VirusHunter предупреждает всех пользователей ПК о распространении в сети Интернет опасной троянской программы Trojan.HostsPatcher.49152, содержащей деструктивные процедуры. Была распространена злоумышленниками через сеть Интернет...


1. Предварительная информация.

Данная вредоносная программа была разослана неизвестными злоумышленниками в форме спам-рассылки, которая по ориентировочным расчетам производилась с 5-го по 6-е декабря 2005 года. Среди прочих получателей таких писем оказался и наш вэб-дизайнер, который и передал мне для изучения троянский файл.
Электронное письмо, содержащее вредоносный код, генерируется т.н. "программой-роботом" (спам-конструктором), поэтому может содержать произвольный текст или не содержать его вообще. В качестве темы письма также может использоваться произвольный текст или тема просто отсутствует. Имя и адрес отправителя также генерируются случайным образом.
Во вложении письма содержится RAR-архив, название которого unnamed.rar. Внутри архива содержится EXE-файл с названием unnamed.exe, являющийся троянской программой Trojan.HostsPatcher.49152. Код письма не содержит каких-либо специфических скрытных функций и поэтому троянец получит управление только если пользователь собственноручно откроет приложенный к письму архив и запустит находящийся в нем файл.


2. Инсталляция в систему.

Троянская программа представляет собой Windows-приложение (PE EXE-файл) размером 49152 байта. Файл сжат утилитой компрессии "ASPack" версии 2.11; в декомпрессированном виде размер файла составил 135168 байт.
В коде троянца содержится 3 вредоносные процедуры, 2 из которых можно отнести к деструктивным. Также троянец содержит встроенную подпрограмму-отладчик для предотвращения и корректировки возможных внутренних ошибок, возникающих при его (троянца) работе.
Полнофункциональная работа троянца поддерживается только под ОС Windows 2K/XP, поскольку некоторые используемые им системные вызовы не поддерживаются ОС Windows 9X/ME.


2.1. Инсталляция под Windows 2K/XP.

При запуске троянец выдает на экран ложное сообщение об "ошибке", чтобы скрыть свой процесс инсталляции в систему:


При этом программа копирует себя в двух экземплярах в нижеприведенные каталоги под следующими названиями:

C:\funny_pic.scr
WINDOWS\System32\winlogn.exe

Следует сразу отметить, что название второго создаваемого троянцем файла-копии (winlogn.exe) и местоположение последнего выбраны не случайно - в том же системном подкаталоге располагается и основной компонент ядра ОС Windows 2K/XP - winlogon.exe. Как Вы можете видеть, между именами файла троянца и этого системного компонента разница лишь в одной букве "о", которую автор вредоносной программы, очевидно, умышленно убрал.
Файл троянца winlogn.exe является рабочим и будет в дальнейшем осуществлять целый ряд вредоносных действий. Для возможности автозапуска данного файла при каждом последующем старте Windows в системном реестре модифицируется оригинальный ключ, связанный с загрузкой компонента Explorer.exe - оболочкой графического интерфейса системы:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

Троянец добавляет в значение этого ключа ссылку на свой файл:

"Shell"="Explorer.exe WINLOGN.EXE"

При каждом последующем старте Windows троянец будет запускаться как компонент системной оболочки.
После окончания вышеописанного процесса инсталляции троянец ждет нажатия пользователем опции OK или просто закрытия последним окна о мнимой ошибке. После этого вредоносная программа завершает свою работу. Если же пользователь запустит файл троянца повторно, то данный процесс останется активным в системной памяти вплоть до завершения работы Windows.
Чтобы избежать одновременной загрузки в память сразу нескольких копий своей программы, троянец создает в определенной области системной памяти уникальную "метку"-идентификатор своего присутствия в системе:

PornoAgent

После первого перезапуска системы троянский файл winlogn.exe получает управление и остается активным вплоть до завершения работы Windows. Троянец работает в т.н. "фоновом" режиме (проверяет некоторые условия и как бы "засыпает", оставаясь в оперативной памяти) и, в зависимости от текущего времени, которое он постоянно проверяет, осуществляет несколько вредоносных процедур.


2.2. Инсталляция под Windows 9X/ME.

