О вирусе

Создано Krolm Понедельник, Ноябрь 5th 2007 under: Вирусы Метки: Windows, Вирусы

Последнее время я не пользовался антивирусом. Мне казалось, ушли те славные времена, когда использовалось заражение файлов своим телом, скрытая загрузка, внедрения в процессы.
«Какие сейчас вирусы?» – думал я. msconfig – и все как на ладони. Ан нет! Обжегся. Подцепил заразу и пострадал.
Как этот вирус классифицировать – хз. На локалке каспер не ругался, а после того, как я его вычислил и проверил через on-line форму, каспер заявил что это Packed.Win32.PolyCrypt.b. Расшифровывать это имя надо как «Какая-то зашифрованная хрень, которую влом распаковывать». То есть, будем считать, что каспер его не знает. Тем более что подобных симптомов, я в вирусной энциклопедии не нашел.
Итак поподробнее о виновнике торжества и 2 дней забивания на работу.

Тело вируса: c_437h.exe, 1031t.exe и т.д., вирус название выбирает себе рандомом по уже имеющимся файлам путем прибавки к имени файла произвольной буквы английского алфавита и смены расширения на exe.
Размер: 48352 байта
Расположение: %WinDir%/system32/
Атрибутика: полный набор – скрытый, системный, архивный
Автозапуск: [HKLM/SYSTEM/ControlSet001/Services/+ЗАПИСЬ], [HKLM/SYSTEM/ControlSet003/Services/+ЗАПИСЬ]
где ЗАПИСЬ – имя, сформированное из первых слов 2 рандомных ключей. Вся информация в подключах, описание сервиса копируется из первого ключа, за исключением месторасположения сервиса на жестком диске. Итого создается несколько сервисов в виндовс, имеющих тело вируса как исполняемые модули.У меня было:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDSessMgranbmServiceRDSessMgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\anbmServiceRDSessMgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AQtimeProtectedStorage
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetlogonNtLmSsp
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RDSessMgranbmServiceRDSessMgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ScheduleAudioSrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\seclogonScheduleAudioSrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Messengerodserv
И др.
Вредоносные действия:После старта модуля использует либо внедрение в процесс SVCHOST либо маскируется под него. После этого последовательно с интервалом в несколько секунд открывает порты и отправляет приватную информацию с вашего компьютера. Лично у меня была зафиксирована передача паролей от ФТП серверов, сохраненных в GlobalScape CuteFTP. Вполне возможно, что деятельность вируса расширена дальше, так как на моем хостинге появилась папка topimgbak с хранящимся внутри скриптом img1.php. Результатом стало заражение всех хтмл файлов на хостинге путем вставки в конец файла следующего и похожих javascript кодов:Которые в общем случае загружают код вируса на компьютеры посетителей сайтов, и накручивают клики.Непонятным остается, на сколько автоматически было произведено заражение хостинга – но факт есть факт, хостинг заразился уже в тот же день когда на компьютер попал вирус.Судя по тому, что Касперский не препятствовал передаче данных, а даже наоборот, сообщил что SVCHOST.exe не может получить доступ в сеть и стоит проверить, разрешено ли ему подключаться к IP 88.255.90.74 в настройках фаервола. Так как сообщение быстро погасло я не уверен, что IP адрес запомнил правильно, впрочем подобного рода сообщения все равно могут служить неким сигналом при обнаружении угрозы.
Как обнаружить:
Пуск->Выполнить
Cmd
Серия тестов netstat –a –o
Если вирус присутствует то у одного процесса постоянно будет меняться порт прослушивания (протокол UDP)