# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Описания вирусов: Worm.Win32.Feebs

## Зайцев Олег

Семейство червей Worm.Win32.Feebs обладает рядом интересных особенностей, что делает данныого червя достаточно опасным.
Первой особенностью является наличие "на борту" червя достоточно мощного UserMode руткита.
Рассмотрим пример протокола зараженного ПК:



> 1. Поиск RootKit и программ, перехватывающих функции API
>  >> Опасно ! Обнаружена маскировка процессов
>  >>>> Обнаружена маскировка процесса 912 svchost.exe
> 1.1 Поиск перехватчиков API, работающих в UserMode
>  Анализ kernel32.dll, таблица экспорта найдена в секции .text
> Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод APICodeHijack.JmpTo
> Функция kernel32.dll:FindFirstFileW (212) перехвачена, метод APICodeHijack.JmpTo
> Функция kernel32.dll:FindNextFileA (21 перехвачена, метод APICodeHijack.JmpTo
> Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
> ...


Анализ перехваченных функций показывает, что червь может маскировать свой процесс, маскировать файлы на диске, фильтровать обращения к реестру. Кроме того, он перехватывает функции, отвечающие за работой в Инет.
Интересен перехватчик OpenProcess - при обнаружении попытки открытия маскируемого руткитом процесса перехватчик червя убивает "любопытный" процесс - тем самым существенно затрудняется применение против червя всевозможных менеджеров процессов. 
Программный код червя размещен в DLL, которая как правило называется ms*32.dll (известны варианты названия msss32.dll, msgf32.dll). 
На эту DLL реагирует искатель кейлоггеров и троянских DLL AVZ:



> C:\WINDOWS\system32\msss32.dll --> Подозрение на Keylogger или троянскую DLL
> C:\WINDOWS\system32\msss32.dll>>> Нейросеть: файл с вероятностью 0.56% похож на типовой перехватчик событий клавиатуры/мыши


Сам DLL файл имеет размер около 54 кб (последний изученный образец имел размер 54697) и запакован UPack. 
Червь маскирует один процесс - это процесс svchost.exe, это системный компонент, DLL червя загружена в его адресное пространство. 
Распространение червя ведется по электронной почте, письмо имеет вид:



> You have received Protected Message from MSN.com user. 
> This e-mail is addressed personally to you. 
> To decrypt the e-mail take advantage of following data: 
> Subject: happy new year
> ID: 18695
> Password: wsxoomdxi
> Keep your password in a safe place and under no circumstances give it
> to ANYONE.
> Protected Message and instruction is attached.
> ...


К письму приаттачен  HTA файл, типичное имя - Encrypted Html File.hta или Secure Mail File.hta, его запуск и приводит к инсталляции червя (при этом имитируется вывод окна запроса пароля, что соответствует контексту письма). Второй вариант - это письмо с ZIP-архивом, который в свою очередь содержит HTA файл. Третий вариант - инсталлятор червя в виде небольшого исполняемого файла размером около 55 кб, один из вариантов имени - webinstall.exe.
Согласно отчетам пользователей в ряде случаев на зараденной машине наблюдается побочный эффект - перестает переключаться раскладка клавиатуры.
Изученная разновидность червя регистрирует CLSID 95BC0491-2934-6105-856B-193602DCEB1F и прописывает себя на автозапуск при помощи ShellServiceObjectDelayLoad (в котором собственно идет ссылка на CLSID червя).
На зараженном компьютере можно обнаружить инсталлятор червя. Он имеет имя ms*.exe (например, mshq.exe) и размер около 55 кб.
Червь создает в реестре ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSxx, в которо хранит различную информацию. В частности, раздел DAT этого ключа хранит найденные на компьютере email адреса.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

