VirusHunter предупреждает всех пользователей ПК о массовом распространении скрипт-вируса VBS.Folder (aka VBS.Redlof.a), поражающего Интернет-страницы и системные скрипт-приложения, а также способного активизироваться при открытии зараженной папки...


Некоторые определения, встречающиеся в описании.

VBS - Visual Basic Script. Язык программирования, используемый в Windows-системах. На данном языке пишутся системные скрипт-приложения, а также вспомогательные подпрограммы для Интернет-сайтов.

Апплет - дополнительная скрипт-программа, использующая т.н. "активные системные сценарии". Обычно написана на VBS или JV (Java Script). Такие программы используются для спец. вставок при оформлении Интернет-страниц (например, движущиеся картинки, страничка со звуковым оформлением и т.п.).

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками.

Корень диска/папки - для диска: все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым; для папки: все файлы непосредственно в папке, исключая все находящиеся в ней подкаталоги со всем их содержимым.


Подробное описание вируса VBS.Folder.

1. Описание некоторых особенностей Windows-систем для разъяснения принципа действия вируса.

Во всех Windows-системах есть такие файлы: desktop.ini и folder.htt. Данные файлы являются "скрытыми" (имеют атрибут "hidden"), как и многие др. служебные файлы и подкаталоги системы. По умолчанию ОС Windows не показывают пользователям, использующим Проводник, скрытые файлы и папки, т.к. они используются, как правило, непосредственно только системой для служебных целей и хранения технической информации. Поэтому рядовому пользователю, казалось бы, абсолютно нет необходимости видеть их да и вообще знать о существовании таковых. Однако именно это свойство и играет "наруку" вирусу.
Файлы desktop.ini являются файлами инициализации каталогов спец. назначения, а folder.htt - т.н. шаблонами гипертекста. И те, и другие используются системой для хранения и вызова настроек вида каждой из папок (размера иконок, шрифта надписей, раскраски значков файлов, порядка их расположения внутри папок в зависимости от типа последних и т.п.) - как системных, так и пользовательских (для последних - только при собственных настройках пользователя) при работе с ними через Проводник. Учитывая, что пользователи, как правило, довольствуются настройками вида папок, используемыми в системе по умолчанию, количество системных файлов desktop.ini обычно составляет не более 15-20 шт., а folder.htt - 5-7 шт. (в зависимости от версии ОС Windows) и при этом только в служебных подкаталогах WINDOWS, Program Files и Мои документы (My Documents).


2. Инсталляция вируса.

Вирус Folder представляет собой VBS-программу, работающую под управлением всех существующих на сегодняшний день ОС Windows. Для своей деятельности использует некоторые специфические особенности поддержания графического интерфейса системы служебным приложением и компонентом ядра ОС Windows - EXPLORER. Также вирус использует встроенный в ОС Windows декриптор для апплет-программ, выполненных на VBS ("MS ObjectLib"), что дает ему (вирусу) возможность скрывать свой код от визуального просмотра путем полиморфного шифрования основной части своей программы на время бездействия и последующей расшифровки последней прямо в системную память при ее выполнении.
Код вируса состоит из 3-х логических частей, порядок расположения, язык, на котором написан соответствующий код, и размер которых показаны на нижеприведенной схеме:


jmp-код (от слова англ. "jamper" - переключатель) - используется для вызова системного оператора, распознающего апплет-программу вируса;

dropper-код - используется для вызова системной поддержки для языка VBS, а также расшифровщика основного кода вируса;

main-код - основная программа вируса, управляющая всеми процессами последнего, а также инсталлируемая в систему в качестве служебного скрипт-приложения.

Первоисточником вируса являются зараженные Интернет-страницы. При запуске зараженного HTM- или HTML-файла вирус записывает на диск свои компоненты:

 - в системной поддиректории WINDOWS\SYSTEM (в Windows 9X/ME) или WINDOWS\SYSTEM32 (в Windows 2K/2K Server/XP) файл Kernel.dll размером 11160 байт, которому присваивает атрибут "Архивный" ("archive");

 - в скрытой системной поддиректории WINDOWS\WEB файл kjwall.gif размером 23142 байта, которому присваивает атрибуты "Архивный" и "Скрытый" ("archive" и "hidden");

 - в системной поддиректории WINDOWS\SYSTEM32 (в Windows 9X/ME) или WINDOWS\SYSTEM (в Windows 2K/2K Server/XP) файл kjwall.gif размером 266 байт , которому присваивает атрибут "Скрытый" ("hidden").

