VirusHunter предупреждает всех пользователей ПК об обнаружении очень опасной троянской программы Trojan.RegPatch.winlamer, приводящей к нестабильной работе системы, а также ограничивающей права доступа ее пользователя. За восстановление системы к исходному состоянию злоумышленники вымогают у потерпевших пользователей некоторую суму денег...


1. Как был обнаружен вредоносный файл.

Примерно 4 дня назад мне написал по e-mail пользователь, у которого, по его словам, начались проблемы при работе с системой, связанные с внезапным изменением ее интерфейса и нестабильностью в работе программ. В ходе переписки пострадавшему наконец-то удалось обнаружить в своей машине и переслать мне на изучение несколько подозрительных файлов. В ходе изучения последних выяснилась весьма неприятная вещь: в одном из таких файлов содержалась вредоносная (троянская) программа, изменяющая целый ряд записей системного реестра, и, тем самым, приводящая к нестабильной работе системы. Более того, было обнаружено текстовое послание, из содержания которого становилась ясна цель, с которой злоумышленники распространяли вредоносный файл, - шантаж пользователя и вымогательство у него денежных средств взамен восстановления нормальной работоспособности системы.


2. Возможные источники попадания Trojan.RegPatch.winlamer в машину.

Троянец представляет собой REG-файл - программу для внесения каких-либо дополнений/изменений в различные разделы ключей системного реестра. Файлы такого формата часто используются в дистрибутивах различного ПО для внесения в системный реестр дополнительных ключей с пользовательскими и техническими настройками устанавливаемого софта, а также, например, для возможности автозапуска компонентов программы при старте системы (словари, муз. плэйеры, антивирусные мониторы и т.п.).
Судя по всему, данный файл является компонентной частью какой-то др. вредоносной программы, которая и запустила его на выполнение в скрытом режиме, т.к. при запуске REG-файла вручную система всегда запрашивает подтверждение на внесение в реестр данных, содержащихся внутри него, и никак иначе. Поскольку пострадавший пользователь ничего подобного сам не запускал и не замечал появление каких-либо сообщений подобного рода, факт причастности к данному инциденту др. вредоносной программы становится очевидным. При этом также очевидно и то, что эта др. вредоносная программа должна была удалить данный REG-файл, чтобы замести следы, поскольку без наличия последнего установить внесенные в систему изменения было бы вещью весьма затруднительной или даже невозможной. Но, к счастью для пострадавшего пользователя и, возможно, еще для кого-нибудь, злоумышленники допустили ряд проколов в своей программе, в чем Вы сможете сами убедиться далее по тексту.
Что представляет собой программа, записывающая в компьютер троянца Trojan.RegPatch.winlamer и скрытно запускающая его на выполнение, выяснить пока что не удалось. По этой причине невозможно точно сказать и про способы ее попадания в компьютер - через сеть Интернет с применением каких-то уловок, или путем использования определенных уязвимостей в вэб-броузере, или в виде вложения в почтовом послании, разосланном каким-либо вирусом, или, опять же, в виде вложения в спамерских письмах.
Вредоносная программа записывает троянца Trojan.RegPatch.winlamer в корень диска C: под следующим названием:

C:\winlamer

То, что у файла отсутствует расширение "REG", необходимое для возможности его запуска непосредственно самим пользователем, только подтверждает мое предположение о существовании основной вредоносной программы (т.н. программы-"мастера"), которая может скрытно от глаз пользователя запустить такой файл при помощи специально построенной командной строкой.
Файл winlamer имеет размер 4474 байта. Является программой одноразового действия - после срабатывания представляет собой не более, чем просто файловый мусор. При запуске он модифицирует/создает записи в 13-ти разделах ключей системного реестра. Если сказать точнее - создает 64 новых значений и перезаписывает 34, итого 98 (!) значений всего (в реальности в коде троянца таковых 101, но 3 из них ошибочно обрабатываются дважды). При этом большая часть этих значений отвечает за весьма важные настройки системы.


3. Изменения в настройках реестра, производимые троянцем.

