На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Email-Worm

Email-Worm.Win32.Bagle.fy


Rootkit:  Да
Видимые проявления:  Появление перехватов в KernelMode, перехватчик m_hook.sys
Маскирующийся процесс hidn1.exe

Распространяется в виде писем электронной почты, содержащих запароленный ZIP архив. Примерный текст письма:
I love you
Password -- <картинка>
Текст письма может немного видоизменяться - в теле червя есть несколько вариантов текстовки и набор имен, которые подставляются в заголовок.
Пароль к архиву приложен к письму в виде GIF картинки, паролем является пятизначное число. Архив содержит исполняемый файл (имя типа yqvabhccef.exe) размером 69 кб и папку, содержащую файл с расширением DLL.  
В случае запуска (а для его запуска необходимо вручную извлечь исполняемый файл из архива, указав при этом пароль) создает файл Documents and Settings\<имя профиля>\Application Data\hidn\hidn.exe и запускает его, после чего запущенный завершает работу.
Файл hidn.exe в свою очередь выполняет следующие действия:
1. Создает и загружает драйвер Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys и проводит обмен с ним. Драйвер регистрируется под именем m_hook, имя устройства - \\.\m_hook. Сам драйвер хранится внутри hidn.exe и сохраняется на диске перед установкой.
2. создает в корне диска файл error.gif и отображает его пользователю при помощи "rundll32.exe WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\error.gif". Изображение в файле error.gif содержит текст "Error".
3. Создает в реестре ключ с HKCU\Software\FirstRuxzx и параметр FirstRun = 1 в нем. Удаляет ключ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
4. Пытается удалить файл WINDOWS\system32\re_file.exe
5. Загружает из Интернет  файл и сохраняет его под именем WINDOWS\system32\re_file.exe. Шаги 4 и 5 повторяются многократно, меняется только сайт, ск оторого делается попытка закачки файла
6. Пересоздает в корне диска файл temp.zip. Этот архив собственно и рассылается червем по почте

В процессе работы червь сканирует диск и анализирует содержимое файлов (в частности, txt, cfg, msg, htm). Программа hidn.exe регистрируется в автозапуске стандартным образом

Драйвер m_hook.sys является руткитом и применяется для маскировки. При помощи драйвера производится маскировка процесса hidn.exe (процесс обнаруживается диспетчером процессов AVZ с отметкой о маскировке на уровне ядра. Перехваты руткита детектируются следующим образом:

Функция ZwCreateFile (25) перехвачена (8057164C->F8BA617E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwEnumerateKey (47) перехвачена (8056F76A->F8BA64C2), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwEnumerateValueKey (49) перехвачена (805801FE->F8BA620E), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQueryDirectoryFile (91) перехвачена (80574DAD->F8BA6762), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQueryKey (A0) перехвачена (8056F473->F8BA6B30), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->F8BA6908), перехватчик C:\Documents and Settings\User\Application Data\hidn\m_hook.sys

Как видно из набора перехваченных функций, данный руткит реализует все базовые виды маскировки - реестр, файлы на диске и процессы в памяти. Кроме того, драйвер может бороться  с антивирусами и утилитами мониторинга - в его теле есть база данных с именами:

filtnt.sys  guardnt.sys zonealarm.exe zlclient.exe  zatutor.exe VsStat.exe  Vshwin32.exe  Vba32PP3.exe
vba32ldr.exe  Vba32ifs.exe  Vba32ECM.exe  upgrepl.exe Up2Date.exe tmproxy.exe TmPfw.exe
Tmntsrv.exe symlcsvc.exe  spiderml.exe  SPBBCSvc.exe  SNDSrvc.exe RuLaunch.exe 
regedt32.exe  regedit.exe Realmon.exe QHPF.EXE  PcCtlCom.exe  pccguide.exe 
outpost.exe Nvcut.exe Nvcte.exe Nvcod.exe npfmsg.exe  NPFMNTOR.EXE  nod32kui.exe 
nod32.exe NAVAPSVC.EXE  Mcshield.exe  Luupdate.exe  LUALL.EXE KAVPF.exe kavmm.exe
KAV.exe isafe.exe InoUpTNG.exe  InocIT.exe  INETUPD.EXE GuardNT.exe GUARDGUI.EXE
freshclam.exe drwebupw.exe  drwebscd.exe  drweb32w.exe  drwadins.exe  CMGrdian.exe  ClamWin.exe
ClamTray.exe  CCSETMGR.EXE  CCEVTMGR.EXE  ccApp.exe cafix.exe bdswitch.exe  bdsubmit.exe bdnews.exe  bdmcon.exe  AVWUPD32.EXE  Avsynmgr.exe  AVSCHED32.EXE AVGNT.EXE avgemc.exe  avgcc.exe Avconsol.exe  AUPDATE.EXE ashWebSv.exe  ashSkPck.exe  ashSimpl.exe  ashPopWz.exe  ashEnhcd.exe  ashDisp.exe ashAvast.exe


Как легко заметить, помимо антивирусов блокируется работа редактора реестра

Удаление вручную:
1. При помощи диспетчера процессов AVZ остановить маскирующийся процесс hidn.exe
2. Произвести проверку ПК с включенной нейтрализацией KernelMode руткитов
3. После нейтрализации удалить файлы C:\Documents and Settings\<имя профиля>\Application Data\hidn\m_hook.sys, C:\Documents and Settings\<имя профиля>\Application Data\hidn\ hidn.exe вместе с папкой hidn. Удаление рекомендуется производить при помощи отложенного удаления AVZ, т.к. в этом случае производится автоматическая чистка реестра.
4. Удалить temp.zip в корне диска и WINDOWS\system32\re_file.exe
5. Перезагрузиться. В случае удаления вручную после перезагрузки необходимо удалить ключ реестра HKLM\SYSTEM\CurrentControlSet\Services\m_hook и параметр ключа Run, применяемый для запуска hidn.exe

Восстановление ключа реестра SafeBoot вручную

Как уже сказано в описании, вирус удаляет ключ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot, что не влияет на работу системы, но нарушает загрузку в защищенном режиме (Safe Mode). С технической точки зрения ключ SafeBoot содержит два подключа - Minimal и Network. Вирус удаляет все подключи ключей Minimal и Network. Восстановить повреждение можно двумя путями - при помощи резервной копии или про помощи REG файла, в который были экспортированы данные ключи с ПК, содержащего аналогичную версию Windows. Второй вариант не совсем корректный, но при отсуствии резервной копии может помочь. В частности, вот REG файл для XP SP2
Кроме того, есть еще один метод восстановления попрченного ключа. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
3. Импортировать модифицированный файл
Данная операция может быть успешной сразу после запуска червя, до перезагрузки.

Автоматическое восстановление ключа реестра SafeBoot
Для автоматического восстановления в базы AVZ 23.06 введена микропрограмма, производящее восстановление удаленных ключей реестра. Она называется "Восстановление настроек загрузки в SafeMode" и может быть запущена через "Файл/восстановление системы". Набор восстанавливаемых ключей определяется автоматически, поддерживаются W2K, XP, W2K3. 

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.