VirusHunter предупреждает всех пользователей ПК о массовом распространении еще одной очень опасной модификации деструктивного червя "Wukill" - Win32.Email-Worm.Wukill.B (aka Win32.Rays, Silly.E) через вложения в почтовых посланиях, а также через съемные носители информации...


Некоторые определения, встречающиеся в описании.

VBS - Visual Basic Script. Язык программирования, используемый в Windows-системах. На данном языке пишутся системные скрипт-приложения, а также вспомогательные подпрограммы для Интернет-сайтов.

VB - Visual Basic. Язык программирования, используемый в Windows-системах. На данном языке пишутся многие системные и пользовательские приложения (программы).

Апплет - дополнительная скрипт-программа, использующая т.н. "активные системные сценарии". Обычно написана на VBS или JS (Java Script). Такие программы используются для спец. вставок при оформлении Интернет-страниц (например, движущиеся картинки, страничка со звуковым оформлением и т.п.).

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками.

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым.

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации".

%windir% - каталог, в который установлена ОС Windows.

%user% - каталог текущего пользователя в ОС Windows 2K/XP.


1. Источники попадания червя Win32.Email-Worm.Wukill.B в компьютер.

Программа червя является усовершенствованной модификацией варианта Win32.Email-Worm.Wukill.A. Может попадать в компьютер двумя путями: либо в виде письма с приложенным файлом, представляющим собой копию программы червя, либо через СНИ, такие как, например, дискеты и флэшки (теоретически, также может попадать в компьютер и через файло-обменные сети под видом "полезного" файла). В обоих случаях червь может активизироваться только в том случае, если пользователь собственноручно запустит вредоносный файл.


2. Инсталляция в систему.

Программа червя написана на языке Microsoft VB версии 6.0 и откомпилирована в формат PE EXE-приложения (Windows-программы). Файл имеет оригинальный размер 57344 байта (никакими утилитами криптования или компрессии код не обработан), однако в некоторых случаях может иметь больший размер (см. п.6 данного описания).
Для работоспособности червя в ОС Windows должна быть установлена техническая библиотека msvbvm60.dll. Этот компонент необходим для работы любых специализированных и пользовательских программ, написанных на Microsoft VB 6-й версии. В Windows 9X/ME он отсутствует (про Windows 2K точно не скажу), но может быть позаимствован, например, из Windows XP (там он точно есть) и записан для 9X/ME в системный подкаталог %windir%\SYSTEM.
Если червь при запуске не находит этот компонент, то на экран выдается стандартное системное сообщение об ошибке запуска программы и заражения системы не происходит:


При запуске вредоносного вложения из почтового послания (название файла всегда одно и то же - Document.exe) червь может выдать на экран следующее ложное сообщение о "повреждении папки", чтобы сбить пользователя столку:


Затем червь копирует себя в один из системных подкаталогов, который выбирается из следующих вариантов:

%windir%\system\
%windir%\web\
%windir%\fonts\
%windir%\temp\
%windir%\help\

Название файла червя состоит из расширения "COM" и имени, состоящего из 5-ти символов. Эти символы выбираются произвольным образом из заглавных латинских букв от A до F и цифр от 0 до 9, например:

3C3A3.com
ABF44.com
1D50C.com
CB589.com

и т.п.

Сразу следует отметить, что значок-иконка у всех файлов-копий червя при просмотре через Проводник или файловый редактор-менеджер Total Commander косит под значок-иконку, характерный для папок. Вот, например, как при крупном изображении будет выглядеть в общем списке вирусный файл windows.exe (слева) по сравнению с системным каталогом WINDOWS (справа):


Создаваемый червем COM-файл является рабочей копией червя, которая будет автоматически получать управлением при последующих запусках системы. Для этого в системном реестре создается следующий ключ со значением под названием "TempCom":

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TempCom"="%windir%\\[название подкаталога]\\%name%.com"


С учетом вышеуказанных вариантов подкаталогов и имен COM-файла строка значения может выглядеть, например, так:

"TempCom"="%windir%\\Fonts\\ABF44.com"
или
"TempCom"="%windir%\\Help\\1D50C.com"
и т.д.

Также червь изменяет следующие значения в нижеприведенных ключах реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000000
"HideFileExt"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\]
"FullPath"=dword:00000001


Причины необходимости данных изменений детально изложены в п.2 описания варианта Win32.Email-Worm.Wukill.A.
При запуске на чистой машине файла червя под названием windows.exe непосредственно с СНИ или жесткого диска процедура инсталляции в систему и изменения соответствующих ключей реестра полностью идентична вышеописанной.
Далее червь завершает свою работу и до следующего перезапуска системы остается неактивным.


