    В процессе работы червь сканирует диск и анализирует содержимое файлов (в частности, txt, cfg, msg, htm). Программа hidn.exe регистрируется в автозапуске стандартным образом

    Драйвер m_hook.sys является руткитом и применяется для маскировки. При помощи драйвера производится маскировка процесса hidn.exe (процесс обнаруживается диспетчером процессов AVZ с отметкой о маскировке на уровне ядра. Перехваты руткита детектируются следующим образом:
    Функция ZwCreateFile (25) перехвачена (8057164C->F8BA617E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
    Функция ZwEnumerateKey (47) перехвачена (8056F76A->F8BA64C2), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
    Функция ZwEnumerateValueKey (49) перехвачена (805801FE->F8BA620E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
    Функция ZwQueryDirectoryFile (91) перехвачена (80574DAD->F8BA6762), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
    Функция ZwQueryKey (A0) перехвачена (8056F473->F8BA6B30), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
    Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->F8BA6908), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys

    Как видно из набора перехваченных функций, данный руткит реализует все базовые виды маскировки - реестр, файлы на диске и процессы в памяти. Кроме того, драйвер может бороться с антивирусами и утилитами мониторинга - в его теле есть база данных с именами:

    filtnt.sys guardnt.sys zonealarm.exe zlclient.exe zatutor.exe VsStat.exe Vshwin32.exe Vba32PP3.exe
    vba32ldr.exe Vba32ifs.exe Vba32ECM.exe upgrepl.exe Up2Date.exe tmproxy.exe TmPfw.exe
    Tmntsrv.exe symlcsvc.exe spiderml.exe SPBBCSvc.exe SNDSrvc.exe RuLaunch.exe
    regedt32.exe regedit.exe Realmon.exe QHPF.EXE PcCtlCom.exe pccguide.exe
    outpost.exe Nvcut.exe Nvcte.exe Nvcod.exe npfmsg.exe NPFMNTOR.EXE nod32kui.exe
    nod32.exe NAVAPSVC.EXE Mcshield.exe Luupdate.exe LUALL.EXE KAVPF.exe kavmm.exe
    KAV.exe isafe.exe InoUpTNG.exe InocIT.exe INETUPD.EXE GuardNT.exe GUARDGUI.EXE
    freshclam.exe drwebupw.exe drwebscd.exe drweb32w.exe drwadins.exe CMGrdian.exe ClamWin.exe
    ClamTray.exe CCSETMGR.EXE CCEVTMGR.EXE ccApp.exe cafix.exe bdswitch.exe bdsubmit.exe bdnews.exe bdmcon.exe AVWUPD32.EXE Avsynmgr.exe AVSCHED32.EXE AVGNT.EXE avgemc.exe avgcc.exe Avconsol.exe AUPDATE.EXE ashWebSv.exe ashSkPck.exe ashSimpl.exe ashPopWz.exe ashEnhcd.exe ashDisp.exe ashAvast.exe

    Как легко заметить, помимо антивирусов блокируется работа редактора реестра
    Удаление вручную:
    1. При помощи диспетчера процессов AVZ остановить маскирующийся процесс hidn.exe
    2. Произвести проверку ПК с включенной нейтрализацией KernelMode руткитов
    3. После нейтрализации удалить файлы C:\Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys, C:\Documents and Settings\<имя профиля>\Application Data\hidn\ hidn.exe вместе с папкой hidn. Удаление рекомендуется производить при помощи отложенного удаления AVZ, т.к. в этом случае производится автоматическая чистка реестра.
    4. Удалить temp.zip в корне диска и WINDOWS\system32\re_file.exe
    5. Перезагрузиться. В случае удаления вручную после перезагрузки необходимо удалить ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\m_hook и параметр ключа Run, применяемый для запуска hidn.exe
    (С) http://z-oleg.com/secur/virlist/vir1139.php
    В базы AVZ добавлены сигнатуры для детектрования данной разновидности, обновление доступно через автоапдейт
    Последний раз редактировалось Зайцев Олег; 22.06.2006 в 17:42.

