NABLA1986
28.07.2009, 01:25
:? прочитал несколько страниц в разделе помощи, попробовал удалить - и у меня после целого дня мучений почти получилось. Имеется файл winupgro.exe - тело вируса, и несколько логов, сделаных в процесе удаления (если кому понадобятся). В результате удалось запустить ESET NOD32 после переустановки, но все таки остается перехватчик spjq.sys ... это после выполнения скрипта AVZ по удалению руткитов... В общем, вот собраная мной информация из постов различных пользователей, прошу дополнить и подкорректировать меня, потому как инфа очень нужная.
Win32.HLLM.Beagle
Проявляется так: устанавливать новую версию McAfee - она не устанавливается. Попробоватьустановить DrWeb - тоже не получается. Nod32, AVAST - тот же результат. Norton Antivirus - тоже не получается. При попытках установки вышеперечисленных программ появляются разные сообщения о невозможности установки (типа: "Удалось скопировать не все файлы" или: "Отсутствует файл [такой-то], или просто: "Программа установки не выполнена"). При попытке установки Norton Antivirus появлялись сообщения "Отсутствует файл [такой-то]. Тогда я стал искать в интернете информацию. И на сайте DrWeb нашел, что такое пишут про вирус Win32.HLLM.Beagle - мол, он удаляет файлы и завершает процессы, относящиеся к различным популярным антивирусным программам. По рекомендации на том же сайте скачал программу , запустил, и она тут же нашла файл, зараженный червем Win32.HLLM.Beagle. Это файл: documents and settings/<current user name>/application data/m_hook.sys (или подобный этому руткит)
(Какая именно разновидность Win32.HLLM.Beagle - этого CureIt не сообщает). CureIt удаляет файл m_hook.sys, но после перезагрузки он снова появляется.
Этот вирус имеет три состояния.
1. Это файл, который вы запускаете (winupgro.exe).
2. После запуска вирус сшибает всю защиту (антивирусник, брандмауэр (у меня снёс "NOD32" с последней вирусной базой - тот и ахнуть не успел) и не даёт запустить антивирусник и переустановить его. Затем вживляется в какую-нибудь программу из списка автозапуска (у меня выбрал "Punto switcher") и затем перезагружает систему.
3. После перезагрузки (автозапуска) заражённая программа (сама программа у меня не запускалась) создаёт сам червь в директории "C:\Documents and Settings\user\Application Data\drivers\winupgro.exe", который начинает поиск чего-то и пытается отправить (по данным из инета) на "http://pic.ipicture.ru/uploads/090107/". В инете ктото писал, что он сжигает жёсткий диск.
При этом все эти состояния обнаруживаются только свежайшими версиями вирусных баз (у меня NOD32 - 3924 (с 3919 не видел)) и только в момент активности вируса. И вся прелесть в том, что вы можете обнаружить и удалить только тип 1 и 3, но после перезагрузки тип 2 сразу создаёт тип 3.
Удалил я его только с помощью программы "Process lasso". Эта программа может блокировать процес (winupgro.exe) при загрузке (если сама автоматически стартует при загрузке). После блокирования вируса я переустановил и обновил антивирусник, просканировал все жёсткие диски, но это ничего не дало. После перезагрузки антивирусник перехватил активность заражённой программы (у меня "Punto switcher" (тип 2)) и удалил её. После обнаружения и удаления типа 2 проверьте наличие папки "C:\Documents and Settings\user\Application Data\drivers" - она скрытая, поэтому включите опцию просмотра скрытых папок. Если она существует обязательно удалите её и всё содержимое и затем очистите корзину. На этом страшная сказка заканчивается, но о ней напоминает труп брандмауэра Windows.
Rootkit. Видимые проявления:
Появление перехватов в KernelMode, перехватчик m_hook.sys
Маскирующийся процесс hidn1.exe
Распространяется в виде писем электронной почты, содержащих запароленный ZIP архив. Примерный текст письма:
I love you
Password -- <картинка>
Текст письма может немного видоизменяться - в теле червя есть несколько вариантов текстовки и набор имен, которые подставляются в заголовок.
Пароль к архиву приложен к письму в виде GIF картинки, паролем является пятизначное число. Архив содержит исполняемый файл (имя типа yqvabhccef.exe) размером 69 кб и папку, содержащую файл с расширением DLL.
В случае запуска (а для его запуска необходимо вручную извлечь исполняемый файл из архива, указав при этом пароль) создает файл Documents and Settings\<имя профиля>\Application Data\hidn\hidn.exe и запускает его, после чего запущенный завершает работу.
