VirusHunter предупреждает о массовом распространении безобидной экранной заставки "BlueScreen" в составе компонентов различных вредоносных программ для устрашения пользователей инфицированных компьютеров...


1. Об экранной заставке "BlueScreen".

Данная заставка (версия 3.2 - финальный вариант?) была разработана в 2004 г. неким Марком Руссиновичем (Mark Russinovich), сотрудником американской компании "Sysinternals", занимающейся разработкой различного ПО.
Скринсейвер представляет собой программный файл-приложение Windows, выполненное в SCR-формате. Оно написано на языке Microsoft Visual C+, имеет оригинальный размер файла 716800 байт (изначально оригинальный код не был обработан никакими утилитами компрессии или криптографии).
Данная заставка вошла среди прочих в состав различных сборок дополнительных "примочек" для Рабочего стола ОС Windows. Официальное название файла - SYSINTERNALS_BLUESCREEN.SCR, однако может быть и др.:





2. Легальность и общие принципы работы "BlueScreen".

При своей активности (т.е. в соответствии с заданными пользователем временными параметрами в настройках Рабочего стола) скринсейвер весьма реалистично симулирует аварийное завершение работы ОС Windows с выдачей "синего экрана смерти" (отсюда и название заставки - Blue Screen), последующую перезагрузку системы и повторный показ "синего экрана". При этом "аварийное состояние системы" легко можно завершить одним нажатием функциональной клавиши Esc или "пробел".
Варианты фрагментов текстов и кодов ошибок, выдаваемых заставкой при симулировании сбоя системы, выбираются из нескольких десятков вариантов, содержащихся в ее (заставки) коде. Названия SYS-драйверов, которые якобы являются причиной сбоя системы, также выбираются случайным образом либо из вариантов, содержащихся в коде SCR-файла, либо из списка реальных драйверов, задействованных в работе системы, посредством специального программного опроса Windows. Вариант "сбойной" функции, которая якобы стала причиной возникновения "критической ошибки", также выбирается случайным образом из следующих вариантов, список которых содержится в коде заставки:

IRQL_NOT_LESS_OR_EQUAL
KMODE_EXCEPTION_NOT_HANDLED
BAD_POOL_HEADER
MAXIMUM_WAIT_OBJECTS_EXCEEDED
PANIC_STACK_SWITCH
NO_MORE_IRP_STACK_LOCATIONS
UNEXPECTED_KERNEL_MODE_TRAP
BOGUS_DRIVER
SYSINTERNALS_GREAT_SITE
PAGE_FAULT_IN_NONPAGED_AREA


С учетом идентичности ошибок, симулируемых заставкой, реальным сообщениям системы при критических сбоях, в скринсейвер была встроена процедура легализации его использования в компьютере пользователя. Если программа запускается в компьютере впервые, то на экран выдается следующее окно, содержащее текст пользовательского соглашения, прочитав который пользователь должен решить для себя хочет он использовать данную заставку у себя в компьютере или нет:


При нажатии кнопки "Decline" (отклонить) или просто закрытии окна, программа завершает свою работу, создавая в реестре следующие пустые ветки ключей:

[HKEY_CURRENT_USER\Software\Sysinternals]
[HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver]


Если же пользователь нажимает кнопку "Agree" (согласен), то в реестре создаются следующие ключевые записи:

[HKEY_CURRENT_USER\Software\Sysinternals]
[HKEY_CURRENT_USER\Software\Sysinternals\BlueScreen]
[HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver]
"EulaAccepted"=dword:00000001


После этого пользовательское соглашение считается принятым и скринсейвер запускается на выполнение. В дальнейшем при обращении к заставке она будет автоматически загружена на выполнение уже без каких-либо запросов. (Примечание: если во время выдачи окна с соглашением пользователь перейдет в др. программное окно, то это будет воспринято скринсейвером как согласие на его использование - программа завершит свою работу, предварительно создав в реестре вышеуказанные записи, и при дальнейших запусках заставка также будет автоматически запускаться на выполнение).


3. Прочие функции программы.

Если запустить скринсейвер, предварительно заменив расширение файла с SCR, например, на EXE, то на экран будет выдано следующее окно:


Если его закрыть, не нажимая никаких прочих опций, то в реестре создаются только следующие пустые ветки ключей:

[HKEY_CURRENT_USER\Software\Sysinternals]
[HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen]


Если нажать кнопку "OK", то в ключах реестра будут созданы следующие записи, после чего окно закрывается:

[HKEY_CURRENT_USER\Software\Sysinternals]
[HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen]
"DoDiskWrites"=dword:00000000


Если же отметить галочкой опцию "Fake disk activity" и нажать кнопку "OK", то в ключах реестра будут созданы следующие записи, после чего окно также закрывается:

[HKEY_CURRENT_USER\Software\Sysinternals]
[HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen]
"DoDiskWrites"=dword:00000001



4. Как безобидный "BlueScreen" оказался на скамье подсудимых в компании страшных вирусов.

Реалистичность критических ошибок, симулируемых заставкой, была тут же схвачена на вооружение вирусописателями - в частности, авторами многочисленных вариантов троянской программы Backdoor.Intimidater.A. Код файла с заставкой "BlueScreen" был немного модифицирован, обработан различными утилитами компрессии и добавлен в состав компонентов "вредной для носа" программы. При этом, для превращения заставки в реальную "пугалку", в код вирусов была встроена процедура генерации вышеупомянутой записи ключа

[HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver]
"EulaAccepted"=dword:00000001


, подтверждающей согласие юзеров на использование скринсейвера, несмотря на то, что последние, очевиднее всего, даже не имеют представления о присутствии данной экранной заставки в своих компьютерах. Именно по причине нелегального внедрения в систему скринсейвера, показывающего "страшные вещи", пугающие пользователей, многие антивирусные компании внесли процедуры детектирования используемых в вирусах вариаций заставки "BlueScreen" в сигнатурные базы своих продуктов под идентификационными названиями вида FraudTool ("аферная настройка"), FakeAlert ("ложная угроза"), BadJoke ("плохая шутка") и т.п.

Дабы рассеять слухи о страшном вирусе "BlueScreen" и дать пользователям возможность вживую увидеть симулируемые им критические ошибки ОС Windows, я компрессировал оригинальный вариант заставки утилитой компрессии UPX 3.03 и запаковал в RAR-архив (для уменьшения размера файла), который разместил для свободного скачивания с нашего сайта здесь. Как уже было сказано выше, ничего криминального или сколь-нибудь потенциально опасного в коде заставки обнаружено не было.


Исследование программного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 10.10.2008
Дата внесения последних изменений: 10.10.2008
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00309419631958