VirusHunter предупреждает всех пользователей ПК о распространении очень опасного деструктивного файлового вируса Win32.Maniac.A (aka Win32.Sality, Sector), поражающего Win32-программы и экранные заставки, похищающего конфиденциальную пользовательскую информацию, а также удаляющего некоторые типы данных с винчестера компьютера...


Детальное описание вируса Win32.Maniac.A.

1. Источники попадания в машину.

Основным источником распространения данного вируса являются, как обычно, файло-обменные сети. Вирус может попадать в каталоги установленных на машинах программ файло-обмена в зараженных дистрибутивах программного софта, переданных Вам друзьями или знакомыми. К сожалению, большинство пользователей упорно игнорируют антивирусные программы или просто не обновляют антивирусные базы, в результате чего "просыпают" попадание вируса в свои машины. Как результат, инфицированные компьютеры становятся рассадниками вирусов для десятков или даже сотен др. компьютеров. Потенциальную опасность также могут представлять CD/DVD-диски, записанные на таких "чистых" машинах, т.к. очевидно, что среди записанных на них (дисках) файлов окажутся и инфицированные. Не исключается также и возможность подхватить данный вирус в том случае, если Вы пользуетесь для переноса/хранения информации флэшками (USB Flash Memory Storage) или дискетами.


2. Инсталляция в систему.

Win32.Maniac.A является резидентным зашифрованным вирусом-паразитом, использующим для своего распространения тела Windows-приложений (т.н. PE-файлы, содержащие в своих заголовках метку "PE"; к таковым относятся программы с 32-битным кодом, написанные на языках высокого уровня, таких как, например, C++ Builder, Borland Turbo Pascal (Delphi) и пр., создаваемые для работы в среде Windows). Дееспособен под всеми существующими на сегодняшний день Windows-системами.
Данный вирус имеет очень много сходства с др. файловым полиморфик-крипт-вирусом - Win32.Parasite (aka Win32.Parite.b, Parite.2), а также содержит в себе ряд шпионских и деструктивных процедур.
Вирус не способен существовать как самостоятельная программа (т.е. в виде рабочего файла, содержащего только вирусный код), т.к. выполнен в виде логического программного блока (не содержит заголовка и, соответственно, т.н. "точки входа" - место в коде заголовка файла, с которого производится считывание стартового адреса программы и начинается ее выполнение), внедряемого в Windows-приложения и использующего заголовки зараженных им файлов для получения управления и последующего запуска. Поражает системные файлы с расширениями "EXE" (программы и самораспаковывающиеся архивы/инсталляторы) и "SCR" (экранные заставки для Рабочего стола).
Код вируса представляет собой совокупность 2-х компонентов:

1. Дроппер (активатор основной программы), имеющий размер около 1,5-2 кб; написан на языке нижнего уровня (языке машинных команд) - Ассемблере. Данный компонент предназначен для расшифровки основного вирусного компонента с последующим его извлечением, установкой в систему и запуском на выполнение, а также для возможности запуска зараженного программного файла.

2. Основной компонент, производящий поиск и заражение файлов, а также различные вредоносные процедуры, включая и деструктивные. Представляет собой DLL-файл (динамическую библиотеку Windows), написанный на языке высокого уровня - Microsoft Visual C++ v5.0. В теле зараженного файла данный компонент содержится в сжатом и зашифрованном виде: сперва запакован в архив специального формата (применяется для паковки компонентов драйверов и серверных приложений Windows), а поверх зашифрован полиморфным крипт-алгоритмом, ключ к которому содержит дроппер-компонент вируса.
Схематически код вируса можно изобразить примерно так:


Используя механизм полиморфик-шифрования своего тела в зараженных файлах, вирус значительно усложняет пользователю визуальное выявление инородного кода в инфицированных фалах - последовательность кода в 16-ти ричном представлении (ASCII) в одном файле совершенно не похожа на этот же самый вирусный код, но уже в др. файле.
При запуске инфицированного файла на еще незараженной машине управление получает дроппер-код вируса (в своем роде - подпрограмма-"мастер"), который расшифровывает архив с Основным компонентом и записывает его под нижеуказанным названием в один из следующих системных подкаталогов:

для Windows 9X/ME:

%windir%\SYSTEM\vcmgcd32.dl_

для Windows 2K/XP:

%windir%\System32\vcmgcd32.dl_

Архив имеет размер 17878 байт и после записи на диск запускается дроппер-кодом на распаковку путем вызова соответствующей системной процедуры. При распаковке архива в этом же каталоге появляется и извлеченный файл - Основной вирусный компонент. Он имеет размер 36864 байта, никакими утилитами компрессии не обработан, но отдельные участки его кода зашифрованы двумя различными крипт-алгоритмами (неполиморфными). Представляет собой PE DLL-файл (динамическую библиотеку Windows - модульное приложение) и запускается на выполнение непосредственно дроппер-компонентом:

для Windows 9X/ME:

%windir%\SYSTEM\vcmgcd32.dll

для Windows 2K/XP:

%windir%\System32\vcmgcd32.dll

vcmgcd32.dl_ и vcmgcd32.dll имеют следующие параметры файлов: текущие дата и время модификации соответствуют реальному времени, когда эти файлы были записаны на диск; оба файла имеют атрибут "архивный" (archive), а vcmgcd32.dl_ (архив) - еще и атрибут "скрытый" (hidden), в результате чего при настройках системы "по умолчанию" данный файл не виден в Проводнике Windows при просмотре содержимого системных подкаталогов.
После своего запуска Основной компонент вируса (vcmgcd32.dll) остается резидентно в памяти компьютера вплоть до завершения работы Windows. Никаких ключей для возможности автозапуска данного файла при последующих стартах системы в реестре не создается. Механизм активации данного компонента следующий: при запуске зараженного файла вирусный дроппер, получающий управление в теле этого файла, проверяет наличие в системной памяти следующей "метки"-идентификатора:

_kuku_joker_v3.09_

Эта метка создается Основным компонентом на время своей работы и используется для инициализации заражения системы. vcmgcd32.dll расшифровывает данный идентификатор из своего тела (использует алгоритм расшифровки по смещению кода на величину XOR 66h) и устанавливает его в память. Таким образом, если указанный идентификатор присутствует в памяти, то это свидетельствует о заражении системы и дроппер-компонент вируса не производит повторной установки Основного компонента в систему. Если же идентификатор в памяти отсутствует, то дроппер-код производит уже известную процедуру инсталляции и запуска файла vcmgcd32.dll.
При осуществлении тех или иных действий вирус может на короткое время создавать в папке временных файлов системы (подкаталог \TEMP\) файлы *.tmp, в которые записывает часть своего кода и некоторые промежуточные данные:

для Windows 9X/ME:

%windir%\TEMP\*.tmp

для Windows 2K/XP:

\Documents and Settings\%user%\Local Settings\TEMP\*.tmp

, где %user% - имя текщего пользователя. После отработки данные файлы вирус удаляет.


3. Внедрение вируса в потоки данных активных процессов.

Компонент vcmgcd32.dll расшифровывает из своего тела (XOR 13h) и загружает в память процедуру, которая просматривает листинг активных процессов, запущенных в системе. Далее, при помощи специальных отладочных функций вирус пытается внедрить свой поток данных в потоки данных каждого из активных процессов. В результате вирусный компонент vcmgcd32.dll получается задействованным практически во всех активных процессах системы (за исключением процессов, представляющих компоненты системного ядра ОС Windows и наделенных особыми привилегиями - например, в Windows 2K/XP таковым является служебное приложение svchost.exe). Это делает невозможным удаление компонента vcmgcd32.dll вручную или при помощи антивирусных программ. Также невозможно отменить использование данной DLL-компоненты путем применения отладочных средств Windows, поскольку vcmgcd32.dll нигде в системе не регистрирует свой поток данных, а использует для его поддержки потоки данных др. программ. При этом вирус получает возможность осуществлять свои процедуры как бы от имени процессов, в которые внедрился. Например, какая-нибудь программа, не связанная с работой в сети Интернет, вдруг "непонятным" образом начинает рваться туда, чтобы что-то скачивать.
В адресном пространстве процесса, в который внедрился вирус, он (вирус) ищет и резервирует себе некоторое количество свободных адресов памяти, закрывая к ним доступ. При этом вирус не передает соответствующих инструкций программе, в чье адресное пространство он внедрился. В результате этого программный процесс не знает о том, что часть его адресного пространства уже занята др. программой (данными вируса), и поэтому может по необходимости попытаться разместить там свои собственные данные. В этой ситуации произойдет потеря временных данных программы и ее аварийное закрытие. При этом вирус просто прекращает обработку своего потока данных, связанных с завалившимся процессом.