  2. Реклама
     

  3. #2
    Geser
    Guest
    Да, вчера получил Вечером почти все антивирусы уже детектили.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Вот еще проделжение - для пострадавших ...
    Восстановление ключа реестра SafeBoot
    Как уже сказано в описании, вирус удаляет ключ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot, что не влияет на работу системы, но нарушает загрузку в защищенном режиме (Safe Mode). С технической точки зрения ключ SafeBoot содержит два подключа - Minimal и Network. Вирус удаляет все подключи ключей Minimal и Network. Восстановить повреждение можно двумя путями - при помощи резервной копии или про помощи REG файла, в который были экспортированы данные ключи с ПК, содержащего аналогичную версию Windows. Второй вариант не совсем корректный, но при отсуствии резервной копии может помочь. В частности, вот REG файл для XP SP2
    Кроме того, есть еще один метод восстановления попрченного ключа. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, помо попробовать следующую операцию:
    1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
    2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
    3. Импортировать модифицированный файл

  5. #4
    Geser
    Guest
    Может добавить в АВЗ восстановление этого ключа?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Geser
    Может добавить в АВЗ восстановление этого ключа?
    Завтро добавлю - но я могу по сути восстановить ключ по эталоной копии

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от Зайцев Олег
    Кроме того, есть еще один метод восстановления попрченного ключа. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, помо попробовать следующую операцию:
    1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
    2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
    3. Импортировать модифицированный файл
    Только делать это надо незамедлительно и без перезагрузок ДО ТОГО. Поскольку номерные ветки (на самом деле обычно ControlSet001, ControlSet002 и ControlSet003) каждую перезагрузку меняются по кругу. В реальности CurrentControlSet просто отображён на одну из двух (одновременно) имеющихся в наличии веток. Вторая является резервной копией, её можно подхватить при загрузке Last Known Good Configuration.
    К сожалению, не могу достоверно сказать, в какой точно момент происходит затирание старой ветки текущей конфигурацией. IMHO - во время System Shutdown. Поэтому для фокуса с Last Known Good я бы пробовал перезагрузку через Reset.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от pig
    Только делать это надо незамедлительно и без перезагрузок ДО ТОГО ....
    Ну да - имеется в виду, что если что-то в этих ключах найдется, то восстановление из них. А если не найдется - то труба ...

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Geser
    Может добавить в АВЗ восстановление этого ключа?
    Автоматическое восстановление ключа реестра SafeBoot
    Для автоматического восстановления в базы AVZ 23.06 введена микропрограмма, производящее восстановление удаленных ключей реестра. Она называется "Восстановление настроек загрузки в SafeMode" и может быть запущена через "Файл/восстановление системы". Набор восстанавливаемых ключей определяется автоматически по версии операционки, поддерживаются W2K, XP, W2K3. Конечно, восстановление ключей по образу с "эталонной" системы не всегда корректно, но если ключи удалены вирусом, то лучше что-то, чем вообще ничего.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Если руткит выгружает из памяти zlclient.exe - соответственно преодолевается самозащита Zone Labs Client?
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

Похожие темы

  1. Email-Worm.Win32.Bagle.of сидит в кэше IE как b64_31.jpeg
    От Stepanyuk в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 14.02.2008, 18:05
  2. Описание вирусов: Email-Worm.Win32.Rays
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 9
    Последнее сообщение: 25.09.2007, 19:39
  3. Предупреждение: Email-Worm.Win32.Bagle.eb
    От ALEX(XX) в разделе Вредоносные программы
    Ответов: 2
    Последнее сообщение: 23.11.2005, 15:18
  4. Email-Worm.Win32.Bagle.bz, .ca, .cb
    От ALEX(XX) в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 12.08.2005, 16:10
  5. Описание вирусов: Net-Worm.Win32.Padobot.z с встроенным руткитом
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 06.08.2005, 15:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01546 seconds with 20 queries