# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Описание вирусов: Email-Worm.Win32.Bagle.fy - червь с руткитом

## Зайцев Олег

Распространяется в виде писем электронной почты, содержащих запароленный ZIP архив. Примерный текст письма: 
I love you 
Password -- <картинка> 
Текст письма может немного видоизменяться - в теле червя есть несколько вариантов текстовки и набор имен, которые подставляются в заголовок. 
Пароль к архиву приложен к письму в виде GIF картинки, паролем является пятизначное число. Архив содержит исполняемый файл (имя типа yqvabhccef.exe) размером 69 кб и папку, содержащую файл с расширением DLL.   
В случае запуска (а для его запуска необходимо вручную извлечь исполняемый файл из архива, указав при этом пароль) создает файл Documents and Settings\<имя профиля>\Application Data\hidn\hidn.exe и запускает его, после чего запущенный завершает работу. 
Файл hidn.exe в свою очередь выполняет следующие действия: 
1. Создает и загружает драйвер Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys и проводит обмен с ним. Драйвер регистрируется под именем m_hook, имя устройства - \\.\m_hook. Сам драйвер хранится внутри hidn.exe и сохраняется на диске перед установкой. 
2. создает в корне диска файл error.gif и отображает его пользователю при помощи "rundll32.exe WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\error.gif". Изображение в файле error.gif содержит текст "Error". 
3. Создает в реестре ключ с HKCU\Software\FirstRuxzx и параметр FirstRun = 1 в нем. Удаляет ключ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot 
4. Пытается удалить файл WINDOWS\system32\re_file.exe 
5. Загружает из Интернет  файл и сохраняет его под именем WINDOWS\system32\re_file.exe. Шаги 4 и 5 повторяются многократно, меняется только сайт, ск оторого делается попытка закачки файла 
6. Пересоздает в корне диска файл temp.zip. Этот архив собственно и рассылается червем по почте
В процессе работы червь сканирует диск и анализирует содержимое файлов (в частности, txt, cfg, msg, htm). Программа hidn.exe регистрируется в автозапуске стандартным образом 

Драйвер m_hook.sys является руткитом и применяется для маскировки. При помощи драйвера производится маскировка процесса hidn.exe (процесс обнаруживается диспетчером процессов AVZ с отметкой о маскировке на уровне ядра. Перехваты руткита детектируются следующим образом:
Функция ZwCreateFile (25) перехвачена (8057164C->F8BA617E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys 
Функция ZwEnumerateKey (47) перехвачена (8056F76A->F8BA64C2), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys 
Функция ZwEnumerateValueKey (49) перехвачена (805801FE->F8BA620E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys 
Функция ZwQueryDirectoryFile (91) перехвачена (80574DAD->F8BA6762), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys 
Функция ZwQueryKey (A0) перехвачена (8056F473->F8BA6B30), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys 
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->F8BA6908), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys 

Как видно из набора перехваченных функций, данный руткит реализует все базовые виды маскировки - реестр, файлы на диске и процессы в памяти. Кроме того, драйвер может бороться  с антивирусами и утилитами мониторинга - в его теле есть база данных с именами: 

filtnt.sys  guardnt.sys zonealarm.exe zlclient.exe  zatutor.exe VsStat.exe  Vshwin32.exe  Vba32PP3.exe 
vba32ldr.exe  Vba32ifs.exe  Vba32ECM.exe  upgrepl.exe Up2Date.exe tmproxy.exe TmPfw.exe 
Tmntsrv.exe symlcsvc.exe  spiderml.exe  SPBBCSvc.exe  SNDSrvc.exe RuLaunch.exe  
*regedt32.exe  regedit.exe* Realmon.exe QHPF.EXE  PcCtlCom.exe  pccguide.exe  
outpost.exe Nvcut.exe Nvcte.exe Nvcod.exe npfmsg.exe  NPFMNTOR.EXE  nod32kui.exe  
nod32.exe NAVAPSVC.EXE  Mcshield.exe  Luupdate.exe  LUALL.EXE KAVPF.exe kavmm.exe 
KAV.exe isafe.exe InoUpTNG.exe  InocIT.exe  INETUPD.EXE GuardNT.exe GUARDGUI.EXE 
freshclam.exe drwebupw.exe  drwebscd.exe  drweb32w.exe  drwadins.exe  CMGrdian.exe  ClamWin.exe 
ClamTray.exe  CCSETMGR.EXE  CCEVTMGR.EXE  ccApp.exe cafix.exe bdswitch.exe  bdsubmit.exe bdnews.exe  bdmcon.exe  AVWUPD32.EXE  Avsynmgr.exe  AVSCHED32.EXE AVGNT.EXE avgemc.exe  avgcc.exe Avconsol.exe  AUPDATE.EXE ashWebSv.exe  ashSkPck.exe  ashSimpl.exe  ashPopWz.exe  ashEnhcd.exe  ashDisp.exe ashAvast.exe 
Как легко заметить, помимо антивирусов блокируется работа редактора реестра
*Удаление вручную: 
*1. При помощи диспетчера процессов AVZ остановить маскирующийся процесс hidn.exe 
2. Произвести проверку ПК с включенной нейтрализацией KernelMode руткитов 
3. После нейтрализации удалить файлы C:\Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys, C:\Documents and Settings\<имя профиля>\Application Data\hidn\ hidn.exe вместе с папкой hidn. Удаление рекомендуется производить при помощи отложенного удаления AVZ, т.к. в этом случае производится автоматическая чистка реестра. 
4. Удалить temp.zip в корне диска и WINDOWS\system32\re_file.exe 
5. Перезагрузиться. В случае удаления вручную после перезагрузки необходимо удалить ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\m_hook и параметр ключа Run, применяемый для запуска hidn.exe
(С) http://z-oleg.com/secur/virlist/vir1139.php
В базы AVZ добавлены сигнатуры для детектрования данной разновидности, обновление доступно через автоапдейт