Название 1-го файла - Kernel.dll, автор вируса, очевидно, специально выбрал сходным с названием основного компонента ядра всех ОС Windows - файлом Kernel32.dll, чтобы не привлекать к нему (своему компоненту) особого внимания и сбить пользователя с толку. Данный компонент вируса является программой, управляющей всеми процессами последнего. Запускается при каждом старте системы при помощи созданного вирусом ключа под именем "Kernel32" в разделе автозапуска системного реестра:

для Windows 9X/ME:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 "Kernel32"="%windir%\\SYSTEM\\Kernel.dll"


для Windows 2K/2K Server/XP:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 "Kernel32"="%windir%\\SYSTEM32\\Kernel.dll"


, где %windir% - имя каталога, в который установлена ОС Windows.
Вирусный код, запускаемый из данного файла, обрабатывается системным процессом обмена данными "система - Explorer - система", благодаря чему не фигурирует ни в одном из системных списков активных приложений. При этом вирус не проявляет резидентности, а активизируется самой системой по мере обращения пользователя к Проводнику (т.е. работает в т.н. "фоновом" режиме).
2-й файл - kjwall.gif (размер 23142 байта) представляет собой зараженный вирусом системный файл folder.htt (принцип заражения см. на схеме в п.3), которому для маскировки присвоено GIF-расширение, как у графических файлов.
3-й файл - также kjwall.gif (размер 266 байт), которому опять же для маскировки присваивается GIF-расширение, представляет собой модифицированную вирусом копию системного файла desktop.ini, также находящегося в указанном каталоге. Folder добавляет к оригинальному содержимому данного файла дополнительную строку

PersistMoniker=file://Folder.htt

, благодаря которой вызывается на выполнение содержимое зараженного файла folder.htt в текущем каталоге.
Для страховки Folder копирует содержимое двух своих файлов kjwall.gif в системный подкаталог

...\All Users\Главное меню\Программы\Автозагрузка\ , местоположение которого зависит от версии ОС Windows, под видом системных файлов desktop.ini и folder.htt соответственно, а также создает дополнительный пункт в разделе "Автозагрузка" системы под именем "Desktop" в виде активной ссылки

...\All Users\Главное меню\Программы\Автозагрузка\desktop.ini

Крайне редко вирус может менять тактику заражения, что заключается в следующем:

 - в поддиректории временных файлов создается TMP-файл:

для Windows 9X/ME:

WINDOWS\TEMP\Klr*.TMP

для Windows 2K/2K Server/XP:

Documents and Settings\%user%\Local Settings\TEMP\Klr*.TMP

, где "*" в имени данного файла - 3-4 символа, которые выбираются случайным образом из заглавных букв латинского алфавита, а также цифр от 0 до 9 (например, KlrA3B7.TMP).
В этот файл вирус сохраняет из машинной памяти свой код и текущие данные, связанные с поточными процессами обращений "система - Explorer - система". Видимый размер TMP-файла - 0 байт, т.к. последний отображает процесс обработки временных данных в памяти компьютера, но при этом не хранит в себе конкретной программной информации; реальный объем соответствующих данных, обрабатываемых в машинной памяти, составляет порядка 300 кб.

 - создает следующий файл без расширения:

Program Files\Common Files\Microsoft Shared\Stationery

, которому присваивает атрибуты "Скрытый" и "Системный" ("hidden" и "system"). В этот файл вирус записывает содержимое, полностью совпадающее с инфицированным файлом шаблона гипертекста folder.htt. Размер данного файла 23142 байта.


3. Заражение каталогов и файлов.