Сегодня у меня появилась свободная минутка, которую я посвятил анализу HTA файлов, которые применяются для закачки червя.
HTA файл содержит скрипт, часть которого зашифрована. Шифровка многоступенчатая:
1. В скрипте имеется несколько строковых переменных с несмысловыми именами, которые содержат текст фанкции-дешифратора. Данные в переменных представлены в формате %XX, где XX - код символа. Собственно "дешифрация" сводится к конкантенации строк и обработке содержащейся в ней информации при помощи unescape (в частности, в исследуемом образце это выглядело как "unescape(eb+lc+aqe+iao+hrb);". В результате получается текст функции, который выполняется с помощью eval (побочный эффект - функция становится доступной для последующего кода). Данная функция-дешифратор на входе получат строку, раскодирует ее и выводит в документ при помощи document.write
2. Производится вызов функции-дешифратора. Код 
i("T'mmsZF,mv$F'$jKw''9Z'x$ sZ= .... в скрипте на первый взгляд является мусором, но это не так - это вызов функции с именем "i" (эта функция получается на шаге 1), а бредовые на первый взгляд данные - это зашифрованный скрипт). 
3. Функция-дешифратор помещает расшифрованный скрипт в документ, и он исполняется. 
Размещенный в документе на шаге 3 скрипт собсвенно и делает всю работу. Его можно классифицировать как Trojan-Downloader. В теле скрипта имеется массив из нескольких адресов, с которых производится загрузка файла. Загрузка оригинальна - загружаемый файл текстовый, поэтому просто производится навигация на один из URL загрузки, а затем полученный текст считывается из Document.Body.InnerText. В моем случае файл сохранялся  в папке C:\Recycled\userinit.exe, причем в скрипте предусмотрена проверка наличия там этого файла. В случае отсутствия файла он создается и заполняется результатми расшифровки.
Примечательно, что в скрипте содержится адрес, на который был прислан скрипт - этот адрес сохраняется в реестре. Второй особенностью скрипт является попытка удаления в реестре сервисов pcipim, pcIPPsC, RapDrv, FirePM, KmxFile. Если хотя-бы одна из попыток удаления оказывается успешной, то скрипт определяет через реестр  путь к папке автозапуска и копирует туда загруженный/расшифрованный EXE файл. Если удаление было неспешным (т.е. предполагается, что таких сервисов в реестре не зарегистрировано), то происходит запуска загруженного файла. Кроме того, в скрипте есть код для прописывания а Active Setup\Installed Components\{CLSID вируса} параметра Stubpath, указывающего на загруженный файл.
Загруженный EXE файл является дроппером DLL, которая собственно и является вирусом.

Побочным эффектом работы червя является удаление всех сохраненных на компьютере cookies.

PS: Другое (достаточно полное и интересное) описание зверя можно найти на сайте
http://www.symantec.ru/avcenter/venc...2.feebs.a.html
http://www.symantec.ru/avcenter/[email protected]
http://www.viruslist.com/ru/viruses/...virusid=107701

----------


## MOCT

> PS: Другое (достаточно полное и интересное) описание зверя можно найти на сайте
> http://www.symantec.ru/avcenter/venc...2.feebs.a.html
> http://www.symantec.ru/avcenter/[email protected]
> http://www.viruslist.com/ru/viruses/...virusid=107701


у касперского левое описание.

вот продолжение серии от Симантека (действительно достаточно подробно, но тоже не о всем):
http://www.symantec.ru/avcenter/[email protected]

----------


## RiC

У доктора неплохое описание - http://info.drweb.com/virus/?virus=471

----------


## ScratchyClaws

http://virusinfo.info/showthread.php?t=5095
Олег, если речь идет об этом вирусе, то avz cо свежей базой его не видит!!

----------


## pig

Может быть, новая разновидность. На анализ его надо как-нибудь.

----------


## Xen

Сегодня получил свежую версию, на этот раз - якобы от HotMail ;-) После запуска HTA-шки происходит запуск дроппера msab.exe в System32, который экстрактит msvz32.dll, прпоисываемую в SSODL.

Далее библиотека внедряется в svchost.exe и маскирует процесс. Также маскируется файл либы на диске.



```
Logfile of XenAntiSpyware 4.2.8
Scan saved at 22:04:14, on 31.05.2006
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600) 
MSIE: Internet Explorer build 6.0.2900.2180

[Hidden] [Process] [1416] [svchost.exe]
[Delay Load Object] [msvz32.dll] [c:\windows\system32\msvz32.dll] *
```

Как избавиться от заразы: отметьте галочками два найденных пункта в XenAntiSpyware и нажмите Удалить. Или же перегрузитесь в безопасный режим и грохните файлы оттуда вручную.

----------


## Jay228

> Сегодня получил свежую версию, на этот раз - якобы от HotMail ;-) После запуска HTA-шки происходит запуск дроппера msab.exe в System32, который экстрактит msvz32.dll, прпоисываемую в SSODL.
> 
> Далее библиотека внедряется в svchost.exe и маскирует процесс. Также маскируется файл либы на диске.
> 
> 
> 
> ```
> Logfile of XenAntiSpyware 4.2.8
> Scan saved at 22:04:14, on 31.05.2006
> ...


Пробывал грохнуть с безопасного он опять появился...и есчо одно когда в безопасный режим вошел очередной раз его необнаружил ниодин из : Avast,avz,Dr.Web  после этого загрузил в обычном режиме систему появился...Аваст предлагает удалить файл mscn32.dll ...ставлю галочку удалить при след.загрузке системы..тоже самое...
П.С. при загрузке винды постоянно вылетает окно svchost

?? Как его сделать

----------


## Макcим

> Как его сделать


Я Вам ответил http://virusinfo.info/showpost.php?p=168939&postcount=2

----------