Файл hidn.exe в свою очередь выполняет следующие действия:
1. Создает и загружает драйвер Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys и проводит обмен с ним. Драйвер регистрируется под именем m_hook, имя устройства - \\.\m_hook. Сам драйвер хранится внутри hidn.exe и сохраняется на диске перед установкой.
2. создает в корне диска файл error.gif и отображает его пользователю при помощи "rundll32.exe WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\error.gif". Изображение в файле error.gif содержит текст "Error".
3. Создает в реестре ключ с HKCU\Software\FirstRuxzx и параметр FirstRun = 1 в нем. Удаляет ключ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
4. Пытается удалить файл WINDOWS\system32\re_file.exe
5. Загружает из Интернет файл и сохраняет его под именем WINDOWS\system32\re_file.exe. Шаги 4 и 5 повторяются многократно, меняется только сайт, ск оторого делается попытка закачки файла
6. Пересоздает в корне диска файл temp.zip. Этот архив собственно и рассылается червем по почте
В процессе работы червь сканирует диск и анализирует содержимое файлов (в частности, txt, cfg, msg, htm). Программа hidn.exe регистрируется в автозапуске стандартным образом
Драйвер m_hook.sys является руткитом и применяется для маскировки. При помощи драйвера производится маскировка процесса hidn.exe (процесс обнаруживается диспетчером процессов AVZ с отметкой о маскировке на уровне ядра. Перехваты руткита детектируются следующим образом:
Функция ZwCreateFile (25) перехвачена (8057164C->F8BA617E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwEnumerateKey (47) перехвачена (8056F76A->F8BA64C2), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwEnumerateValueKey (49) перехвачена (805801FE->F8BA620E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQueryDirectoryFile (91) перехвачена (80574DAD->F8BA6762), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQueryKey (A0) перехвачена (8056F473->F8BA6B30), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->F8BA6908), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Как видно из набора перехваченных функций, данный руткит реализует все базовые виды маскировки - реестр, файлы на диске и процессы в памяти. Кроме того, драйвер может бороться с антивирусами и утилитами мониторинга - в его теле есть база данных с именами:
filtnt.sys guardnt.sys zonealarm.exe zlclient.exe zatutor.exe VsStat.exe Vshwin32.exe Vba32PP3.exe
vba32ldr.exe Vba32ifs.exe Vba32ECM.exe upgrepl.exe Up2Date.exe tmproxy.exe TmPfw.exe
Tmntsrv.exe symlcsvc.exe spiderml.exe SPBBCSvc.exe SNDSrvc.exe RuLaunch.exe
regedt32.exe regedit.exe Realmon.exe QHPF.EXE PcCtlCom.exe pccguide.exe
outpost.exe Nvcut.exe Nvcte.exe Nvcod.exe npfmsg.exe NPFMNTOR.EXE nod32kui.exe
nod32.exe NAVAPSVC.EXE Mcshield.exe Luupdate.exe LUALL.EXE KAVPF.exe kavmm.exe
KAV.exe isafe.exe InoUpTNG.exe InocIT.exe INETUPD.EXE GuardNT.exe GUARDGUI.EXE
freshclam.exe drwebupw.exe drwebscd.exe drweb32w.exe drwadins.exe CMGrdian.exe ClamWin.exe
ClamTray.exe CCSETMGR.EXE CCEVTMGR.EXE ccApp.exe cafix.exe bdswitch.exe bdsubmit.exe bdnews.exe bdmcon.exe AVWUPD32.EXE Avsynmgr.exe AVSCHED32.EXE AVGNT.EXE avgemc.exe avgcc.exe Avconsol.exe AUPDATE.EXE ashWebSv.exe ashSkPck.exe ashSimpl.exe ashPopWz.exe ashEnhcd.exe ashDisp.exe ashAvast.exe
Как легко заметить, помимо антивирусов блокируется работа редактора реестра
Удаление вручную:
1. При помощи диспетчера процессов AVZ остановить маскирующийся процесс hidn.exe
2. Произвести проверку ПК с включенной нейтрализацией KernelMode руткитов
3. После нейтрализации удалить файлы C:\Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys, C:\Documents and Settings\<имя профиля>\Application Data\hidn\ hidn.exe вместе с папкой hidn. Удаление рекомендуется производить при помощи отложенного удаления AVZ, т.к. в этом случае производится автоматическая чистка реестра.
