VirusHunter предупреждает всех пользователей ПК о распространении очередного варианта деструктивного червя Win32.Email-Worm.Wukill.C (aka Win32.Wukill, W32.Wukill.A@mm) через вложения в почтовых посланиях, а также через съемные носители информации...


Некоторые определения, встречающиеся в описании.

VBS - Visual Basic Script. Язык программирования, используемый в Windows-системах. На данном языке пишутся системные скрипт-приложения, а также вспомогательные подпрограммы для Интернет-сайтов.

VB - Visual Basic. Язык программирования, используемый в Windows-системах. На данном языке пишутся многие системные и пользовательские приложения (программы).

Апплет - дополнительная скрипт-программа, использующая т.н. "активные системные сценарии". Обычно написана на VBS или JS (Java Script). Такие программы используются для спец. вставок при оформлении Интернет-страниц (например, движущиеся картинки, страничка со звуковым оформлением и т.п.).

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками.

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым.

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации".

%windir% - каталог, в который установлена ОС Windows.

%user% - каталог текущего пользователя в ОС Windows 2K/XP.


1. Источники попадания червя Win32.Email-Worm.Wukill.C в компьютер.

Программа червя является вариацией варианта Win32.Email-Worm.Wukill.A с элементами варианта Win32.Email-Worm.Wukill.B. Может попадать в компьютер двумя путями: либо в виде письма с приложенным файлом, представляющим собой копию программы червя, либо через СНИ, такие как, например, дискеты и флэшки (теоретически, также может попадать в компьютер и через файло-обменные сети под видом "полезного" файла). В обоих случаях червь может активизироваться только в том случае, если пользователь собственноручно запустит вредоносный файл.


2. Инсталляция в систему.

Программа червя написана на языке Microsoft VB версии 6.0 и откомпилирована в формат PE EXE-приложения (Windows-программы). Файл имеет оригинальный размер 32768 байт (сжат утилитой компрессии "ASPack" версии 2.12; размер в декомпрессированном виде, в приближении к оригинальному, составляет 73728 байт), однако в некоторых случаях может иметь больший размер (см. п.6 данного описания).
Для работоспособности червя в ОС Windows должна быть установлена техническая библиотека msvbvm60.dll. Этот компонент необходим для работы любых специализированных и пользовательских программ, написанных на Microsoft VB 6-й версии. В Windows 9X/ME он отсутствует (про Windows 2K точно не скажу), но может быть позаимствован, например, из Windows XP (там он точно есть) и записан для 9X/ME в системный подкаталог %windir%\SYSTEM.
Если червь при запуске не находит этот компонент, то на экран выдается стандартное системное сообщение об ошибке запуска программы и заражения системы не происходит:


При запуске вредоносного вложения из почтового послания (название файла всегда одно и то же - MShelp.exe) червь выдает на экран следующее ложное сообщение о "повреждении файла", чтобы сбить пользователя столку:


Затем червь копирует себя в системный каталог под следующими названиями:

%windir%\Mstray.exe
%windir%\MShelp.exe

Сразу следует отметить, что значок-иконка у всех файлов-копий червя при просмотре через Проводник или файловый редактор-менеджер Total Commander косит под значок-иконку, характерный для папок. Вот, например, как будет выглядеть в списке файлов Mstray.exe:


Файл Mstray.exe является рабочим файлом червя и при последующих запусках системы будет автоматически получать управление. Для этого в системном реестре создается следующий ключ со значением под названием "KavRUN200":

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"KavRUN200"="%windir%\\Mstray.exe"


Также червь изменяет следующие значения в нижеприведенном ключе реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000000
"HideFileExt"=dword:00000001


В принципе, величины данных значений во всех Windows-системах "по умолчанию" являются базовыми. Однако червь изменяет их, т.к. опытные пользователи обычно заменяют в настройках системы величину значения "Hidden" с "0" на "1", чтобы при работе с Проводником были доступны файлы и папки, которым присвоены атрибуты "системный" и/или "скрытый" ("system" и "hidden" соответственно). Что же касается установки червем вышеуказанной стандартной величины значения "HideFileExt" (т.е. "1"), то это ему необходимо для сокрытия расширения "EXE" у файла Mstray.exe и пр. своих копий, чтобы при работе с Проводником такие файлы выглядели как реальные папки (см. картинку выше).
Кроме того, червь заменяет новой величиной и принятое "по умолчанию" следующее значение нижеприведенного ключа реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\]
"FullPath"=dword:00000001


Данное изменение червь производит для возможности осуществления специальной процедуры, связанной с созданием своих копий в открываемых пользователем каталогах (см. п.3 данного описания).
После всех вышеописанных действий червь завершает свою работу и до следующего перезапуска системы остается неактивным.


3. Размножение через носители информации. Деструктивные действия.

При первом перезапуске системы файл червя Mstray.exe запускается на выполнение и остается резидентно в памяти Windows вплоть до завершения ее работы. Рабочее окно вируса не видно пользователю, т.к. располагается за пределами нижней области экрана.
Получив управление, червь сканирует диски A:, а также C:, D: и E: (как внутренние, так и сетевые, если зараженная машина соединена с др. компьютерами локальной сетью и их соответствующие диски открыты для записи) и создает в их корнях следующие файлы:

- desktop.ini размером 72 байта;
- comment.htt размером 697 байт.