Вирус сканирует каталоги, в которые были установлены его компоненты Kernel.dll и kjwall.gif, перезаписывает оригинальное содержимое файлов folder.htt и desktop.ini в этих каталогах на содержимое из своих файлов kjwall.gif соответственно [далее по тексту процедура перезаписи указанных системных файлов вирусными будет называться просто терминами "заражение папки" или "заражение каталога"], затем выявляет все файлы с расширениями "htm", "html" (Интернет-странички), "vbs" (скрипт-приложения) [далее по тексту - просто "файлы"] и заражает их точно так же, как и шаблон folder.htt. Также Folder приступает к глобальному заражению машины. Происходит это следующим образом:

1. вирус ищет скрытые системные каталоги RECYCLED ("Корзина") на всех логических дисках машины и заражает их корень;

2. также ищет на каждом логическом диске каталог, идущий 1-м по латинскому алфавиту, и заражает его корень; потом ищет в этом каталоге тот, который идет последним по латинскому алфавиту, и заражает его корень, после чего ищет в этом каталоге 2 других, идущих первыми по латинскому алфавиту, и заражает последние вместе со всеми вложенными в них подкаталогами и файлами до самого нижнего уровня включительно.

Далее каталоги заражаются только по мере обращения к ним через Проводник.
Принцип заражения файлов показан на нижеприведенной схеме (положения 1 и 2):


Вирус заражает файлы только 1 раз, однако иногда ошибается, что происходит с вероятностью примерно в 0,5%, и пытается заражать последние повторно, дописывая в их конец еще одну копию dropper-кода (см. вышеприведенную схему заражения, положение 3). Тем не менее, данный факт никак не сказывается на запуске вируса из таких некорректно зараженных файлов и работоспособности последних в частности.
Также вирус содержит ошибку, по причине которой иногда "забывает" заразить открываемый через Проводник каталог, в результате чего последний и все находящиеся в нем файлы остаются чистыми (однако, это вовсе не означает, что в следующий раз, при обращении к данному каталогу через Проводник, вирус снова не заразит его).
Также, в зависимости от некоторых системных условий, вирус может изменить свойства вида Рабочего стола таким образом, что последний будет представлен как Web-страница. Это дает вирусу еще одну дополнительную возможность активизироваться при старте системы из зараженного файла настройки Desktop'а. Помимо этого, в результате данного изменения после первой перезагрузки системы с Рабочего стола пропадают все иконки (ярлыки) и установленная картинка, а его фон изменяется на белый (т.е. как у пустой Интернет-странички). Данный факт объясняется тем, что по умолчанию Windows не показывает ярлыки и фоновую картинку на Рабочем столе, если последний представлен как Web-страница. Пытаться вернуть все к исходному виду, пока вирус в машине, бесполезно - даже если пользователь вернет Рабочему столу исходный вид, вирус опять поменяет настройки, что проявится уже после первой перезагрузки системы, а в некоторых случаях может произойти и до нее.
После первой перезагрузки системы вирус заражает все подкаталоги всех вышеописанных выбранных в алфавитном порядке папок на логических дисках машины; абсолютно все подкаталоги системной директории WINDOWS, а также системный подкаталог Program Files\Common Files\Microsoft Shared\Stationery.
Folder реагирует на процедуру открытия папок, производимую через Проводник, и, когда пользователь при помощи последнего открывает один за одним подкаталоги (включая и корни логических дисков), чтобы добраться до нужного файла, вирус моментально заражает все эти поддиректории, включая и находящиеся в них соответствующие файлы. При этом следует отметить, что вирус не может заражать каталоги, если под Windows юзер использует для работы с файлами и папками такие редакторы-менеджеры, как, например, Total Commander (старое название - Windows Commander) или FAR Manager, т.к. последние не обращаются к файлам desktop.ini и folder.htt в частности, как это заложено в принцип работы Проводника. Также вирус не может заражать Интернет-страницы и скрипт-приложения, открываемые через указанные редакторы-менеджеры, т.к. он реагирует лишь на следующие вещи:

 - открытие папок через Проводник;

 - открытие уже зараженных файлов.

Общий принцип запуска инфицированного вирусом файла схематически выглядит следующим образом:


Вирус "пожирает" ресурсы оперативной памяти и уменьшает свободное место на жестких дисках компьютера, постоянно наводняя их многочисленными копиями файлов desktop.ini, folder.htt, а также собственной программы в зараженных файлах. Приблизительный теоретический расчет показал, что на машине с объемом информации в 100 Гб объем файлового мусора, создаваемого вирусом в течении 7-10 дней, может достигать порядка 380-420 Мб (!)