4. Заражение PE EXE- и SCR-файлов.

Сразу же после инсталляции в систему вирус расшифровывает (XOR 66h) и запускает процедуру поиска и заражения файлов. Алгоритм поиска и количество заражаемых вирусом файлов зависит от версии ОС Windows. Под Windows 9X/ME он сканирует все логические диски компьютера, сетевые (при локальных соединениях с др. компьютерами) и внешние диски/носители информации (например, USB Flash и CardReaders), начиная с диска C: (флоппи-дисководы A: и B: вирус игнорирует), и заражает все подходящие по определенным параметрам EXE- и SCR-файлы (см. далее по тексту). Заражение производится как в системных, так и в пользовательских папках.
Под Windows 2K/XP также сканируются все доступные диски и съемные носители информации, однако в отличии от аналогичной процедуры в Windows 9X/ME, вирус не заражает файлы сразу, а сканирует последовательно один диск за др. (т.е. C:, D: и т.д.), выявляя уже зараженные файлы. При этом для каждого из дисков вирус создает в памяти отдельный счетчик, который увеличивает на 1 при обнаружении уже зараженного файла и в дальнейшем при заражении каждого нового файла. При этом он проверяет, чтобы значение счетчика не превышало 15, т.е. на каждом диске вирус заражает не более 15 файлов. Как только счетчик текущего сканируемого диска дошел до значения 15, вирус прекращает на нем (диске) поиск файлов для заражения (равно, как и в том случае, когда счетчик еще не дошел до значения 15, но находящиеся на диске файлы, подходящие для заражения, закончились) и приступает к заражению следующего диска. Счетчики зараженных файлов сохраняются в памяти с момента их создания и до завершения работы вируса (т.е., в принципе, до завершения работы Windows).
Вирус заражает не все программные файлы, а только те из них, которые соответствуют следующим требованиям:

 - файл имеет расширение "EXE" или "SCR";

 - файл является Windows PE-файлом (проверяется по формату заголовка файла - вот почему некоторые файлы, сжатые специфическими утилитами компрессии и криптации, вирус не заражает);

 - файл находится не в каталоге/подкаталоге системной папки Windows (это требование вирус соблюдает только для Windows 2K/XP);

 - размер файла составляет не менее 20480 байт (это соответствует размеру вирусного тела в зараженных файлах); существует ли какое-то ограничение на максимальный размер - я не смог установить, но на в ходе проведения опытов на тест-машине вирус заражал файлы размером более 5 Мб.

Каждый подходящий по параметрам файл заражается только 1 раз (вирус определяет его зараженность довольно сложным способом, производя при этом ряд специальных проверок участков кода).
Файлы заражаются один за другим в порядке очередности. При обнаружении подходящего файла вирус проверяет не загружен ли последний на выполнение и, если файл не задействован в работе, то vcmgcd32.dll считывает и запоминает его параметры - дату и время модификации, а также атрибуты, после чего приступает к редактированию файла (при этом вирус обходит ограничение редактирования при наличии у файла атрибута "read only" - только для чтения).
При заражении файла вирус дописывает свое зашифрованное тело в его конец. Для этого vcmgcd32.dll считывает полный вирусный код из тела последнего из запущенных зараженных файлов - местоположение этого файла дроппер-компонент передает компоненту vcmgcd32.dll в виде переменной и тот хранит ее в памяти. Затем вирус считывает последние 20480 байт уже зараженной программы и копирует их в зарезервированное пространство текущего заражаемого файла, а далее корректирует его заголовок: изменяет "точку входа" (место в коде заголовка файла, с которого производится считывание стартового адреса программы и начинается ее выполнение), заменяя оригинальный стартовый адрес (предварительно запоминает его) ссылкой на стартовый адрес своего дроппер-кода, который располагается примерно в нескольких сотнях байт от начала вирусного тела в заражаемом файле. Затем vcmgcd32.dll записывает в первые несколько сотен байт вирусного кода в теле зараженной программы (в те байты, которые расположены перед кодом дроппер-компонента) оригинальный (исходный) стартовый адрес программы. После этого vcmgcd32.dll шифрует полиморфик-крипт-алгоритмом все 20480 байт вирусного тела в заражаемом файле (кроме участка кода в 1,5-2 кб с дроппер-компонентом - к нему вирус не применяет полиморфик-крипт-метод). Только после всех перечисленных манипуляций vcmgcd32.dll завершает редактирование уже зараженного файла, перезапоминает его со всеми внесенными изменениями и присваивает ему исходные атрибуты, а также дату и время модификации до заражения. В результате, внешне зараженный файл отличается от исходного лишь увеличением размера на величину 20480 байт.