4. Удалить temp.zip в корне диска и WINDOWS\system32\re_file.exe
5. Перезагрузиться. В случае удаления вручную после перезагрузки необходимо удалить ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\m_hook и параметр ключа Run, применяемый для запуска hidn.exe
В принципе есть несколько разновидностей этого вируса, но суть у них одна, разные только некоторые файлы. Поэтому нужно сделать общее описание методов борьбы с ними здесь (хотя индивидуальная помощь конечно лучше, но все таки ...). Извините, если что не так написал и спасибо авторам постов за ценную информацию.
Win32.HLLM.Beagle
Проявляется так: устанавливать новую версию McAfee - она не устанавливается. Попробоватьустановить DrWeb - тоже не получается. Nod32, AVAST - тот же результат. Norton Antivirus - тоже не получается. При попытках установки вышеперечисленных программ появляются разные сообщения о невозможности установки (типа: "Удалось скопировать не все файлы" или: "Отсутствует файл [такой-то], или просто: "Программа установки не выполнена"). При попытке установки Norton Antivirus появлялись сообщения "Отсутствует файл [такой-то]. Тогда я стал искать в интернете информацию. И на сайте DrWeb нашел, что такое пишут про вирус Win32.HLLM.Beagle - мол, он удаляет файлы и завершает процессы, относящиеся к различным популярным антивирусным программам. По рекомендации на том же сайте скачал программу , запустил, и она тут же нашла файл, зараженный червем Win32.HLLM.Beagle. Это файл: documents and settings/<current user name>/application data/m_hook.sys (или подобный этому руткит)
(Какая именно разновидность Win32.HLLM.Beagle - этого CureIt не сообщает). CureIt удаляет файл m_hook.sys, но после перезагрузки он снова появляется.
Этот вирус имеет три состояния.
1. Это файл, который вы запускаете (winupgro.exe).
2. После запуска вирус сшибает всю защиту (антивирусник, брандмауэр (у меня снёс "NOD32" с последней вирусной базой - тот и ахнуть не успел) и не даёт запустить антивирусник и переустановить его. Затем вживляется в какую-нибудь программу из списка автозапуска (у меня выбрал "Punto switcher") и затем перезагружает систему.
3. После перезагрузки (автозапуска) заражённая программа (сама программа у меня не запускалась) создаёт сам червь в директории "C:\Documents and Settings\user\Application Data\drivers\winupgro.exe", который начинает поиск чего-то и пытается отправить (по данным из инета) на "http://pic.ipicture.ru/uploads/090107/". В инете ктото писал, что он сжигает жёсткий диск.
При этом все эти состояния обнаруживаются только свежайшими версиями вирусных баз (у меня NOD32 - 3924 (с 3919 не видел)) и только в момент активности вируса. И вся прелесть в том, что вы можете обнаружить и удалить только тип 1 и 3, но после перезагрузки тип 2 сразу создаёт тип 3.
Удалил я его только с помощью программы "Process lasso". Эта программа может блокировать процес (winupgro.exe) при загрузке (если сама автоматически стартует при загрузке). После блокирования вируса я переустановил и обновил антивирусник, просканировал все жёсткие диски, но это ничего не дало. После перезагрузки антивирусник перехватил активность заражённой программы (у меня "Punto switcher" (тип 2)) и удалил её. После обнаружения и удаления типа 2 проверьте наличие папки "C:\Documents and Settings\user\Application Data\drivers" - она скрытая, поэтому включите опцию просмотра скрытых папок. Если она существует обязательно удалите её и всё содержимое и затем очистите корзину. На этом страшная сказка заканчивается, но о ней напоминает труп брандмауэра Windows.
Rootkit. Видимые проявления:
Появление перехватов в KernelMode, перехватчик m_hook.sys
Маскирующийся процесс hidn1.exe
Распространяется в виде писем электронной почты, содержащих запароленный ZIP архив. Примерный текст письма:
I love you
Password -- <картинка>
Текст письма может немного видоизменяться - в теле червя есть несколько вариантов текстовки и набор имен, которые подставляются в заголовок.
Пароль к архиву приложен к письму в виде GIF картинки, паролем является пятизначное число. Архив содержит исполняемый файл (имя типа yqvabhccef.exe) размером 69 кб и папку, содержащую файл с расширением DLL.
В случае запуска (а для его запуска необходимо вручную извлечь исполняемый файл из архива, указав при этом пароль) создает файл Documents and Settings\<имя профиля>\Application Data\hidn\hidn.exe и запускает его, после чего запущенный завершает работу.
Файл hidn.exe в свою очередь выполняет следующие действия:
1. Создает и загружает драйвер Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys и проводит обмен с ним. Драйвер регистрируется под именем m_hook, имя устройства - \\.\m_hook. Сам драйвер хранится внутри hidn.exe и сохраняется на диске перед установкой.