3. Размножение через носители информации. Деструктивные действия.

При первом перезапуске системы COM-файл червя запускается на выполнение и остается резидентно в памяти Windows вплоть до завершения ее работы. Рабочее окно вируса не видно пользователю, т.к. располагается за пределами нижней области экрана.
Получив управление, червь не создает никаких своих копий или компонентов до тех пор, пока пользователь не начнет работать с Проводником. При первом же обращении к какому-либо из дисков машины вирус активизирует процедуру заражения. По ходу данной процедуры в корне открываемого диска создаются следующие файлы:

desktop.ini - стандартный системный файл (размер 266 байт), используемый червем для активизации располагаемого тут же вредоносного файла-компонента folder.htt;

folder.htt - компонент червя (размер 937 байт), используемый последним для процедуры копирования через Проводник располагаемого тут же файла-копии windows.exe. По своим функциям компонент folder.htt полностью идентичен comment.htt - компоненту червя Win32.Email-Worm.Wukill.A;

Ghost.bat - файл-копия червя (размер 57344 байта);

NetHood.htm - копия компонента folder.htt (размер 937 байт);

windows.exe - файл-копия червя (размер 57344 байта), используемая последним для заражения каталогов по аналогии с вариантом Wukill.A.

Чтобы файлы desktop.ini и folder.htt не были видны пользователю зараженной машины, червь присваивает им атрибуты "скрытый" и "системный" (hidden и system соответственно); файлу windows.exe - атрибут "скрытый". Остальные из вышеперечисленных файлов не скрываются от глаз пользователя. Файл windows.exe также может не скрываться червем от глаз пользователя в том случае, если диск, к которому идет обращение через Проводник, является сетевым или съемным (например, флэшка). Если обращение идет к дискете, то на нее записывается только файл windows.exe и также без его скрывания.
Чтобы понять назначение оригинальных системных файлов desktop.ini и folder.htt Вы можете обратиться к описанию скрипт-вируса VBS.Folder, aka VBS.Redlof.a.
Кроме создания 5-ти указанных файлов в корне диска червь также создает свои копии и во всех корнях всех каталогов первого уровня вложенности, т.е. во всех каталогах, находящихся на текущем разделе диска, не затрагивая вложенные в них папки. Например, при обращении к корню диска C: червь также заразит и каталоги C:\Program Files, C:\My Documents, не затрагивая вложенные в них папки.
Принцип заражения каталогов практически полностью идентичен примененному в модификации Wukill.A: червь считывает имя заражаемой им папки и копирует в нее свой файл windows.exe, присваивая ему то же имя, что и у последней. Примеры:

Program Files\Program Files.exe
Мои документы\Мои документы.exe
и т.п.

Чтобы пользователь Проводника ничего не заметил, червь присваивает создаваемому файлу атрибут "скрытый". Иногда вирус ошибается и:

 - не присваивает атрибут "скрытый" своей копии, создаваемой в папке;

 - записывает кроме файла-копии также и копии файлов-компонентов desktop.ini и folder.htt (при этом folder.htt модифицируется с учетом того, что название файла-копии червя в текущей папке отлично от windows.exe) - ошибочно считает, что текущий каталог является корнем диска?

Если в папке, которую заражает червь, имеется оригинальный EXE-файл с именем, идентичным ее (папки) имени, то червь вне зависимости от каких-либо условий перезаписывает этот файл своей копией. В результате этого оригинальное содержимое программного файла не подлежит восстановлению со всеми вытекающими отсюда негативными последствиями.
Если пользователь использует для работы с папками и файлами такие редакторы-менеджеры, как, например, Total Commander и Far Manager, то вышеописанная процедура копирования червя не работает. Вообще же следует отметить, что практически сходный алгоритм заражения каталогов (но только без осуществления деструктивных действий) использовался в скрипт-вирусе VBS.Folder, aka VBS.Redlof.a.