4. Размножение вируса через дискеты, флэшки (USB Flash Memory Storage) и самопальные CD-диски.
Заражение машин, связанных между собой локальной (офисной) сетью.

Размножение через дискеты и флэшки. При просмотре/копировании файлов с дискеты (флэшки)/на дискету (флэшку) [далее по тексту просто "носители"] при помощи Проводника вирус тут же заражает все запрашиваемые на них подкаталоги, включая и корневой каталог. При этом заражения последних не происходит в том случае, если:

 - для копирования и просмотра файлов/папок используются редакторы-менеджеры Windows Commander или FAR Manager;

 - при копировании файлов/папок с носителей на машину через Проводник запись на последние блокирована специальным джампером, находящимся на корпусе носителей.

Каждый зараженный носитель является потенциальным источником заражения др. компьютеров, т.к. примерно 90% юзеров пользуются Проводником и при этом минимум половина из них не пользуется антивирусными программами. К тому же практически никто из пользователей не подключает в настройках вида папок системы опцию показа скрытых каталогов и файлов при работе с Проводником, так что заметить появление на носителе подозрительных файлов desktop.ini и folder.htt при просмотре его содержимого не представляется возможным.
При открытии зараженного каталога на носителе через Проводник чистая машина будет инфицирована, как и в ранее рассмотренном случае открытия зараженной Интернет-странички.
Также невозможно через Проводник осуществить на машине, зараженной Folder'ом, форматирование носителя - система будет выдавать сообщение о невозможности выполнения данного действия, т.к. съемный носитель занят "другим приложением" (т.е. вирусом).

Размножение через CD-диски. Если на зараженной машине записываются CD-диски, то они также становятся потенциальным источником заражения др. компьютеров, поскольку содержат инфицированные каталоги и файлы. Впоследствии такие диски, если это тип "CD-R" (диски одноразовой записи), подлежат уничтожению.

Размножение через локальную (офисную) сеть. Заражение происходит при обращении зараженной машины к общим папкам на др. компьютерах локальной сети через Проводник в том случае, если диски последних, к которым обращается зараженная машина, открыты для записи данных на них.


5. Лечение машины от вируса.

С января 2005 года номенклатурные названия вируса некоторыми из антивирусных компаний были заменены на следующие:

Антивирус Kaspersky AntiVirus:
в зараженных файлах: Virus.VBS.Redlof.a;
в некорректно зараженных файлах помимо указанного номенклатурного названия также распознается как: Virus.VBS.Redlof.l;
основной компонент Kernel.dll: Virus.VBS.Confi.
Лечит зараженные файлы, но имеется побочный эффект (см. п.6).

Антивирус Trend PC-cillin:
в зараженных файлах: VBS_REDLOF.A-2;
в некорректно зараженных файлах помимо указанного номенклатурного названия также распознается как: неизвестно;
основной компонент Kernel.dll: VBS_REDLOF.A.GEN.
Не может лечить зараженные файлы, а только удалять.

Антивирус BitDefender Professional:
в зараженных файлах: VBS.Redlof.A (HTT);
в некорректно зараженных файлах помимо указанного номенклатурного названия также распознается как: VBS.Redlof.A.dr;
основной компонент Kernel.dll: VBS.Redlof.A.
Лечит зараженные файлы без каких-либо побочных эффектов.

Антивирус DrWeb:
в зараженных файлах: VBS.Redlof;
в некорректно зараженных файлах помимо указанного номенклатурного названия также распознается как: VBS.Redlof;
основной компонент Kernel.dll: VBS.Redlof.
Лечит зараженные файлы, но имеется побочный эффект (см. п.6).

Антивирусы Kaspersky AntiVirus и DrWeb не могут удалить dropper-код, повторно прописавшийся в некорректно зараженных файлах, выдавая сообщение, что лечение таких файлов невозможно. Поэтому дочистить эти файлы от остатков вредоносного кода можно пальчиками, просмотрев визуально их (файлов) последние строки.
Для рядового пользователя наиболее оптимальным способом для удаления вируса из машины является, на мой взгляд, антивирусная программа, которую необходимо прогнать в режиме лечения минимум 2 раза. При этом необходимо перезагружать компьютер перед каждым последующим прогоном антивируса. Прочие способы лечения машины от Folder'а я не включаю в данное описание.