Файл до заражения (слева) и после (справа):


В процедуре заражения файлов автор вируса допустил 2 серьезные ошибки, из-за которых "Maniac.A"может испортить оригинальный код заражаемых файлов и они безвозвратно утрачивают свою работоспособность (подробности см. в п.6 этого описания).
Запуск зараженного файла происходит следующим образом: первым получает управление дроппер-код вируса, который проверяет наличие упомянутой "метки"-идентификатора, и, соответственно, либо сперва производит процедуру инсталляции в систему Основного компонента, а уже потом расшифровывает, считывает и запускает стартовый адрес оригинальной программы, либо сразу производит запуск оригинальной программы и завершает при этом свою работу. Схематически процесс запуска зараженной программы можно изобразить примерно следующим образом (соответствующие пропорции размеров секций на рис. не учитываются):


Обычно запущенная зараженная программа открывается с опозданием до нескольких секунд, но иногда дроппер-код по каким-то причинам "тормозит" и процесс запуска программы может затянуться на довольно долгое время.


5. Действия вируса во время работы в сети Интернет.
Похищение конфиденциальных пользовательских данных.

При подключении зараженной машины к сети Интернет у пользователя может сложиться впечатление, что большинство запущенных программ как будто "подурело": если на машине установлена защитная программа типа фаерволла, то она начинает "вопить", что то одна, то др. программы якобы пытаются входить в сеть и что-то там искать и скачивать. При этом индикатор принятых/отосланных байт данных может "наматывать круги". В реальности вирус расшифровывает (XOR 66h) и запускает на выполнение сразу несколько шпионских процедур, которые пытается осуществлять от имени др. программ, в чьи процессы ему удалось внедрить свой поток.
Первая вредоносная процедура заключается в выуживании из системы целого ряда конфиденциальных пользовательских данных (различных паролей и настроек). Для этого вирус сканирует некоторые ветки ключей реестра (например, Software\Microsoft\Windows\CurrentVersion\), определенные системные файлы с кэшированными данными (*.dat и *.ini - например, system.ini), а также пытается просматривать содержимое различных буферов обмена данными. В общей сложности вирус ищет и сохраняет в какие-то временные файлы следующую информацию:

 - модель и версию драйвера видеокарты;
 - имя пользователя и его пароль для входа в систему;
 - какие-то данные об устройствах компьютера;
 - текст, содержащийся на текущий момент в буфере обмена данными принтера;
 - логин, пароль и номер ICQ-клиента;
 - логин и пароль для входа в сеть Интернет;
 - номер телефона, по которому осуществляется дозвон до провайдера Интернет-услуг (при dialup-схеме подключения, т.е. через телефонную линию);
 - внешний (сетевой) IP-адрес и имя компьютера;
 - некоторые др. вещи неясного назначения.

