VirusHunter предупреждает пользователей ПК об обнаружении в сети Интернет опасного хакерского вируса Backdoor.Chernovtsy.2002, позволяющего получать контроль над зараженной машиной через сеть Интернет...


Предварительная информация.

Примерно 13 декабря 2002 года неизвестные злоумышленники распространили по Черновцам и, возможно, по другим городам Украины совершенно новый хакерский вирус, относящийся к семейству т.н. Backdoor-вирусов. Многие фирмы и организации нашего города понесли ущерб в результате заражения компьютеров данным вирусом.
Вирусы такого рода являются вредоносными программами, которые похищают конфиденциальную информацию с зараженных машин (по анлогии с вирусом Badtrans.B, описанном в выпуске моего VirInfo_07) и при этом еще и открывают доступ через Интернет хакерам ко всем жестким дискам Вашей машины, в результате чего они (хакеры) могут распоряжаться Вашей информацией как хотят: копировать ее, уничтожать, блокировать работу в Интернете и многое др. Ниже подробно описываю вирус Backdoor.Chernovtsy.2002 (авторы вируса назвали его System Manager 2.1, о чем свидетельствует текстовый фрагмент [строка-"копирайт"], присутсвующий во всех компонентах вредоносной программы, включая и ее дистрибутив).


1. Как данный вирус попадает в машину.

Злоумышленники разослали почтовое послание в виде HTML-странички (непосредственно ее тело не содержит абсолютно никаких вредоносных кодов), содержащей ссылки, по которым пользователи могут якобы попасть на самый популярный сайт автомашин (ложная ссылка), программных архивов Украины (действительно программный сайт), а также скачать целый ряд "Телефонных справочников" городов Украины за 2002 год. Однако данные ссылки являлись всего лишь приманкой для пользователей; ни одна из ссылок на "Телефонные справочники" не срабатывала, кроме одной: "Телефонного справочника" г. Черновцы на 2002 г. Я сам в свое время купился на это, закачав по ссылке справочник нашего города... Вирус был обнаружен только спустя 2 дня, т.к. активизируется довольно непросто и действует скрытно...


2. Интернет-страничка с "Телефонными справочниками".

Сначала о безобидном послании:

В поле "От": UFA

Тема послания: Телефонные справочники Украины (исправления + дополнения)

Никаких приложений послание не содержало. Адрес "отправителя" в реальности не существовал, т.к. послание было сгенерировано при помощи специальной хакерской программы, позволяющей не только в оболочке послания, но и в его теле (в строке "Return-Path" - обратный адрес отправителя) прописать произвольный адрес.
В тексте послания был приведен целый ряд ссылок, по которым якобы можно было скачать телефонные справочники таких городов Украины, как Киев, Днепропетровск, Николаев и т.д., в том числе и Черновцов. При этом ни одна из указанных ссылок не работала, кроме той, что указывала на файл с Черновицким телефонным справочником.


3. Инсталляция вредоносной программы в машину.

Закачав по ссылке http://www.cv-soft.siteid.net/files/tel2002.exe (в настоящее время убрана злоумышленниками) файл tel2002.exe размером 425984 байта, пользователь в реальности закачивал дистрибутив (программу-инсталлятор) вредоносной программы. После того, как пользователь собственноручно запускает данный файл, появляется иконка


Вне зависимости от того, какую именно из опций выберет пользователь, троянская программа инсталлирует себя в систему. При этом, если пользователь указывает путь к распаковке мнимого архива и нажимает опцию "Извлечь", троянец выдает на экран ложное сообщение об ошибке распаковки:


Если пользователь выбрал опцию "Button1", вирус выдает другое ложное сообщение:


Если же пользователь выбирает опцию "Отмена" или просто закрывает программное меню, то троянец инсталлирует себя в систему, не выдавая при этом никаких сообщений.
Вирус написан на языке C++. В его состав входят 2 компонента-близнеца, которые так же, как и программа-инсталлятор, имеют размер по 425984 байта каждый, а также файловые атрибуты и дату модификации, соответствующие программе-инсталлятору (дата модификации последней соответствует моменту окончания ее закачки из Интернета в машину пользователя). Отличаются компоненты от программы-инсталлятора лишь фрагментами машинного кода (проявление полиморфности). Оба компонента прописываются в системную поддиректорию C:\WINDOWS под названиями config.exe и sysman.exe.
Для возможности своей активизации при каждом старте системы троянская программа прописывает в реестр ключ автозапуска своего компонента config.exe. Ключ имеет название "System" и выглядит следующим образом:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
 "System"="C:\\WINDOWS\\config.exe"


Под Windows 9X/ME троянец дополнительно прописывает ссылку на файл sysman.exe в системном файле system.ini, также расположенном в директории C:\WINDOWS. Ссылка устанавливается в секции [boot] в строке автозапуска системной оболочки Explorer. Измененная вирусом строка имеет следующий вид:

[boot]
shell=Explorer.exe sysman.exe

Благодаря данной ссылке, компонент sysman.exe активизируется при каждом старте системы как вспомагательный модуль системного приложения Explorer. При этом, несмотря на свою активность во время работы под Windows, данный компонент не фигурирует ни в одном из служебных списков активных процессов системы, оставаясь абсолютно неприметным. Кроме того, он запускает при старте системы компонент config.exe, предварительно блокируя прописанный программой-инсталлятором вышеуказанный ключ автозапуска; config.exe загружается в память машины, после чего выгружает из памяти системы процесс "sysman.exe".
Благодаря такому способу активизации с использованием компонента sysman.exe, компонент config.exe также не фигурирует ни в одном из служебных списков активных процессов системы (поэтому я и обнаружил вирус только спустя почти 2 дня), оставаясь при этом резидентно в системной памяти вплоть до завершения работы Windows.


4. Проявления вируса. Похищение конфиденциальной информации.

Проявляет себя вирус только в момент установки связи с Интернетом, выдавая ничем неоправданное ложное сообщение, чтобы сбить пользователя с толку:


Кроме показа данного сообщения вирус больше никак видимо не проявляет своего присутствия в машине.
Компонент config.exe выуживает из системы конфиденциальные пользовательские данные: пароль для входа в Windows (если есть), логин и пароль для входа в сеть Интернет, сетевой пароль (если есть), имя компьютера, текущий IP-адрес машины в сети Интернет и некоторые др. вещи. Все эти данные вирус помещает в закодированном виде в какой-то временный файл (название файла я не обнаружил в теле вируса - скорее всего, оно генерируется им случайно), который прикрепляется к сгенерированному вирусом посланию с темой "2.1: File for you". Послание имеет HTML-формат и, судя по всему, отсылается хакерам при помощи почтовой службы MS Outlook, если таковая установлена в системе; в противном случае, вирус использует прямое подключение к SMTP-серверу Интернет-провайдера (логического сервера отправляемых сообщений) и отправляет послание самостоятельно.
Вирусное послание отсылается на следующие адреса черновицких пользователей:

chpost@cv.ukrtel.net - почтовое отделение г.Черновцы;
dispetcher@tk.cv.ua - диспетчерская;
nbm@chv.ukrpack.net - теле-радио-канал НБМ;
passage@unicom.cv.ua - магазин "Пассаж";
weekend@west.com.ua - туристическая фирма;
molbuk@sacura.net - редакция газеты "Молодой буковинец".

Пользователи этих машин, скорее всего, даже и не подозревали о том, что их почтовые ящики используются хакерами для транзита похищенной конфиденциальной информации со всего города. Дело в том, что вирус отправляет похищенную информацию на указанные адреса только в ночное время (т.е. только тогда, когда зараженные машины находятся в сети Интернет в определеный временной промежуток ночи, что троянец определяет по системному таймеру), когда вышеуказанные фирмы и организации уже закончили работу и их почтовые ящики 100%-но не проверяются законными владельцами. Тогда-то хакеры и заглядывали в эти самые почтовые ящики, взломанные каким-то образом, очевидно еще задолго до создания вредоносной программы, и забирали отосланные вирусом вышеупомянутые послания с вложениями. Тут злоумышленникам сыграло наруку то, что ни на одном из серверов черновицких фирм-провайдеров Интернета не установлен CallBack - программа проверки кроме логина и пароля пользователя еще и телефонного номера, с которого осуществляется попытка соединения с сервером провайдера. В результате этого, похитив пользовательские данные и используя их, хакеры могут устанавливать связь с любого телефонного номера.
Кроме вышеуказанных адресов пользователей, всю извлеченную информацию вирус транслирует:

 - на машину неизвестного администратора, расположенную в подсети сервера Инфокома
212.1.104.;

 - на почтовые адреса хакеров, которые троянец считывал из файлов info.txt , вызывая их содержимое на просмотр по ссылкам
http://vhsoft.boom.ru/files/info.txt (была расположена на одной из страниц сервера компании “MAIL.RU”) и http://vhsoft.tripod.com/files/info.txt (была расположена на одной из страниц сервера компании “TRIPOD”). Эти файлы содержали на тот момент следующие 2 адреса: vhsoft@softhome.net (очевидно, является базовым, т.к. прописан и в теле вируса) и vhsoft@netbox.ru . Данный способ крайне удобен: список хакерских почтовых адресов в файлах info.txt можно постоянно пополнять и изменять; при этом исключается необходимость вносить данные изменения каждый раз непосредственно в код вредоносной программы.

Всю информацию, которую вирус уже отослал с зараженной машины, он хранит в зашифрованном виде в файле Send.dat, создаваемом в одном из подкаталогов Windows-системы, и сверяет перед очередной отправкой содержимое этого файла с данными, помещаемыми во временный файл для последующей трансляции на все упомянутые адреса и хакерскую машину.