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Да, вчера получил  :Smiley:  Вечером почти все антивирусы уже детектили.

----------


## Зайцев Олег

Вот еще проделжение - для пострадавших ...
*Восстановление ключа реестра SafeBoot*
Как уже сказано в описании, вирус удаляет ключ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot, что не влияет на работу системы, но нарушает загрузку в защищенном режиме (Safe Mode). С технической точки зрения ключ SafeBoot содержит два подключа - Minimal и Network. Вирус удаляет все подключи ключей Minimal и Network. Восстановить повреждение можно двумя путями - при помощи резервной копии или про помощи REG файла, в который были экспортированы данные ключи с ПК, содержащего аналогичную версию Windows. Второй вариант не совсем корректный, но при отсуствии резервной копии может помочь. В частности, вот REG файл для XP SP2 
Кроме того, есть еще один метод восстановления попрченного ключа. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, помо попробовать следующую операцию: 
1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot 
2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно) 
3. Импортировать модифицированный файл

----------


## Geser

Может добавить в АВЗ восстановление этого ключа?

----------


## Зайцев Олег

> Может добавить в АВЗ восстановление этого ключа?


Завтро добавлю - но я могу по сути восстановить ключ по эталоной копии

----------


## pig

> Кроме того, есть еще один метод восстановления попрченного ключа. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, помо попробовать следующую операцию: 
> 1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot 
> 2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно) 
> 3. Импортировать модифицированный файл


Только делать это надо незамедлительно и без перезагрузок ДО ТОГО. Поскольку номерные ветки (на самом деле обычно ControlSet001, ControlSet002 и ControlSet003) каждую перезагрузку меняются по кругу. В реальности CurrentControlSet просто отображён на одну из двух (одновременно) имеющихся в наличии веток. Вторая является резервной копией, её можно подхватить при загрузке Last Known Good Configuration.
К сожалению, не могу достоверно сказать, в какой точно момент происходит затирание старой ветки текущей конфигурацией. IMHO - во время System Shutdown. Поэтому для фокуса с Last Known Good я бы пробовал перезагрузку через Reset.

----------


## Зайцев Олег

> Только делать это надо незамедлительно и без перезагрузок ДО ТОГО ....


Ну да - имеется в виду, что если что-то в этих ключах найдется, то восстановление из них. А если не найдется - то труба ...

----------


## Зайцев Олег

> Может добавить в АВЗ восстановление этого ключа?


*Автоматическое восстановление ключа реестра SafeBoot 
*Для автоматического восстановления в базы AVZ 23.06 введена микропрограмма, производящее восстановление удаленных ключей реестра. Она называется "Восстановление настроек загрузки в SafeMode" и может быть запущена через "Файл/восстановление системы". Набор восстанавливаемых ключей определяется автоматически по версии операционки, поддерживаются W2K, XP, W2K3. Конечно, восстановление ключей по образу с  "эталонной" системы не всегда корректно, но если ключи удалены вирусом, то лучше что-то, чем вообще ничего.

----------


## NickGolovko

Если руткит выгружает из памяти zlclient.exe - соответственно преодолевается самозащита Zone Labs Client?

----------

