VirusHunter предупреждает всех пользователей ПК об обнаружении троянской программы Trojan.LittleWorm (aka Win32.Worm.Small), использующей в качестве средства для своего размножения USB Flash Disk и Card Memory...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

%windir% - каталог, в который установлена ОС Windows.


1. Источники попадания в компьютер.

Единственным источником распространения троянца Trojan.LittleWorm являются USB Flash Disk (флэшки) и Card Memory (съемная память, используемая в цифровых фотоаппаратах и видеокамерах). Троянец копирует себя на данные носители информации, когда они подключаются к инфицированной машине под управлением ОС Windows 2K/XP или выше.


2. Инсталляция в систему.

Программа троянца написана на языке Microsoft Visual C+ версии 6.0, имеет формат PE EXE-файла (Windows-приложение). Файл имеет размер 24576 байт, никакими утилитами криптования или компрессии не обработан. Его работоспособность поддерживается только под Windows 2K/XP или более поздними версиями данной ОС.
Принцип работы троянца основан на свойстве Windows автоматически считывать и выполнять инструкции из файлов определенного формата и с определенными именами при чтении данных с СНИ, представляющих собой автозагрузочные диски для работы под оболочкой Windows. С такими носителями работало большинство пользователей: вставив, например, игровой или программный CD/DVD-диск в привод, на экране можно увидеть автоматически выводимое графическое окно с инсталляционным меню (перечнем по выбору ПО, типа установки и т.п.). Автозапуск осуществляется при помощи чтения загрузочных команд, содержащихся в файле autorun.inf, расположенном в корне СНИ. Этот файл содержит специальный скрипт-драйвер с ссылкой на стартовый компонент загрузочного меню диска (обычно этот компонент называется setup.exe, install.exe или autorun.exe). При обращении к загрузочному диску через системное меню "Мой компьютер" (двойном щелчке мышки по иконке с именем диска в общем списке всех подключенных к компьютеру носителей информации) через autorun.inf происходит автозапуск файла setup.exe (или install.exe, или autorun.exe) и его выполнение (т.е. автозагрузка интерфейса программного CD/DVD-диска). Как оказалось, данный принцип автозапуска работает не только для CD/DVD-дисков, но и для любых др. носителей, включая флоппи-диски, флэшки и даже логические разделы винчестера, если в их корнях записаны файлы autorun.inf, содержащие соответствующие команды с ссылкой на файл, который нужно автоматически запустить на выполнение.
Итак, Trojan.LittleWorm использует метод автозапуска через файл-дроппер autorun.inf для активизации своей копии на чистой машине. Инфицированный СНИ содержит следующие файлы-компоненты троянца:

%drivename%\Recycled\Driveinfo.exe - файл-копия троянца (размер 24576 байт);
%drivename%\Recycled\voinfo.dll - файл-пустышка (размер 0 байт), не имеющий никакого назначения;
%drivename%\autorun.inf - вредоносный файл-дроппер (размер 87 байт), используемый для автозапуска Driveinfo.exe без участия пользователя.

Для того, чтобы скрыть все свои файлы-компоненты от глаз пользователя, троянец присваивает им, а также и созданной папке Recycled (аналог Корзины, используемой системой для хранения удаленных пользователем файлов на каждом из дисков) атрибуты "hidden" (скрытый), "system" (системный), "archive" (архивный) и "read only" (только для чтения). Первые 2 атрибута позволяют троянцу и его компонентам быть невидимыми для Проводника и прочих менеджеров работы с файлами и папками (например, Total Commander), под которыми "по умолчанию" базовая настройка просмотра файлов и папок с данными атрибутами просто-напросто отключена. Для чего троянец присваивает своим компонентам и копиям атрибут "только для чтения" - непонятно, т.к. возможность обхождения данного атрибута у "зловреда" не предусмотрена и в ситуации, когда файл Driveinfo.exe на носителе был, например, испорчен каким-либо файловым вирусом, троянец просто-напросто не может перезаписать "битый" файл, в результате чего доступ к носителю через Проводник будет невозможен.
В качестве даты и времени модификации троянец присваивает:

Driveinfo.exe - реальные дата и время, когда файл последний раз модифицировался;
voinfo.dll и autorun.inf - дата: 17.08.2004, время: 15.04 или 16.04 - эти данные соответствуют дате и времени модификации обновленных компонентов Windows XP, реализованных компанией Microsoft во втором пакете обновлений (Service Pack 2) для данной версии ОС.