5. Апгрэйд вредоносной программы через сеть Интернет.

Вирус наделен способностью апгрейдить себя через Интернет (т.е. обновлять свои компоненты). Компонент sysman.exe может быть обновлен более новой версией, которую вирус вызывает с какого-то сервера. Обновленный компонент называется vprupdate.exe. Этот файл, как и исходный компонент sysman.exe, троянец регистрирует под Windows 9X/ME в новом создаваемом им системном файле system1.ini , также расположенном в директории C:\WINDOWS, в секции [boot] в строке запуска оболочки Explorer. Измененная строка имеет следующий вид:

[boot]
shell=Explorer.exe vprupdate.exe

При этом вирус производит системную перерегистрацию системного файла system.ini на system1.ini в скрытых ключах автозапуска системы, а также заменяет название старого компонента sysman.exe на sysman.run, после чего старые файлы system.ini и sysman.run являются не более чем программным мусором. Данные изменения вступают в силу после первой перезагрузки системы - вот здесь-то единственный раз и используется вышеупомянутый ключ автозапуска, прописанный вредоносной программой для компонента config.exe.


6. Удаленное администрирование зараженной машины.

В зависимости от ряда неопределенных условий, компоненты вируса могут производить целый ряд несанкционированных действий в отношении Вашей информации, например:

 - дописывать/просматривать содержимое файлов "куки" (информацию про URL-ссылки, содержащуюся в файлах скрытой системной поддиректории "Cookies", если сохранение таковых разрешено системными настройками безопасности Интернет-броузера);

 - создавать в системных поддиректориях дополнительные файлы tempinfo.dat и msconfig.dat с собственными конфигурациями;

 - запрашивать какие-то http-сервера (ссылки закодированы в теле вируса);

 - прослушивать заданный порт TCP/IP-протокола (принимать команды хакеров с Удаленного сервера);

 - устанавливать в системе права удаленного Администратора при помощи специально создаваемого ключа в разделе

[HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider]

, после чего вся Ваша информация может оказаться доступной злоумышленникам через сеть Интернет: они смогут ее просматривать, копировать, удалять и т.п. Кроме того, даже после удаления вируса из машины и замены конфиденциальных пользовательских данных (логина, пароля и сетевого имени компьютера) машина через несколько минут после входа в сеть Интернет может подвергнуться принудительному завешиванию. Проявляется это следующим образом: зависают и начинают поочередно выгружаться из оперативной памяти все активные приложения; система выдает сообщения об ошибках в приложениях, после чего выгружается оболочка Explorerа и компьютер окончательно виснет.


7. Детектирование троянской программы и ее удаление из машины.
Безопасная работа в сети Интернет после удаления вируса.

Троянская программа была отослана для изучения и подключения к антивирусным базам некоторым из антивирусных компаний. С января 2005 года номенклатурные названия компонентов и инсталлятора вируса некоторыми из антивирусных компаний были заменены на следующие:

Антивирус Kaspersky AntiVirus: Trojan-PSW.Win32.Delf.am (включен в антивирусную базу 24.12.2002)

Антивирус Trend PC-cillin: Trojan_PSW.DELF.AM (включен в антивирусную базу 26.12.2002)

Антивирус BitDefender Professional: Trojan.SyMan.A (включен в антивирусную базу 26.12.2002)

Антивирус DrWeb: Trojan.PWS.Vhsoft

Антивирус F-prot: Backdoor-program (включен в антивирусную базу 14.03.2003)

При этом очевидно, что обновленный компонент вируса vprupdate.exe не детектируется никаким из вышеуказанных антивирусов, т.к. инсталлируется вредоносной программой исключительно через Интернет. В моей машине также не был обнаружен, по причине чего и не мог быть отослан для изучения антивирусным компаниям. Поэтому при обнаружении он может быть удален только вручную. К пользователям, выявившим у себя в системе данный вирус и обнаружившим компонент vprupdate.exe, просьба переслать мне по e-mail его копию для изучения.
После удаления всех троянских компонентов из системного каталога C:\WINDOWS необходимо войти в этом же каталоге в системный файл system.ini (или system1.ini) и удалить текстовую ссылку "sysman.exe" (или, соответственно, "vprupdate.exe") из раздела [boot] (только под Windows 9X/ME). После этого нормальный вид строк секции должен быть таким:

[boot]
shell=Explorer.exe

Рекомендуется сменить все пароли, используемые в системе (в частности, пароль для подключения к сети Интернет), а также номера банковских счетов, если соответствующая информация хранилась в компьютере во время его заражения.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 16.12.2002
Дата внесения последних изменений: 04.03.2005
Благодарности: Васильеву Денису за корректировку некоторых технических деталей
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00313997268677