И тем, и др. файлам червь присваивает кроме прочих атрибуты "скрытый" и "системный", в результате чего файлы не видны пользователю при работе с Проводником.
При обращении через Проводник к любому диску червь записывает в его корень свою копию под названием SEXYGIRL.EX (ошибка в вирусе: вместо EXE-расширения он ошибочно записывает расширение "EX" и копия червя не может быть запущена), а также создает и 2 вышеуказанных файла, назначение которых то же самое, что и в варианте Win32.Email-Worm.Wukill.A. Однако в инструкции файла desktop.ini содержатся 2 ошибки: во-первых, вместо ссылки на компонент comment.htt производится попытка обращения к файлу SEXYGIRL.EX (с целью его запуска ?), но без считывания инструкции из comment.htt это невозможно; во-вторых, запустить SEXYGIRL.EX с "неполноценным" расширением нереально, если к тому же учесть и тот факт, что инструкция предполагает запуск файла червя с именем "SexyGril" вместо "SexyGirl" (перепутаны местами 2 буквы). Так что о чем думал автор, изменив нормально работающий алгоритм на сплошные ошибки, - непонятно.
Однако, несмотря на ошибки, червь все равно в состоянии копировать себя в любую папку, в которую войдет пользователь при помощи Проводника. Данная процедура выглядит следующим образом: при открытии пользователем какой-либо папки червь копирует в нее файл SEXYGIRL.EX под именем этой папки (и уже корректным расширением "EXE"). Примеры:

Program Files\Program Files.exe
Мои документы\Мои документы.exe
и т.п.

Чтобы пользователь Проводника ничего не заметил, червь присваивает создаваемому файлу атрибут "скрытый".
Если в папке, в которую вошел пользователь, имеется оригинальный EXE-файл с именем, идентичным ее (папки) имени, то червь, вне зависимости от каких-либо условий, перезаписывает этот оригинальный EXE-файл своей копией со всеми вытекающими отсюда негативными последствиями.

Если пользователь использует для работы с папками и файлами такие редакторы-менеджеры, как, например, Total Commander и Far Manager, то вышеописанная процедура копирования червя не работает. Вообще же следует отметить, что довольно сходный алгоритм заражения каталогов (но только без осуществления деструктивных действий) использовался в скрипт-вирусе VBS.Folder, aka VBS.Redlof.a. Под Windows 2K/XP червь также может создавать копии файлов desktop.ini, comment.htt и SEXYGIRL.EX в нижеприведенном каталоге под следующими названиями:

Documents and Settings\%user%\Типdesktop.ini
Documents and Settings\%user%\Типcomment.htt
Documents and Settings\%user%\ТипSEXYGIRL.EX

В памяти машины может присутствовать только одна активная копия червя.


4. Дополнительные маскировочные приемы.

Этот раздел полностью идентичен приведенному в описании варианта Win32.Email-Worm.Wukill.A. Только нужно учесть, что название значения ключа у данного варианта червя не "RavTimeXP", а "KavRUN200".


5. Хранение временных и технических данных.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Email-Worm.Wukill.A.


6. Размножение через E-mail.

Этот раздел полностью идентичен приведенному в описании варианта Win32.Email-Worm.Wukill.A. Только следует отметить, что размер приложенного файла может превышать оригинальный (32768 байт). Это обусловлено тем, что при прикреплении своей копии к посланиям червь может случайным образом удлинять последнюю секцию файла-вложения, записывая в нее небольшой фрагмент какого-либо имеющегося на зараженной машине EXE-файла, выбираемого случайным образом на произвольном диске.


7. Прочее.

Если в ходе работы червя произошли какие-то внутренние ошибки, то он может выводить на экран следующий текст:

Hello!

В теле червя содержится информационная секция, в которой записаны следующие данные:

CompanyName  Fun
ProductName  SexyGirl
FileVersion  2.11
ProductVersion  2.11
InternalName  NanFeng
OriginalFilename  NanFeng.exe


Компиляция исходника программы червя производилась автором в следующем каталоге (данная строка присутствует в коде вируса):

D:\Program Files\Microsoft Visual Studio\VB98\lhw\XDD\XDD\XNanF.vbp


8. Детектирование и удаление червя из машины.

На момент создания данного описания Win32.Email-Worm.Wukill.C и создаваемые им вспомогательные компоненты антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файл SEXYGIRL.EX (он же MShelp.exe, Mstray.exe и т.д.): Email-Worm.Win32.Wukill
файл comment.htt: Trojan.VBS.Starter.a

Антивирус DrWeb:
файл SEXYGIRL.EX (он же MShelp.exe, Mstray.exe и т.д.): Win32.HLLM.Wukill
файл comment.htt: Trojan.AppActXComp

Антивирус BitDefender Professional:
файл SEXYGIRL.EX (он же MShelp.exe, Mstray.exe и т.д.): Win32.Worm.WuKill.A
файл comment.htt: Trojan.VBS.Starter.G

Для удаления червя из машины рядовому пользователю рекомендуется проделать следующее:

 - проверить зараженный компьютер установленной на нем антивирусной программой, соглашаясь с удалением всех файлов, которые будут детектироваться как вирусы с вышеперечисленными идентификационными названиями. Если машина связана с др. компьютерами локальной сетью, то ее необходимо на время лечения отключить от сетки. Также необходимо проверить и остальные компьютеры сети.

 - настроить показ скрытых/системных фалов для дальнейшей работы с Проводником, для чего рекомендую воспользоваться утилитой из спец. набора от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.

Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 12.01.2006
Дата внесения последних изменений: 14.01.2007
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00335192680359