При подключении СНИ к компьютеру под управлением ОС Windows 2K/XP или выше (работает ли данный принцип под Windows 2K однозначно сказать сложно, а возможности проверить это у меня просто не было) система обычно автоматически открывает содержимое носителя в окне Проводника. В случае с зараженным носителем Windows выдает на экран следующее меню:


Также в меню выбора способа открытия содержимого инфицированного носителя добавляется дополнительный пункт - второй "Автозапуск".
Все это происходит потому, что система воспринимает носитель, содержащий в своем корне файл autorun.inf, как загрузочный, и запрашивает действие пользователя по обработке такого СНИ.
Если даже пользователь выберет вариант открытия содержимого носителя через Проводник, запуска троянца и заражения системы не произойдет: активизация файла Driveinfo.exe возможна только в том случае, если пользователь откроет содержимое носителя через меню "Мой компьютер" (т.е. при двойном щелчке на иконке СНИ в общем списке всех подключенных дисков машины). В этом случае система считывает и выполняет инструкцию из autorun.inf, в результате чего автоматически запускает на выполнение троянца \Recycled\Driveinfo.exe.
Если же пользователь работает с носителем не через Проводник, а через какой-либо др. менеджер файлов и папок (например, Far Manager или Total Commander), то запуск Driveinfo.exe возможен только если пользователь собственноручно запустит данный файл. В этом случае троянская программа загрузится на выполнение, а на экране появится окно Проводника с содержимым СНИ.
Работоспособность троянца под Windows 9X/ME невозможна из-за несовместимости программного функционала "зловреда". При этом, если попытка открытия СНИ производилось из-под меню "Мой компьютер", то на экран может быть выдано сообщение об ошибке, а диск так и не будет открыт. Поэтому для просмотра содержимого последнего необходимо либо воспользоваться каким-либо др. менеджером для работы с файлами и папками (например, Total Commander или Far Manager), либо просто выбрать способ открытия диска как "через Проводник".
При запуске троянца под Windows 2K/XP или выше последний проверяет имя папки, из которой производится его запуск: если это не Recycled, то работа троянца сразу завершается без заражения системы; если же имя соответствует Recycled, то производится инсталляция "зловреда" в систему.
При инсталляции троянец открывает содержимое СНИ в окне Проводника, после чего создает зеркальную копию файла Driveinfo.exe в следующем системном подкаталоге под нижеприведенным названием:

%windir%\System32\inetsrv.exe

Для того, чтобы созданный файл мог получать управление при каждом последующем старте системы, в раздел ключей автозагрузки системного реестра добавляется следующая запись:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"inetsrv"="%windir%\\system32\\inetsrv.exe"


После этого файл Driveinfo.exe завершает свою работу.


3. Заражение СНИ.

При первом перезапуске системы управление получает копия троянца inetsrv.exe, которая проверяет свое название и местоположение. Удостоверившись, что название файла inetsrv.exe и он находится именно в системном подкаталоге %windir%\System32\, троянец загружается в память и остается активным вплоть до завершения работы системы. Он абсолютно неприметен и никак не проявляет своего присутствия до тех пор, пока к компьютеру не будет подключен СНИ. При изменении списка подключенных дисков (т.е. при появлении в нем нового СНИ) троянец запрашивает у системы при помощи функций GetDriveType и GetLogicalDriveStrings тип СНИ (устройства типа ZIP-приставок, подключенные через COM- и LPT-порты, а также флоппи- и CD/DVD-диски игнорируются; также игнорируются USB-устройства типа сканеров, принтеров и т.п.) и букву имени, под которым последний добавился в список. После этого производится проверка количества свободного места на СНИ, а затем и запись на него всех вредоносных компонентов:

%drivename%\Recycled\Driveinfo.exe
%drivename%\Recycled\voinfo.dll
%drivename%\autorun.inf