По соображениям безопасности я не указываю подробный перечень значений, которые изменяет/дописывает в реестре троянец, а привожу только список разделов реестра, в которых вносятся данные изменения:

[HKEY_CURRENT_USER\Control Panel\Colors]
[HKEY_CURRENT_USER\Control Panel\Desktop]
[HKEY_CURRENT_USER\Control Panel\International]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]


Результатом этих изменений являются следующие вещи:

 - в меню Пуск (Start) пропадают верхние панели (расположенные выше подменю Программы), а также панель меню Найти (т.е. "Поиск файлов и папок");

 - блокируются процедуры смены пользователя и завершения работы Windows: при попытке нажатия на панель Выключение компьютера или Завершение сеанса пользователя в меню Пуск на экран выдается следующее сообщение:


В зависимости от версии Windows-системы и установленной на ней пакетных обновлений эти панели могут вообще пропасть из меню;

 - блокируются "горячие" клавиши (комбинации с клавишей "Microsoft", т.е. Microsoft+R - командная строка, Microsoft+F - поиск файлов и т.п.): при попытке нажатия соответствующих комбинаций на экран также выдается вышеуказанное сообщение;

 - в разделе Панель управления пропадают абсолютно все иконки, необходимые для отладки и настройки различных функций системы и комплектующих машинного "желаза";

 - блокируется системная служба "Диспетчер задач": при попытке его вызова через комбинацию клавиш Ctrl+Alt+Del на экран выдается следующее сообщение:


 - во всех окнах всех открываемых системных и пользовательских программных меню цвет фона изменяется с белого на фиолетовый, а цвет надписей опций - с черного на светло-синий и серый;

 - устанавливается запрет на переименование и перемещение в др. место следующих пользовательских папок: Мои документы (My Documents), Мои рисунки (My Pictures), Моя музыка (My Music) и Избранное (Favorites);

 - в вэб-броузере Internet Explorer в качестве поисковой и стартовой страниц устанавливается ссылка на порнографический ресурс "PlayBoy" - http://www.playboy.com:


 - опять же в вэб-броузере Internet Explorer блокируется раздел меню Свойства обозревателя: при попытке войти в него на экран выдается сообщение, аналогичное тому, что и в случае попытки завершить работу системы или нажатия "горячих" клавиш.

Поскольку с этого момента выключить машину обычным способом не представляется возможным, то единственным способом сделать это является: для стационарной машины - нажатие кнопки Reset на корпусе системного блока компьютера, для NoteBook'а - удерживать некоторое время кнопку питания в нажатом состоянии.
После первого перезапуска компьютера ситуация становиться еще более удручающей:

 - из меню Пуск пропадают все разделы, кроме одного - Программы, из которого, в свою очередь, также пропадают практически все подкаталоги установленных в системе служебных и пользовательских программ;

 - вместо системного таймера в правом нижнем углу на Рабочей панели можно увидеть следующий текст:


После этого ни посмотреть время, ни произвести его корректировку обычным способом невозможно;

 - отключается автозапуск любых CD/DVD-дисков;

 - вследствие нескольких изменений в структуре загрузки и обработки данных в памяти, может наблюдаться нестабильность в работе различных программ - в частности, связанных с воспроизведением музыки и видео: например, в ходе запуска аудио- или видео-файла плэйер может либо загрузить его, но при этом не воспроизводить, либо наглухо зависнуть.

Я перечислил только самые основные негативные изменения, которые происходят в системе. При этом следует отметить, что в зависимости от версии Windows и установленных на ней пакетных обновлений результат деятельности троянца будет ощущаться в большей или в меньшей степени. Судя по всему, злоумышленники исходили из того, что на потенциальных машинах-"жертвах" установлена система преимущественно Windows XP или выше. Именно по этому полное выполнение всех заложенных в троянца блокирующих и искажающих системный реестр функций будет иметь место только на машинах с системами XP SP2 и 2000 SP4; на машинах с этими же системами, но с более ранними обновлениями или же вообще без них, часть блокирующих процедур работать не будет. Что же касается Windows 98, 98 SE и ME, то здесь нерабочими оказалось довольно значительное количество процедур - например, системная служба "Диспетчер задач" без проблем запустилась комбинацией клавиш Ctrl+Alt+Del; также осталась работоспособной и процедура завершения работы текущего пользователя и т.д, и т.п.
Также следует сказать, что троянец лишь изменяет и портит настройки системы, но НЕ удаляет абсолютно никаких файлов.