Затем файлы с собранной информацией шифруются, после чего вирус пытается передать их, используя HTTP-протокол, на какие-то Web-ресурсы. Для передачи вирус открывает от имени установленного в системе "по умолчанию" вэб-броузера Internet Explorer 1033-й порт протокола TCP/IP и в фоновом режиме пытается транслировать данные на искомые ресурсы. Если по каким-либо причинам 1033-й порт оказывается недоступен, то вирус увеличивает значение порта на 1 (т.е. 1034, 1035 и т.д.) и повторяет попытки соединения с ресурсом. Процедура повторяется до тех пор, пока либо вирус не достигнет желаемого результата (не отошлет данные злоумышленнику), либо машина не будет отключена пользователем от Интернета. При успешном завершении данной процедуры, вирус расшифровывает и загружает в память следующую "метку"-идентификатор (чтобы не запускать данную процедуру повторно до момента своей новой активизации):

KUKU300a

Вторая вредоносная процедура заключается в попытках скачать из Интернета и установить в машину какой-то EXE-файл. Сначала вирус проверяет наличие в том же каталоге, в котором он расположен сам (т.е., соответственно, подкаталог \SYSTEM\ для Windows 9X/ME и \System32\ для Windows 2K/XP), наличие файла с названием win%S.exe (тут переменная %S имеет какое-то определенное значение, известное только вирусу). Если такой файл найден, то вирус запускает его на выполнение. Если же файл не удалось обнаружить, то вирус случайным образом выбирает один из активных процессов, в который встроен его собственный поток (vcmgcd32.dll), после чего пытается от имени этого процесса установить соединение с каким-то HTTP-сервером, адрес которого также определяет по непонятному алгоритму. Для загрузки файла вирус открывает от имени выбранного им активного процесса 53-й машинный порт (загрузка файлов) и, в случае удачного соединения с сервером, пытается скачать с него вышеуказанный EXE-файл и запустить его на выполнение. В том случае, если попытка открыть порт от имени др. процесса была пресечена (например, выход приложения в Интернет был заблокирован фаерволлом), то вирус пытается повторить попытку, но уже от имени др. из подвластного ему активного процесса. При успешном завершении данной процедуры, вирус также, как и при первой процедуре, расшифровывает и загружает в память "метку"-идентификатор, но уже др.:

KUKU301a

Из кода вируса непонятно какие именно Web-ресурсы он запрашивает.


6. Деструктивные процедуры.

Как я уже упоминал выше, вирус содержит 2 серьезные ошибки в процедуре заражения файлов. Эти ошибки имеют место в том случае, если код файлов до заражения был обработан какими-либо утилитами криптации или компрессии (в частности, компрессия при помощи утилиты "UPX"). При заражении таких файлов вирус с довольно высокой вероятностью при корректировке заголовков портит их, в результате чего ни вирусный код, ни оригинальная программа не могут быть запущены. При запуске такая программа либо возвращает системе сообщение вида "Программа не умещается в памяти", либо на экран выдается стандартное сообщение об ошибке открытия файла вида "Файл [имя файла] не является Win32-приложением". Также вирус при заражении сжатых файлов может некорректно разбирать их код и неправильно определять точку входа в программу. В этом случае вирус допишет к своему коду не оригинальный стартовый адрес заражаемой программы, а какой-либо др. или просто случайные данные. При запуске такого файла управление получит только вирусный код, после чего произойдет зависание или аварийное закрытие программы. В худшем случае может произойти полное зависание системы со всеми вытекающими отсюда негативными последствиями. Такие файлы также не подлежат восстановлению.
Учитывая тот факт, что на сегодняшний день утилиты шифрования и компрессии широко применяются в процессах разработки программ и установочных пакетов, ошибки вируса могут повлечь за собой не только серьезные сбои в работе программ и системы в целом, но и привести к потере пользовательского ПО и его дистрибутивов.
Примерно с вероятностью 2% вирус также может испортить при заражении и некомпрессированные файлы, "забывая" их при этом заразить.
Кроме деструкций, связанных лишь с внутренними ошибками, вирус содержит 4 целенаправленных деструктивных процедуры. При каждом старте vcmgcd32.dll случайным образом выбирает одну из таких процедур и запускает ее на выполнение.
Первая деструктивная процедура (XOR 13h) заключается в попытках вируса принудительно выгрузить из памяти активные процессы, соответствующие сканерам и мониторам антивирусных программ, фаерволлов, а также системных приложений диагностики и отладки программ. В зависимости от версии ОС Windows, а также версии установленной на компьютере защитной программы, вирус пытается на правах системного дебаггера (debugger - отладчик программного кода) получить доступ к программному ядру активных процессов, в названиях которых присутствуют следующие фрагменты:

NAV
AVP
KAV
DRWEB
OUTPOST
ZONEALARM
NOD32
ANTI
NMAIN
MCUPDATE
MGUI
NPROTECT
NUPGRADE
RTVSCAN
SAVSCAN
AUTOTRACE
AVSYNMGR
ATGUARD
AVGSERV
AVPROTECT
BIDEF
BIDSERVER
BIPCP
BLACKICE
CLEANER
DRWATSON
DRWTSN32
LOCKDOWN
MCAGENT
NPFMESSENGER
PERISCOPE
PINGSCAN
PORTDETECTIVE
PROTECTX
TRJSCAN
VSMAIN
AVLTMAIN
ESCANH
ICSSUPPNT
ICSUPP
AVXQUAR


Если вирусу удается осуществить процедуру "отладки" такого процесса, то он пытается путем использования некоторых ошибок в более ранних версиях защитного ПО, а также при помощи специальной процедуры вызвать переполнение буфера обмена данными у этих процессов. Если вирусу это удается, то соответствующая программа заваливается в памяти и происходит ее аварийное закрытие. При этом вирус, чтобы сбить пользователя с толку, выдает на экран 2 следующих сообщения:

Exception EAccessViolation in module [имя завалившегося процесса] at 0040%X

Access violation at address 0040%X. Read of address %X


Вместо переменной %X вирус подставляет в выводимые сообщения какой-то случайный программный адрес.
Вторая деструктивная процедура (XOR 66h) сканирует все папки на всех доступных для записи дисках компьютера с C: по Z: (включая также сетевые диски и съемные носители информации), выявляет все EXE-файлы, в именах которых присутствуют нижеприведенные фрагменты, и удаляет их (файлы не будут удалены только в том случае, если на момент осуществления вирусом данной деструкции они будут загружены в память):

KAV
NOD
ANTI
SCAN
ZONE
ANDA
TROJ
TREN
ALER
CLEAN
OUTP
GUAR
AVP
BIDEF


Данная процедура может оказаться более деструктивной, чем просто удаление компонентов защитного ПО, т.к. некоторые фрагменты из данного списка встречаются и в названиях пользовательских программ и специализированных утилит, например: игрушка RedAlert (RedAlert.exe), утилиты для работы с реестром Registry Cleaner (regcleaner.exe) и System Cleaner Expert (syscleaner.exe), программа для сканирования текстов ABBYY FineReader (компонент ScanMan[номер версии].exe). Однако еще более крупную потерю данных могут понести пользователи, которые пользуются программами защиты информации путем сокрытия на дисках файлов и папок конфиденциального характера - например, программой Folder Guard (основной компонент, если не ошибаюсь, называется FGuard.exe). После удаления данного программного файла доступ к спрятанным файлам будет недоступен не только сторонним лицам, но и их хозяину до тех пор, пока данная программа не будет восстановлена.
Третья деструктивная процедура (XOR 66h) также выявляет и удаляет во всех подкаталогах всех дисков компьютера файлы, названия которых заканчиваются следующими сочетаниями:

.vdb
.key
.avc
.tjc


Таким образом вирус ликвидирует антивирусные базы DrWeb, Kaspersky AntiVirus, какого-то неизвестного мне антивируса (TrojanCleaner - ?), а также файлы с регистрационными данными к этим программам. Однако удаление файлов *.key также повлечет за собой либо частичную, либо полную неработоспособность не только данных антивирусов, но и у абсолютно всех программ, регистрационные данные которых хранятся в файлах с расширением "KEY", например: файловый менеджер Total Commander, программа для диагностики системы и комплектующих компьютера Everest и т.д.
Четвертая деструктивная процедура (XOR 66h) заключается в удалении содержимого URL-кэша вэб-броузера Internet Explorer - стирается весь список хранимых в настройках Internet Explorer'а адресов посещаемых пользователем сайтов со всеми вытекающими отсюда последствиями.
Также вирус следит за ссылками, которые вводит пользователь в строке поиска Web-броузеров во время работы в сети Интернет. Если пользователь пытается вызывать страницы, расположенные на сайте компании Microsoft (вирус сопоставляет ссылки с нижеприведенной строкой), то запрошенный адрес блокируется:

www.microsoft.com

7. Прочее.