2. создает в корне диска файл error.gif и отображает его пользователю при помощи "rundll32.exe WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\error.gif". Изображение в файле error.gif содержит текст "Error".
3. Создает в реестре ключ с HKCU\Software\FirstRuxzx и параметр FirstRun = 1 в нем. Удаляет ключ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
4. Пытается удалить файл WINDOWS\system32\re_file.exe
5. Загружает из Интернет файл и сохраняет его под именем WINDOWS\system32\re_file.exe. Шаги 4 и 5 повторяются многократно, меняется только сайт, ск оторого делается попытка закачки файла
6. Пересоздает в корне диска файл temp.zip. Этот архив собственно и рассылается червем по почте
В процессе работы червь сканирует диск и анализирует содержимое файлов (в частности, txt, cfg, msg, htm). Программа hidn.exe регистрируется в автозапуске стандартным образом
Драйвер m_hook.sys является руткитом и применяется для маскировки. При помощи драйвера производится маскировка процесса hidn.exe (процесс обнаруживается диспетчером процессов AVZ с отметкой о маскировке на уровне ядра. Перехваты руткита детектируются следующим образом:
Функция ZwCreateFile (25) перехвачена (8057164C->F8BA617E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwEnumerateKey (47) перехвачена (8056F76A->F8BA64C2), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwEnumerateValueKey (49) перехвачена (805801FE->F8BA620E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQueryDirectoryFile (91) перехвачена (80574DAD->F8BA6762), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQueryKey (A0) перехвачена (8056F473->F8BA6B30), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->F8BA6908), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Как видно из набора перехваченных функций, данный руткит реализует все базовые виды маскировки - реестр, файлы на диске и процессы в памяти. Кроме того, драйвер может бороться с антивирусами и утилитами мониторинга - в его теле есть база данных с именами:
filtnt.sys guardnt.sys zonealarm.exe zlclient.exe zatutor.exe VsStat.exe Vshwin32.exe Vba32PP3.exe
vba32ldr.exe Vba32ifs.exe Vba32ECM.exe upgrepl.exe Up2Date.exe tmproxy.exe TmPfw.exe
Tmntsrv.exe symlcsvc.exe spiderml.exe SPBBCSvc.exe SNDSrvc.exe RuLaunch.exe
regedt32.exe regedit.exe Realmon.exe QHPF.EXE PcCtlCom.exe pccguide.exe
outpost.exe Nvcut.exe Nvcte.exe Nvcod.exe npfmsg.exe NPFMNTOR.EXE nod32kui.exe
nod32.exe NAVAPSVC.EXE Mcshield.exe Luupdate.exe LUALL.EXE KAVPF.exe kavmm.exe
KAV.exe isafe.exe InoUpTNG.exe InocIT.exe INETUPD.EXE GuardNT.exe GUARDGUI.EXE
freshclam.exe drwebupw.exe drwebscd.exe drweb32w.exe drwadins.exe CMGrdian.exe ClamWin.exe
ClamTray.exe CCSETMGR.EXE CCEVTMGR.EXE ccApp.exe cafix.exe bdswitch.exe bdsubmit.exe bdnews.exe bdmcon.exe AVWUPD32.EXE Avsynmgr.exe AVSCHED32.EXE AVGNT.EXE avgemc.exe avgcc.exe Avconsol.exe AUPDATE.EXE ashWebSv.exe ashSkPck.exe ashSimpl.exe ashPopWz.exe ashEnhcd.exe ashDisp.exe ashAvast.exe
Как легко заметить, помимо антивирусов блокируется работа редактора реестра
Удаление вручную:
1. При помощи диспетчера процессов AVZ остановить маскирующийся процесс hidn.exe
2. Произвести проверку ПК с включенной нейтрализацией KernelMode руткитов
3. После нейтрализации удалить файлы C:\Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys, C:\Documents and Settings\<имя профиля>\Application Data\hidn\ hidn.exe вместе с папкой hidn. Удаление рекомендуется производить при помощи отложенного удаления AVZ, т.к. в этом случае производится автоматическая чистка реестра.
4. Удалить temp.zip в корне диска и WINDOWS\system32\re_file.exe
5. Перезагрузиться. В случае удаления вручную после перезагрузки необходимо удалить ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\m_hook и параметр ключа Run, применяемый для запуска hidn.exe
В принципе есть несколько разновидностей этого вируса, но суть у них одна, разные только некоторые файлы. Поэтому нужно сделать общее описание методов борьбы с ними здесь (хотя индивидуальная помощь конечно лучше, но все таки ...). Извините, если что не так написал и спасибо авторам постов за ценную информацию.