VirusHunter предупреждает всех пользователей ПК об обнаружении потенциально опасных программ, отнесенных к группе Trojan.SubdirEraser и являющихся компонентами для деинсталляции различных программных продуктов от компании "Nullsoft"...


1. Полезный, но потенциально опасный.

Первая из обнаруженных программ представляет собой файл с названием Uninst-eMusic-promotion.exe и имеет размер 54633 байта. Написана на языке высокого уровня, никакими утилитами компрессии или криптации не обработана.
Данный файл используется для деинсталляции дополнительного компонента "Emusic" программы муз. плэйера Winamp 0.9х. Он (файл) удаляет содержимого подкаталога, в который установлен "Emusic", при деинсталляции последнего из системы.
После запуска файл Uninst-eMusic-promotion.exe копирует себя в каталог временных файлов системы (в Windows 9X/ME) или каталог временных файлов текущего пользователя (в Windows 2K/XP) под следующим названием:

для Windows 9X/ME:

C:\WINDOWS\TEMP\A~NSISu_.exe

для Windows 2K/2K Server/XP:

C:\Documents and Settings\%user%\Local Settings\Temp\A~NSISu_.exe

, где %user% - имя каталога текущего юзера.
Uninst-eMusic-promotion.exe запускает на выполнение свою копию A~NSISu_.exe, передавая ей управление и сохраненную в системной памяти информацию о своем месторасположении на диске, после чего завершает свою работу. A~NSISu_.exe, получив управление от Uninst-eMusic-promotion.exe, выводит на экран окно с индикатором, указывающим процент завершения процесса удаления содержимого каталога, из которого запускался Uninst-eMusic-promotion.exe:


Из данного каталога удаляется абсолютно все его содержимое - как все файлы (включая и сам Uninst-eMusic-promotion.exe), так и все находящиеся в нем поддиректории. По окончании процесса удаления можно просмотреть список удаленных объектов, нажав в окне программы панель "Show details":


Казалось бы - что вредоносного может быть в обычном компоненте-деинсталляторе? Однако данный файл с полным правом можно считать опасной троянской программой по двум причинам: во-первых, данная программа не запрашивает подтверждения пользователя на удаление содержимого каталога, а, во-вторых, не проверяет что именно она собирается удалить, как это обычно делают программы такого рода. В результате, она может быть использована злоумышленником для совершения деструкций - например, включена в состав компонентов какой-либо вредоносной программы, которая скопирует файл Uninst-eMusic-promotion.exe под предварительно измененным именем в каталог с какой-нибудь полезной информацией, после чего запустит данный файл на выполнение. В этом случае будут удалены нужные данные со всеми вытекающими отсюда негативными последствиями.
Процесс удаления содержимого текущего каталога не запускается программой в двух случаях:

 - если она расположена в корне какого-либо диска (т.е. C:\, D:\ и т.п.);

 - если она называется A~NSISu_.exe и при этом данный файл расположен не в вышеуказанной поддиректории временных файлов и не запущен непосредственно файлом Uninst-eMusic-promotion.exe.

В любом из этих двух случаев программа выдаст на экран сообщение об ошибке, ничего при этом не удаляя:


После удаления содержимого текущего каталога файл A~NSISu_.exe пытается подключиться к сети Интернет и открыть 53-й машинный порт (если, конечно, пользователь не закрыл окно программы), который обычно используется для загрузки файлов (для чего?).


2. Другие варианты опасной программы.

Вторая из обнаруженных программ практически аналогична вышеописанной, только используется для деинсталляции файлового менеджера Total Commander 6.54. Представляет собой файл с названием Uninstall.exe и может иметь размер от 37.9 до 38.9 кб, что зависит от версии релиза программы. Никакими утилитами данный файл не обработан.
После запуска Uninstall.exe копирует себя в создаваемый им подкаталог в директории временных файлов системы (в Windows 9X/ME) или каталог временных файлов текущего пользователя (в Windows 2K/XP) под следующим названием:

для Windows 9X/ME:

C:\WINDOWS\TEMP\~nsu.tmp\Au_.exe

для Windows 2K/2K Server/XP:

C:\Documents and Settings\%user%\Local Settings\Temp\~nsu.tmp\Au_.exe

, где %user% - имя каталога текущего юзера.
Uninstall.exe запускает на выполнение свою копию Au_.exe, передавая ей управление и сохраненную в системной памяти информацию о своем месторасположении на диске, после чего завершает свою работу. Au_.exe, получив управление от Uninstall.exe, в точности повторяет процедуру удаления, осуществляемую A~NSISu_.exe, однако не выводит при этом на экран никаких окон (какая-то иконка просто может промелькнуть на экране).
Процесс удаления содержимого текущего каталога не запускается программой в двух случаях:

- если она расположена в корне какого-либо диска (т.е. C:\, D:\ и т.п.) или тогда, когда ее название Au_.exe.

В любом из этих двух случаев программа выдаст на экран сообщение об ошибке, идентичное A~NSISu_.exe, и ничего при этом не удалит.


Разработчик описания: Бройде Герман (aka VirusHunter)
Дата создания: 10.11.2005
Дата внесения последних изменений: 17.01.2006
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00165104866028