Также при неустановленных условиях червь может создавать еще одну свою копию с неопределенным именем и расширением "SCR" в следующих системных подкаталогах:

для Windows 9X/ME (только англоязычные версии):

%windir%\All User\Start Menu\Programs\%.scr

для Windows 2K/2K Server/XP (версии на любых языках):

Documents and Settings\All Users\%.scr

В памяти машины может присутствовать сколь угодно много копий вируса, если пользователь будет запускать их с диска. При этом, если он пытается запускать эти копии из разных подкаталогов, то последние будут загружаться в память, а вирус при этом будет открывать окно Проводника, показывая содержимое текущего каталога, откуда был произведен запуск очередной копии. Т.о., у человека создается впечатление, что он действительно открывает папки, а не копии программы червя.


4. Дополнительные маскировочные приемы.

Для того, чтобы спрятать свой активный файл от глаз пользователя и (возможно) антивирусных сканеров, червь использует тот же уникальный метод маскировки, который бал применен в варианте Wukill.A. Для этого он отслеживает обращения любых Windows-приложений к своему активному COM-файлу и, более того - его просмотр через файловые редакторы-менеджеры в списке пр. файлов. При попытке переместить, удалить или просто просмотреть активный файл червя, Win32.Email-Worm.Wukill.B проделывает следующие действия:

 - копирует старый файл в др. место и под др. именем. В качестве нового местоположения выбирается один из тех же системных подкаталогов, что и при инсталляции червя в систему. Новому COM-файлу присваивается имя по уже известному алгоритму;

 - изменяет имя значения "TempCom" стартового файла на "Kav300XP", а под именем "TempCom" указывает значение для нового файла. Например:

старое значение: "TempCom"="%windir%\\Fonts\\1D50C.com"
переименованное старое значение: "Kav300XP"="%windir%\\Fonts\\1D50C.com"
новое значение: "TempCom"="%windir%\\Web\\ABF44.com"

- удаляет строку значения с именем "Kav300XP", запускает новый COM-файл (в данном примере ABF44.com) и удаляет старый (1D50C.com).

Иногда червь может ошибиться, выбрав подкаталог и новое имя активного COM-файла аналогичными старым. Тогда вирус просто дописывает к имени нового файла дополнительный символ "1" - например, A5B6D.com -> A5B6D1.com, после чего производит вышеописанный процесс, забывая при этом удалить старый файл.
Червь не способен отслеживать обращения к своему активному файлу, производимые при помощи таких файловых редакторов-менеджеров как, например, Volkov или Norton Commander, программные файлы которых выполнены в формате DOS и не используют при создании своего рабочего окна Windows-оболочку.
Под Windows 9X/ME червь скрывает свой процесс от некоторых системных вызовов, в результате чего не фигурирует ни в одном из листингов активных процессов, запущенных под Windows.


5. Хранение временных и технических данных.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Email-Worm.Wukill.A.


6. Размножение через E-mail.

Червь может рассылать копии своего файла через электронную почту в виде писем с вложением. При этом рассылка может быть осуществлена только в том случае, если в качестве почтового клиента на зараженной машине установлена программа MS Outlook (просьба не путать с MS Outlook Express). Для того, чтобы определить наличие на машине пользователя данной программы, червь ищет в ключах реестра характерный только для нее фрагмент записи - Outlook.Application.
После запуска почтовой программы червь создает свою копию в системном каталоге под следующим названием:

%windir%\Document.exe

При проверке пользователем своей почты червь сканирует адресную книгу MS Outlook, извлекает из нее весь список эл. контактов и рассылает по нему свои письма. Для этого он генерирует "на лету" собственное послание, используя компоненты MS Outlook - специальный программный пакет Microsoft "MAPI".
Письма червя имеют следующие характерные особенности:

Поле "От": либо оригинальный адрес пользователя зараженной машины, либо оригинальный адрес того, на чье письмо "отвечает" червь.

Поле "Кому":
имя: [символьный мусор]
адрес получателя: оригинальный адрес того, кому червь "пишет" письмо

Тема письма: отсутствует

Текст письма: отсутствует

Вложение: файл Document.exe (копия червя)

Следует отметить, что размер приложенного файла может превышать оригинальный (57344 байта). Это обусловлено тем, что при прикреплении своей копии к посланиям червь может случайным образом удлинять последнюю секцию файла-вложения, записывая в нее небольшой фрагмент какого-либо имеющегося на зараженной машине EXE-файла, выбираемого случайным образом на произвольном диске.
На каждый адрес червь отправляет свое письмо по отдельности. Поэтому при плохой связи и/или наличии большого количества прибывающих писем может ввести в полный ступор процесс принятия/отправки почты.
После отсылки своих посланий червь удаляет "болванку" письма. В отличии от Wukill.A, вариант Wukill.B создает 2 отчетных файла, в которых хранит информацию обо всех адресах, на которые была произведена рассылка вредоносного послания, а также какую-то служебную информацию:

C:\net.txt
D:\1.txt

Червь не использует в своих письмах каких-либо уязвимостей или уловок для возможности автоматического запуска из тела послания.