4. Вымогательство денег и прочее.

Очевидно та же вредоносная программа, которая записала на диск и запустила на выполнение троянский файл winlamer, оставила в корне диска C: и текстовый файл C:\Hello Lamer.txt следующего содержания (привожу в оригинале со всеми ошибками):

Привет Ламер!
Как ты уже догадался - твоя система повреждина и это только начало! Некому не подсилу исправить это...

В твоем компьютере сейчас находится новый опасный вирус каторый невидим для антивирусных программ!!!
ХА-ХА-ХА!!!

У тебя есть 3 дня чтобы связатся с нами по указаному адресу - там ты получиш дальнейшие инструкции что тебе нужна делать чтобы спасти свою инфу.

Непытайся самостаятельно удалить вирус - иначе потеряеш свои файлы!
Непытайся переставлять свой жосткий диск в другую машину - иначе она тоже будит заражена...


Пакеда, но помни у тебя только 3 дня - патом все твои файлы будут уничтожены!!!


Доброжелатели  ;)


По тексту письма несложно догадаться какого рода инструкции должен был бы получить пострадавший пользователь, попытайся он связаться со злоумышленниками по "указанному адресу". При этом, очевидно чтобы жертва не забывала кто такой "ламер", в качестве картинки на Рабочем столе троянец прописывает в реестр файл C:\WINDOWS\dector.bmp, очевидно, тоже предварительно записанный на диск какой-то др. программой. Этот файл представляет собой картинку BMP-формата размером 59114 байт:


Однако формат ссылки на данный файл в реестре предусматривает показ картинки на Рабочем столе только в том случае, если система установлена именно в каталог C:\WINDOWS и при этом это Windows 2000 или XP. Причиной последнего является ошибка, допущенная авторами троянца: ссылка на картинку записана некорректно - C:/WINDOWS/dector.bmp, т.е. в правильной записи должно быть C:\WINDOWS\dector.bmp. Изменение черточки "\" в указании пути на "/" обрабатывается в Windows 98 и ME как ошибочная запись, в результате чего файл-картинка просто-напросто не будет найден для показа.
Очевидно желание "Доброжелателей" получить "вознаграждение за помощь в восстановлении системы" было таким страстным, что помешало им собраться с мыслями и обратить внимание на одну маленькую, но весьма существенную деталь: в своем письме они забыли указать куда именно должен обратиться пострадавший для получения "дальнейших инструкций".
Теперь касательно вируса, которым угрожали злоумышленники: моя переписка с пострадавшим длилась более 4-х дней - если бы в его машине на тот момент действительно имел место деструктивный вирус, то он (вирус), как и обещали вымогатели, должен был бы "удалить с диска все файлы". Тогда бы и их письмо, и файл с троянской программой также были бы уничтожены, однако этого так и не произошло. Потому что никакого вируса в реальности просто не существовало.


5. Детектирование троянской программы.
Восстановление системы в исходное состояние.

Trojan.RegPatcher.winlamer (вредоносный файл winlamer) был отослан в Антивирусную Лабораторию Евгения Касперского, поскольку на момент разработки данного описания не детектировался ни одной из антивирусных программ из нижеприведенного списка. Теперь он распознается под следующими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Trojan.WinREG.Schoolboys.a (включен в антивирусную базу 14.06.2006)

Антивирус DrWeb: VBS.Siggen.2407 (включен в антивирусную базу 29.11.2007)

Антивирус BitDefender Professional: Trojan.Winreg.Lameram.A (включен в антивирусную базу 04.07.2006)

Для восстановления системы в исходное состояние я написал и добавил в набор спец. ПО от VirusHunter'а дополнительную утилиту. Архив с утилитами можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Благодарности: Авраменко Алексею (aka Swat2) за техническую и программную поддержку
Дата создания: 14.06.2006
Дата внесения последних изменений: 29.11.2007
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00219106674194