VirusHunter предупреждает всех пользователей ПК о распространении в сети Интернет опасной троянской программы Trojan-Downloader.HackWeb.4577, загружающей на пораженный ею компьютер значительное количество др. вредоносных программ, а также блокирующей работу системной службы "Диспетчер задач" (см. также описание модификации Trojan-Downloader.HackWeb.4809)...


1. Источники попадания в машину.

Источником заражения компьютера троянской программой Trojan-Downloader.HackWeb.4577 является, как обычно, сеть Интернет. При этом троянец может попадать в машину двумя путями. Первый - это автоматическое сохранение на машине-жертве специально сконструированного архива с вредоносной программой внутри него. Такой архив является паразитным компонентом какой-либо Интернет-страницы, специально добавленным злоумышленником, и автоматически сохраняется при просмотре ее (страницы) содержимого, после чего производится процедура распаковки и запуска содержащейся в этом архиве вредоносной программы. Принцип довольно сходен с применяемым троянским семейством Trojan-Downloader.Dyfuca, но только более совершенен и позволяет скрытно запускать вредоносный код как под Windows 9X/ME, так и под 2K/XP, обновленными до SP6 и SP2 соответственно, а также под Windows 2K3 (2003).
Тип архива, используемого для распространения троянца, представляет собой CHM-файл (архив справочных данных), который обычно присутствует в дистрибутивах большинства пользовательских и специализированных программ, и используется для хранения т.н. "топиков" (от англ. "topics") - справочных статей по руководству пользования программой. Удобство такого архива заключается в том, что вся help-информация хранится в одном файле в сжатом виде, занимая очень мало места на жестком диске, а при вызове пользователем программной справки нужный раздел вызывается на просмотр прямо из тела архива без необходимости извлечения соответствующего справочного файла из тела архива. Поддержка, позволяющая открывать и просматривать содержимое CHM-архива, и, собственно, сам формат хранения сжатых справочных данных, изначально были разработаны фирмой Microsoft, еще где-то на заре создания системы Windows. Именно поэтому этот формат поддерживается всеми ОС Windows, а его содержимое можно вызвать на просмотр, просто запустив файл-архив. Более того, как наглядно показал автор троянской программы Trojan-Downloader.HackWeb.4577, из CHM-файла может быть запущен на выполнение не только файл справки, но и любая вредоносная программа, для чего в Интернет страницу достаточно просто встроить определенным образом ссылку на CHM-компонент.
Архив, содержащий троянскую программу Trojan-Downloader.HackWeb.4577, представляет собой CHM-файл размером около 15 кб и с произвольным именем (например, targ.chm). Как уже было сказано выше, данный архив сохраняется на жесткий диск вместе с прочими компонентами оформления различных Интернет-страниц, загружаемых пользователем. Месторасположением таких временных файлов является один из подкаталогов следующей системной директории:

для Windows 9X/ME:

WINDOWS\Temporary Internet Files\Content.IE5\...\targ.chm

для Windows 2K/XP:

Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\...\targ.chm

, где %user% - имя текущего пользователя.
При сохранении на диск архив автоматически запускается.
Второй путь попадания троянца в машину - его загрузка из сети Интернет с последующим запуском на выполнение какой-либо др. троянской программой, ранее заразившей компьютер.


2. Инсталляция в систему.

В зависимости от того, каким из вышеперечисленных путей троянец будет занесен в машину, процесс его инсталляции в систему может немного варьироваться. При первом варианте - попадание в машину в виде CHM-архива, при запуске данного файла на экране можно увидеть следующее окно:


Из архива, в тот же каталог, в котором он находится, извлекается троянский EXE-файл, который называется web.exe (хотя не исключено, что название может быть и др.). Независимо от версии установленной на машине ОС Windows, данный файл копируется в скрытый системный подкаталог устанавливаемых через Интернет программ:

WINDOWS\Downloaded Program Files\web.exe

, откуда запускается на выполнение. Данный файл имеет размер 4577 байт, сжат утилитой компрессии "FSG" версии 2.0; в декомпрессированном виде размер файла, в приближении к оригинальному, составил 40960 байт. Основная часть кода троянца зашифрована крипт-алгоритмом.
После запуска троянский процесс web.exe остается активным вплоть до завершения работы системы.
При втором варианте попадания в машину - установке троянца др. вредоносной программой, файл троянца загружается с Интернета и записывается в корень диска C: в виде EXE-файла с произвольным именем, например:

C:\lo1367841195.exe

Оттуда он и запускается на выполнение. Данный файл полностью идентичен web.exe.
Как в первом, так и во втором случае, активность троянского процесса web.exe или, соответственно, lo1367841195.exe сохраняется только до завершения работы Windows, после чего данные файлы более не будут запускаться на выполнение и представляют собой просто файловый мусор. Для возможности дальнейшей деятельности троянская программа копирует файл web.exe или, соответственно, lo1367841195.exe под названием kernels32.exe в один из следующих системных подкаталогов:

для Windows 9X/ME:

WINDOWS\SYSTEM\kernels32.exe

для Windows 2K/XP:

WINDOWS\System32\kernels32.exe

Название kernels32.exe и его местоположение выбрано, очевидно, с целью маскировки, т.к. в данных подкаталогах находится и основной компонент ядра ОС Windows, который называется kernel32.dll. Согласитесь, что имена kernels32 и kernel32 довольно таки похожи, если к тому же учесть, что "по умолчанию" Windows не показывает в системном Проводнике расширения файлов.
До момента 1-й перезагрузки системы троянские функции выполняет файл web.exe (или, соответственно, lo1367841195.exe), а kernels32.exe остается неактивным; после 1-й перезагрузки компьютера и в дальнейшем управление будет получать только файл kernels32.exe, для возможности автозапуска которого при каждом старте Windows троянская программа создает в системном реестре следующие записи:

под Windows 9X/ME:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Shell"="Explorer.exe C:\\WINDOWS\\SYSTEM\\kernels32.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"System"="C:\\WINDOWS\\SYSTEM\\kernels32.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"SystemTools"="C:\\WINDOWS\\SYSTEM\\kernels32.exe"


под Windows 2K/XP:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe C:\\WINDOWS\\system32\\kernels32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"="C:\\WINDOWS\\system32\\kernels32.exe"


1-й ключ (со значением "Shell") является системным, стандартное значение которого "Shell"="Explorer.exe" троянец изменяет на вышеуказанное. Измененный таким образом ключ позволяет негласно запускать троянский файл kernels32.exe как компонент графической оболочки ОС Windows, поддерживаемой системным процессом "Explorer".
2-й ключ (со значением "System") позволяет файлу kernels32.exe запускаться просто как компонент автозагрузки системного реестра.
Скорее всего, автор троянца не имел под руками Windows 9X/ME и поэтому, не будучи уверенным, что 1-й ключ сработает (в данных версиях системы Windows такой ключ просто отсутствует, а запуск оболочки "Explorer" вызывается при помощи соответствующей записи в файле system.ini), он добавил процедуру создания под этими версиями системы 3-го ключа (со значением "SystemTools"), который позволил бы файлу kernels32.exe запускаться и как системный сервис.
Таким образом, все созданные троянцем ключи являются гарантией того, что его файл kernels32.exe будет запущен на выполнение при старте системы. Однако, одновременный запуск данного файла и как компонента графической оболочки ОС Windows, и как программного сервиса, под Windows 9X/ME вызывает появление на экране следующего предупредительного сообщения системной службы индексирования


, поскольку повторное обращение к компонентам оболочки запрещено под данными версиями ОС Windows. Этим сообщением троянец, можно сказать, выдает себя. Кроме того, опять же при старте Windows 9X/ME, троянец ошибочно открывает зачем-то пустое окно вэб-броузера Internet Explorer (побочный баг?).


3. Блокирование троянцем системной службы "Диспетчер задач".