7. Прочее.

Если в ходе работы червя произошли какие-то внутренние ошибки, то он может выводить на экран следующий текст:

Hello!

В теле червя содержится информационная секция, в которой записаны следующие данные:

CompanyName  gy
ProductName  Xgtray
FileVersion  1.00
ProductVersion  1.00
InternalName  explorer
OriginalFilename  explorer.exe


Компиляция исходника программы червя производилась автором в следующем каталоге (данная строка присутствует в коде вируса):

D:\Program Files\Microsoft Visual Studio\VB98\lhw\XDD\XDD\wintray.vbp


8. Детектирование и удаление червя из машины.

На момент создания данного описания Win32.Email-Worm.Wukill.B и создаваемые им вспомогательные компоненты (последние отсылались на изучение Антивирусной Лаборатории Евгения Касперского, т.к. не обнаруживались) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файл windows.exe (он же Document.exe, %name%.com и т.д.): Email-Worm.Win32.Rays
файл folder.htt и NetHood.htm (оригинальный вирусный компонент): Trojan.VBS.Zapchast.b
файл folder.htt (записанный по ошибке в заражаемый каталог): Trojan.VBS.Starter.e

Антивирус DrWeb:
файл windows.exe (он же Document.exe, %name%.com и т.д.): Win32.HLLM.Utenti
файл folder.htt и NetHood.htm (оригинальный вирусный компонент): Trojan.AppActXComp
файл folder.htt (записанный по ошибке в заражаемый каталог): Trojan.AppActXComp

Антивирус BitDefender Professional:
файл windows.exe (он же Document.exe, %name%.com и т.д.): Win32.Rays.E@mm (ранее детектировался как Worm.Win32.Rays.A)
файл folder.htt и NetHood.htm (оригинальный вирусный компонент): Trojan.Vbs.Zapchast.B
файл folder.htt (записанный по ошибке в заражаемый каталог): Trojan.Vbs.Starter.E

Также были обнаружены еще 2 вариации этого же самого варианта червя. Файл первой вариации обработан утилитой сокрытия оригинального программного кода "ASProtect" версии 2.1?. Он (windows.exe, Document.exe, %name%.com) отличается лишь размером - 154624 байта, а его функционал и код создаваемых им компонентов в точности совпадают с вышеописанным вариантом. Антивирусы детектируют данный файл под следующими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Email-Worm.Win32.Silly.e
Антивирус DrWeb: Win32.HLLM.Utenti
Антивирус BitDefender Professional: Worm.Generic.24093 (ранее детектировался как Win32.Silly.E@mm)

Вторая вариация червя была обнаружена в конце октября 2007 года: ее файл абсолютно совпадает с вышеописанным вариантом по размеру (57344 байта), функционалу и коду создаваемых им компонентов, а отличается от "оригинала" лишь двумя небольшими участками кода, не содержащими непосредственно рабочего функционала зловреда. Эта вариация детектируется антивирусами под следующими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Email-Worm.Win32.VB.bf
Антивирус DrWeb: неизвестно (образец вируса был получен в "битом" виде)
Антивирус BitDefender Professional: неизвестно (образец вируса был получен в "битом" виде)

Для удаления червя из машины рядовому пользователю рекомендуется проделать следующее:

 - проверить зараженный компьютер установленной на нем антивирусной программой, соглашаясь с удалением всех файлов, которые будут детектироваться как вирусы с вышеперечисленными идентификационными названиями. Если машина связана с др. компьютерами локальной сетью, то ее необходимо на время лечения отключить от сетки. Также необходимо проверить и остальные компьютеры сети.

 - настроить показ скрытых/системных фалов и папок при дальнейшей работе в Проводнике, для чего можете воспользоваться утилитой из спец. набора от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.

 - удалить все созданные вирусом файлы folder.htt и desktop.ini в строгом соответствии с инструкцией, приведенной в пп.5-8 п.6 описания скрипт-вируса VBS.Folder, aka VBS.Redlof.a.

Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 23.02.2006
Дата внесения последних изменений: 07.10.2008
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.0117568969727