При запуске полученного по почте вредоносного файла unnamed.exe под Windows 9X/ME троянец также пытается выдать на экран ложное сообщение об "ошибке", аналогичное в Windows 2K/XP. Для этого он использует некоторые вызовы API-функций, которые не поддерживаются ядром систем 9X/ME. Данная процедура вызывает системный сбой при загрузке соответствующих данных на обработку в системную память и на экран выдается реальное сообщение Windows об ошибке:


При этом троянец копирует себя также, в двух экземплярах, в нижеприведенные каталоги под уже известными нам названиями:

C:\funny_pic.scr
WINDOWS\SYSTEM\winlogn.exe

При попытке изменения ключа, аналогичного тому, что в Windows 2K/XP, возникает внутренний конфликт в программе троянца. Ошибка связана с тем, что троянец пытается осуществить процедуру изменения несуществующего в системе ключа. Дело в том, что под Windows 9X/ME запуск системного приложения Explorer.exe производится не при помощи вышеуказанного ключа, а при помощи соответствующей команды, записанной в реестровом файле system.ini. В результате, встроенная в код троянца подпрограмма-отладчик обрывает процедуру эту и выводит на экран следующее сообщение о внутренней ошибке:


После всех вышеописанных манипуляций вредоносная программа завершает свою работу. Если же пользователь запустит файл троянца повторно, то данный процесс останется активным в системной памяти вплоть до завершения работы Windows.
Чтобы избежать одновременной загрузки в память сразу нескольких копий своей программы, троянец создает в определенной области системной памяти уникальную "метку"-идентификатор своего присутствия в системе, аналогичную создаваемой им под Windows 2K/XP.
С учетом того, что троянцу не удается создать в системном реестре ссылки на свой файл winlogn.exe, после перезагрузки Windows он (троянец) не будет запущен на выполнение и его копии представляют собой просто файловый мусор.


3. Вредоносные действия во время работы в сети Интернет.

В зависимости от текущего времени троянец открывает окно вэб-броузера Internet Explorer, в котором пытается вызвать на загрузку один из многочисленных порно-серверов. Ссылка выбирается случайным образом из следующего списка:

www.bestporno.ru
www.sexme.ru
www.seventeenclub.com
www.teenageboredom.com
http://alicelove.com/x.xxx?p=63.806.i17p1.791443.22
http://ladyboycock.com/post6/1172.jennifer/241.html
http://thebestsexyteens.com/tgp/tgp.shtml?nastysexy.com
http://www.julielist.com/
http://innocentangels.com/
http://ladyboycock.com/post6/1347.mercedes/241.html
http://free-teens-porn.com/
http://www.sexadditions.com/
http://www.nastysexy.com/gallery/
http://nastysexy.com/hot/dildo/dildo.html
http://www.bestporno.ru/teens/223425/index.shtml
http://www.bestporno.ru/teens/223425/2.shtml
http://www.yandex.ru/yandpage?&q=1279641374&p=3&ag=d&qs=text%3Dteen%2Bporno%2Bphoto%26stype%3Dwww
www.ultrateen.com


Затем троянец ждет некоторое время, снова проверяет текущее время и в том случае, если оно удовлетворяет некоторым условиям, то снова повторяет описанную процедуру.


4. Деструкции, производимые под Windows 2K/XP.

Троянец содержит в себе 2 деструктивные процедуры, работающие под Windows 2K/XP. Первая производится им еще во время инсталляции в систему: он создает (если машина является одиночной) или перезаписывает (если машина связана с др. машинами локальной сетью) системный файл hosts новым содержимым. Следует отметить, что данный системный файл используется в Windows-системах для указания соответствий локальных IP-адресов именам компьютеров, которым присвоены эти IP в рамках офисной сети между некоторым количеством компьютеров. Это упрощает вызов одним компьютером др. для соединения с ним и подключения общих папок или дисков, поскольку, согласитесь, что людям проще запомнить имена компьютеров, чем держать в голове набор цифр (IP-адрес) каждого из них. При вызове по имени одним компьютером др., подключенного к локальной сети, система находит соответствующее имя в файле hosts и считывает соответствующий этому имени локальный IP-адрес, после чего осуществляет соединение машин между собой.
Так вот, троянец ищет системный файл

WINDOWS\System32\drivers\etc\hosts

и перезаписывает его содержимое на следующее:

127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 avast.com
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 ftp://downloads1.kaspersky-labs.com/updates/
127.0.0.1 ftp://avp.ch/updates/
127.0.0.1 ftp://ftp.kasperskylab.ru/updates/
127.0.0.1 ftp://updates3.kaspersky-labs.com/updates/
127.0.0.1 go.microsoft.com
127.0.0.1 http://updates1.kaspersky-labs.com/updates/
127.0.0.1 http://updates2.kaspersky-labs.com/updates/
127.0.0.1 http://updates3.kaspersky-labs.com/updates/
127.0.0.1 http://updates4.kaspersky-labs.com/updates/
127.0.0.1 http://updates5.kaspersky-labs.com/updates/
127.0.0.1 http://www.kaspersky.ru/updates/
127.0.0.1 http://www.kaspersky-labs.com/updates/
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 sophos.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 servicel.symantec.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.avast.com
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.viruslist.ru


После этого связь пораженного троянцем компьютера с любым из вышеперечисленных вэб-ресурсов будет невозможна: при попытке какой-либо программы, включая и поисковые вэб-броузеры, соединиться с данными сайтами вызов будет перенаправлен на IP-адрес 127.0.0.1, т.е. зараженная машина будет просто вызывать сама себя. В результате, пользователь не сможет загружать антивирусные сайты и сайт компании "Microsoft", а также не сможет загружать Windows Update (обновление системы) и обновления антивирусных баз.
Вторая вредоносная процедура срабатывает только после определенного периода пребывания троянца в зараженной системе, а также в зависимости от каких-то прочих неустановленных условий. Заключается она в следующем: троянец сканирует раздел ключей реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

с целью выявления там некоторых значений, названия которых попадают в следующий список:

Symantec NetDriver Monitor
ccApp
NAV CfgWiz
SSC_UserPromt
McAfee Guardian
McAfee.InstantUpdate.Monitor
APVXDWIN
KAV50
avpcc
avg7_cc
avg7_emc
Zone Labs Client
ashDisp
vptray
hpcmpmgr
hpztsb10
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
Easy AV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net


При обнаружении таких значений троянец удаляет из реестра соответствующие ключи. В результате, антивирусные и антихакерские программы, попавшие в "черный список" троянца, станут либо неполноценно функционировать, либо вообще утратят работоспособность. Также среди "неугодных" троянцу защитных программ оказался и Интернет-пейджер "ICQ". Кроме того, в данном списке содержатся и значения, записываемые в реестр некоторыми др. вредоносными программами (удаление конкурентов?).


5. Детектирование и удаление троянца из машины.

Поскольку Trojan.HostsPatcher.49152 был обнаружен в недетектируемом виде, он был отослан для возможности изучения антивирусным компаниям "Лаборатория Касперского" и "BitDefender". На момент создания этого описания антивирусы детектируют вредоносную программу unnamed.exe (winlogn.exe) и ее компонент hosts (измененный системный файл) так:

Антивирус Kaspersky AntiVirus:
файл unnamed.exe (winlogn.exe): Trojan-Clicker.Win32.Delf.dz (включен в антивирусную базу 07.12.2005)
файл hosts (измененный системный файл): Trojan.Win32.Qhost.mk (включен в антивирусную базу 18.07.2007)

Антивирус DrWeb:
файл unnamed.exe (winlogn.exe): BackDoor.Klj (включен в антивирусную базу 18.07.2007)
файл hosts (измененный системный файл): не обнаруживает

Антивирус BitDefender Professional:
файл unnamed.exe (winlogn.exe): Generic.Malware.SVQw.AE043ABE (декомпрессированный файл - Generic.Malware.SVQ.FA3D2006) (включен в антивирусную базу 11.12.2005)
файл hosts (измененный системный файл): Generic.Qhost.EED8079C

После удаления Trojan.HostsPatcher.49152 рекомендуется также удалить и созданный им файл

WINDOWS\System32\drivers\etc\hosts

, чтобы снова сделать доступными для посещения соответствующие сайты. Также рекомендуется удалить из системного ключа, связанного с компонентом Explorer.exe, ссылку на троянский файл winlogn.exe (но не сам ключ!). Это необходимо сделать, чтобы при дальнейших загрузках системы избежать появления системного сообщения вида


Также не исключается необходимость переустановки поврежденного троянцем защитного программного софта.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 13.12.2005
Дата внесения последних изменений: 18.07.2007
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00166702270508