Для того, чтобы исключить возможность обнаружения своего активного процесса (а позднее и активных процессов др. троянских программ, устанавливаемых на пораженный компьютер через сеть Интернет) стандартными инструментами Windows, троянец блокирует работу системной службы "Диспетчер задач", позволяющей просматривать список активных процессов, запущенных в системе, получать информацию о каком-либо текущем процессе и при желании завершать подозрительные процессы. Для этого троянец создает в системном реестре следующий ключ:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\]
"DisableTaskMgr"=dword:00000001


В реестре ОС Windows таковой отсутствует, но, тем не менее, при его наличии системная служба taskmgr.exe оказывается отключенной: при попытке запустить ее через командную строку или комбинацию клавиш Ctrl+Alt+Del на экран будет выдано следующее системное сообщение:


Следует отметить, что данная процедура не поддерживается под Windows 98/ME, в результате чего "Диспетчер задач" остается работоспособным.


4. Загрузка др. вредоносных программ.

На протяжении всей работы системы троянский процесс kernels32.exe остается активным и периодически проверяет подключение к сети Интернет и доступность 80-го порта протокола TCP/IP. Если данный порт не задействован какой-либо др. программой и подключение к Интернету активно, то троянец связывается, используя установленный "по умолчанию" в системе HTTP-протокол, с нижеприведенным сервером (часть значений блоков домена заменена мной символом "%" по соображениям безопасности), на котором пытается обнаружить следующие рабочие ссылки (в теле троянца они присутствуют в зашифрованном виде):

http://85.255.%.%/9adload.php
http://85.255.%.%/9aduniq.php
http://85.255.%.%/9adverts9/~viframe.%
http://85.255.%.%/9adcoms.php


Также проверяются и некоторые др., расположенные на этом же сервере. Если удается найти активную ссылку, то троянец открывает на машине-жертве 53-й порт протокола TCP/IP (загрузка файлов) и скрытно устанавливает ряд др. троянских программ. В качестве места хранения загружаемых файлов троянец создает в корне произвольно выбранного им логического диска - например, D:, каталог с названием D:\Temp. В этот каталог сохраняются следующие троянские файлы:

1.qtdfmp - троянская программа Trojan-Downloader.LittleTroy.1665;
2.qtdfmp - троянская программа, предлагающая установить несколько др. троянских программ ("SpySheriff" и "SpywareNo") под видом "Антитроянских" (файл троянца никакими утилитами не обработан и имеет размер 28160 байт; после запуска создает свою копию как C:\winstall.exe, а также постоянно пугает пользователя сообщениями вида

Your computer is infected!
Windows has detected spyware infection!


; детально его код не изучался);
3.qtdfmp - не обнаружен;
4.qtdfmp - не обнаружен;
5.qtdfmp - троянская программа Trojan-Downloader.HackWeb.small-A;
6.qtdfmp - троянская программа Trojan-Downloader.HackWeb.small-D;
7.qtdfmp - троянская программа Trojan-Downloader.HackWeb.small-B.

Данные файлы копируются в тот же системный подкаталог, где расположен сам kernels32.exe, под следующими названиями:

1.qtdfmp -> vxh8jkdq1.exe и vxh8jkdq8.exe
2.qtdfmp
-> vxh8jkdq2.exe
5.qtdfmp
-> vxh8jkdq5.exe
6.qtdfmp
-> vxh8jkdq6.exe
7.qtdfmp
-> vxh8jkdq7.exe

Затем все эти файлы запускаются на выполнение (кроме vxh8jkdq8.exe) и в дальнейшем функционируют самостоятельно.
Отчет об обнаруженных и загруженных из Интернета файлах троянец хранит в зашифрованном виде в создаваемом им файле vx.tll, расположенном в том же системном подкаталоге, что и kernels32.exe.


5. Прочее.