Помимо всех вышеперечисленных вещей, вирус также может:

 - в зависимости от каких-то условий создавать в памяти следующие "метки"-идентификаторы:

m_Tem_v3.06
KUKU v3.09 exp


 - пытаться искать в системе какой-то файл sysdll.dll.

Также в зависимости от неустановленных условий компонент vcmgcd32.dll может просто-напросто отключаться от всех потоков данных и завершать свою работу.
В коде вируса содержится зашифрованное послание (XOR 66h) весьма нелестного содержания, адресованное главам двух антивирусных компаний России - Игорю Данилову (ООО "Доктор Веб") и Евгению Касперскому (ЗАО "Антивирусная Лаборатория Касперского"). Автор вируса "выдвигает свое возмущение" по поводу "неправильного" присваивания имени детекшенам какого-то из его более ранних детищ в поисковых базах соответствующих антивирусных программ. Ниже привожу сие обращение в оригинале, со всеми ошибками и пропущенными буквами (в матерных словах я заменил некоторые символы "звездочками"):

Ну чё pазобал мой виpь?:-) Данилов ты с***шь с кСПЕРМСКИМ на пару! Ваши антивирусы ГОВНО, убедился сам! кСПЕРМА, моя программа называется Куку, а не Sality, до****б беспонтовый!!!


8. Детектирование вируса и лечение машины.

На момент разработки данного описания антивирусные программы уже обнаруживали вирус Win32.Maniac.A под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus: Virus.Win32.Sality.q (лечит зараженные файлы)

Антивирус BitDefender Professional: Win32.Sality.M (не лечит, а только удаляет зараженные файлы)

Антивирус DrWeb: Win32.HLLP.Sector (лечит зараженные файлы)

В принципе, самостоятельно осуществить процесс лечения от вируса для рядового пользователя просто нереально, если учесть все вышеизложенные приемы, которые использует вирус. Поэтому наиболее оптимальным решением вирусной проблемы, на мой взгляд, является перенос винчестера на др. неинфицированную машину, его подключение к ней, как второстепенного, с последующим пролечиванием всей находящейся на нем информации. В процессе лечения файлы vcmgcd32.dl_ и vcmgcd32.dll, детектируемые под вышеуказанными номенклатурными названиями, необходимо просто удалить. После процесса лечения испорченные или удаленные вирусом программы необходимо заменить из резервной копии или полностью переустановить. Также некоторые программы, будучи зараженными, но не испорченными вирусом, после лечения также могут оказаться нерабочими - причиной является встроенная в такие программы процедура проверки оригинальности их кода, которая заключается в подсчете т.н. CRC-значения (контрольной суммы) определенных участков кода файлов и сопоставлении полученных значений с оригинальными. К таким программам относится, например, Nero Burning ROM (программа для записи СD- и DVD-дисков). Учитывая тот факт, что вылеченные файлы содержат в своих заголовках некоторое количество измененных вирусом байт, вышеуказанная программа и ей подобные при своем запуске сразу же выдают соответствующее сообщение о расхождении значений контрольной суммы с оригинальным и завершают свою работу. Такие файлы также следует заменить.
Кроме того, было замечено, что некоторые из вылеченных файлов, несмотря на свою работоспособность, могут функционировать некорректно: например, вылеченный Far Manager перестал обрабатывать EXE-файлы, а компонент антивируса Касперского, который не попал в "черный список" вируса, но был заражен и также вылечен, "криво" запускал движок сканирования файлов, что приводило к некорректной процедуре поиска вирусов. В таких случаях тоже рекомендуется заменять некорректные файлы оригинальными, взятыми из резервной копии.
Следует отметить, что некоторое количество вирусных копий может присутствовать в файлах с расширениями "CHK" (последние являются файлами, резервируемыми некоторыми версиями ОС Windows в случаях обнаружения сбойных кластеров на жестком диске системным приложением Scandisk).

Также рекомендуется сменить пароли на подключение к сети Интернет, к почтовым ящикам и т.п.

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Win32.Maniac.B
Win32.Maniac.C
Win32.Maniac.D


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 24.10.2006
Дата внесения последних изменений: 09.01.2008
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00192999839783