Иногда троянец может ошибочно записывать вышеуказанные файлы на какой-либо из логических дисков машины.
Повторные попытки записи файлов осуществляются каждые 30 секунд. При этом, если запись на СНИ заблокирована (например, на флэшке, при помощи блокирующего джампера), то троянец перехватывает возвращаемый системой ответ вида

cannot open or create out-file

Однако эта проверка корректно работает только в том случае, если защищенное от записи устройство подключается к скоростному USB-порту (USB 2.0). При подключении к медленному USB-порту, который по своей архитектуре или же вследствие неустановленной поддержки USB 2.0 не поддерживает быстрое чтение данных с носителя, проверка не работает и зловред ошибочно считает, что устройство открыто для записи и пытается заразить его. В результате система выдает на экран сообщение об ошибке вида


, а троянец упорно пытается скопировать свои файлы на данное устройство.
Если пользователь пытается отключить СНИ в тот момент, когда зловред осуществляет заражение последнего, то система выдает на экран следующее сообщение:



4. Прочее.

В теле троянца отсутствуют секция с иконкой инициализации файла, а также секция информации, в которой обычно записываются данные о версии файла, его разработчике и т.п. Вместо них троянец содержит небольшой фрагмент кода с текстовой строкой в бинарной форме:

Hello from MFC!

Также в ходе своей работы троянец может обрабатывать возвращаемые системой сообщения вида

08060a0clo9k
и
cannot open in-file

, назначение которых мне неизвестно.
Кроме того, в коде троянца содержатся записи для создания своих копий под нижеуказанными названиями в следующих папках:

%drivename%\Recycled\Driveinfo.sdc
%windir%\System32\Driveinfo.exe
%windir%\System32\Driveinfo.log

Однако эти файлы никогда не создаются.


5. Детектирование и удаление троянца из машины и с СНИ.

На момент создания данного описания Trojan.LittleWorm и создаваемый им вспомогательный компонент антивирусы детектируют так:

Антивирус Kaspersky AntiVirus:
файл Driveinfo.exe (inetsrv.exe): Worm.Win32.Small.i
файл autorun.inf: Worm.Win32.Small.i

Антивирус DrWeb:
файл Driveinfo.exe (inetsrv.exe): Win32.HLLW.Autoruner
файл autorun.inf: Win32.HLLW.Autoruner

Антивирус BitDefender Professional:
файл Driveinfo.exe (inetsrv.exe): Win32.Worm.Small.G
файл autorun.inf: Win32.Worm.Small.Q

Для удаления троянца и устранения проблемы блокирования некорректно вылеченных носителей при обращении к ним через Проводник, я рекомендую Вам проделать следующее:

 - при обнаружении вредоносного файла %windir%\System32\inetsrv.exe, выгрузите из памяти процесс inetsrv.exe, воспользовавшись Диспетчером задач;

 - включите показ скрытых/системных фалов и папок при работе в Проводнике, для чего можете воспользоваться утилитой из спец. набора от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя;

 - проверьте все используемые Вами СНИ вышеуказанных типов на наличие файлов

%drivename%\Recycled\Driveinfo.exe
%drivename%\Recycled\voinfo.dll
%drivename%\autorun.inf

и, в случае обнаружения, удалите их. При осуществлении данной процедуры через Проводник не пытайтесь открывать содержимое СНИ посредством меню "Мой компьютер" с помощью двойного щелчка мышки - это приведет к запуску копии троянца, содержащейся на СНИ. Просто наведите курсор мышки на иконку с буквой имени СНИ, нажмите правую клавишу мышки и выберите пункт "Проводник", после чего можете безопасно приступить к удалению вредоносных файлов;

 - удалите вручную файл %windir%\System32\inetsrv.exe.

При удалении вредоносных файлов важно не оставлять на СНИ файл-дроппер autorun.inf, т.к. иначе при последующих попытках открытия СНИ через меню "Мой компьютер" доступ к данным на нем будет заблокирован системой, а на экране появится одно из следующих сообщений:


или


или окно с таким меню:


Созданная троянцем запись в ключах реестра никак не повлияет на работу системы, поэтому ее можно не удалять.

С учетом потенциальной опасности, которую несет неконтролируемое считывание системой данных из вредоносных файлов autorun.inf, для пользователей Windows XP была разработана специальная утилита, выгружающая из системной памяти потоки данных, связанные со считыванием и выполнением инструкций из файлов autorun.inf. Утилита была добавлена в спец. набор от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя, поскольку ее работоспособность зависит от некоторых системных условий.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 24.02.2007
Дата внесения последних изменений: 24.11.2007
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00275993347168