Помимо всех вышеуказанных действий троянец также ищет в корневом каталоге системы с целью запуска на выполнение какие-то файлы (очевидно, троянские программы, установленные какой-то др. вредоносной программой) с названиями из следующего списка:

WINDOWS\%%%0%%
WINDOWS\%%%0%%%
WINDOWS\%%%%proxy.exe
WINDOWS\%%%%tool.exe
WINDOWS\%%%%tibs.exe
WINDOWS\%%%%tibsit.exe
WINDOWS\%%%%winlogon.exe
WINDOWS\%%%%search.exe

Переменной "%" в коде вируса обозначены символы, которые в именах данных файлов могут иметь различные значения.
Также троянец может расшифровывать из своего тела и устанавливать в системной памяти уникальную логическую "метку" для идентификации своего (?) и др. троянских программ (?) присутствия в зараженной системе:

cxfbgvhhnhjmurr


6. Детектирование и удаление троянца из машины.

Trojan-Downloader.HackWeb.4577
и загружаемые им троянские программы антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файл-архив targ.chm: Trojan-Downloader.Win32.Small.bpd
файлы kenels32.exe, web.exe и lo1367841195.exe: Trojan-Downloader.Win32.Small.bpd
файлы 1.qtdfmp, vxh8jkdq1.exe и vxh8jkdq8.exe: Trojan-Downloader.Win32.Small.bho
файлы 2.qtdfmp, vxh8jkdq2.exe и winstall.exe: Trojan-Clicker.Win32.Spywad.h
файлы 5.qtdfmp и vxh8jkdq5.exe: Trojan-Downloader.Win32.Agent.tx
файлы 6.qtdfmp и vxh8jkdq6.exe: Trojan-Downloader.Win32.Small.bpe
файлы 7.qtdfmp и vxh8jkdq7.exe: Trojan-Downloader.Win32.Small.atl

Антивирус DrWeb:
файл-архив targ.chm: Exploit.CodeBase
файлы kenels32.exe, web.exe и lo1367841195.exe: Trojan.DownLoader.2489
файлы 1.qtdfmp, vxh8jkdq1.exe и vxh8jkdq8.exe: Trojan.DownLoader.3870
файлы 2.qtdfmp, vxh8jkdq2.exe и winstall.exe: Trojan.Fakealert
файлы 5.qtdfmp и vxh8jkdq5.exe: Trojan.DownLoader.4124
файлы 6.qtdfmp и vxh8jkdq6.exe: Trojan.DownLoader.7772
файлы 7.qtdfmp и vxh8jkdq7.exe: Trojan.DownLoader.4374

Антивирус BitDefender Professional:
файл-архив targ.chm: Trojan.Codeba.A
файлы kenels32.exe, web.exe и lo1367841195.exe: Trojan.Downloader.Small.VAM (декомпрессированный файл - Generic.Malware.Sdld!.51658AE7)
файлы 1.qtdfmp, vxh8jkdq1.exe и vxh8jkdq8.exe: Generic.Malware.dld!!.E19697A3 (декомпрессированный файл - Generic.Malware.dld!!.1F75253E)
файлы 2.qtdfmp, vxh8jkdq2.exe и winstall.exe: Trojan.Fakealert
файлы 5.qtdfmp и vxh8jkdq5.exe: Generic.Malware.Yddld!.93B5C4B5 (декомпрессированный файл - Generic.Malware.Yddld!!.8366A361)
файлы 6.qtdfmp и vxh8jkdq6.exe: DeepScan:Generic.Malware.dld!!.97315459 (декомпрессированный файл - Generic.Malware.dld!!.83465982)
файлы 7.qtdfmp и vxh8jkdq7.exe: Trojan.Vixup.B (декомпрессированный файл точно также)

После удаления Trojan-Downloader.HackWeb.4577 рекомендуется удалить все созданные им ключи, за исключением того, который связан с системным компонентом explorer.exe (из этого ключа необходимо просто удалить ссылку на троянский файл). Это необходимо сделать как для возобновления работы "Диспетчера задач", так и для того, чтобы избежать при старте системы появления на экране сообщения вида


Восстановить работоспособность "Диспетчера задач" можно при помощи утилиты из набора спец. ПО от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Trojan-Downloader.HackWeb.4809


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 04.10.2005
Дата внесения последних изменений: 02.04.2006
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00442218780518