6. Побочный эффект после лечения машины от вируса антивирусами Kaspersky AntiVirus и DrWeb.
Настройка исходного вида Рабочего стола и показа скрытых объектов системы.
Удаление файлового мусора, созданного вирусом, и устранение побочного эффекта.

После лечения системы антивирусами Kaspersky AntiVirus и DrWeb наблюдается следующий побочный эффект: при открытии любой из папок, которая была инфицирована вирусом, через Проводник, появляется системное сообщение


Причина появления данного сообщения заключается в том, что оба указанных антивируса полностью удаляют вирусный код из файлов folder.htt, однако первую строчку, содержащую jmp-код вируса, оставляют в неизменном виде:

<BODY onload="vbscript:KJ_start()">

При обращении к такому файлу folder.htt jmp-код вируса пытается найти вирусный апплет в теле данного файла, однако ему это не удается, т.к. весь остальной вирусный код удален антивирусом. Поэтому и появляется предупреждение о том, что запрашиваемый скрипт не найден и "активный сценарий" не может быть выполнен.
Если же машину лечить от вируса при помощи антивируса BitDefender Professional, то последний перезаписывает строчку с jmp-кодом вируса строкой-комментарием

<!------------------------------------------->

, благодаря чему вышеуказанный побочный эффект отсутствует.
В большинстве случаев после лечения машины антивирусами Kaspersky AntiVirus и DrWeb указанный побочный эффект никак не сказывается на открытии папок через Проводник, независимо от того, какую из опций - "Да" или "Нет" выберет пользователь при появлении иконки с вышеуказанным сообщением. Однако, иногда по каким-то неопределенным причинам, система блокирует после запроса содержимое папки, в результате чего все находящиеся в ней подкаталоги и файлы становятся недоступными для пользователей Проводника. Чтобы исправить это, советую проделать следующее:

1. Закройте все приложения, с которыми Вы работаете.

2. Наведите курсор мышки на Рабочий стол и нажмите 1 раз ее правую клавишу.

3. Выберите последовательно опции Свойства и Эффекты, после чего уберите "птичку" с опции Скрывать значки, если рабочий стол представлен как страница Web, а затем поочередно нажмите опции Применить и ОК.

Благодаря этому будет восстановлен нормальный вид Рабочего стола (фон и картинку выберите самостоятельно).

4. Для того, чтобы при дальнейшей работе с Проводником пользователи могли видеть скрытые папки и файлы, воспользуйтесь утилитой из набора спец. ПО от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.

5. Теперь наведите курсор на Рабочий стол, однако в стороне от находящихся на нем иконок, после чего нажмите клавишу F3 - появится меню поиска файлов.

6. В строках меню введите:

 - в строке Имя: folder.htt

 - в строке Где искать: выберите Локальные жесткие диски (C:, D:, ...)

, после чего нажмите опцию Найти.

7. Все высвеченные в окне поиска файлы выделите при помощи комбинации двух клавиш Shift+PageUp (при движении по списку файлов снизу-вверх) и удалите их при помощи др. комбинации двух клавиш - Shift+Del ( полное удаление файлов, минуя "Корзину").
Сразу хочу сказать, что удаление файлов folder.htt не повлечет за собой никаких негативных последствий.

8. Аналогично можете выявить и удалить из машины файлы desktop.ini, однако НЕ рекомендую удалять те из них, которые находятся:

 - в системной директории WINDOWS и ее подкаталогах;
 - в системной директории Program Files и ее подкаталогах;
 - в каталоге Мои документы (My Documents)

, т.к. удаление последних может негативно повлиять на работоспособность системы.

Таким образом Вы избавитесь от файлового мусора, сотворенного вирусом, а заодно и устраните побочный эффект, оставшийся после лечения системы антивирусами Kaspersky AntiVirus и DrWeb.
Теперь пользователи Проводника смогут работать как и раньше, до заражения машины Folder'ом.

Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 18.10.2003
Дата внесения последних изменений: 05.03.2005
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00220084190369