VirusHunter предупреждает всех пользователей ПК о массовом распространении нескольких вариантов программы-аферы FraudTool.SystemAlert.C (aka Trojan.FakeAlert), пугающей пользователей ложными сообщениями о наличии в компьютере "страшных вирусов"...


1. Источники попадания в машину.

На данный момент мне известны 4 варианта данной модификации программы-аферы, которые практически полностью идентичны по коду и своему функционалу. Все они являются PE DLL-файлами (динамическими библиотеками Windows), написаны на языке Microsoft Visual C+. Никакими утилитами компрессии или криптации код файлов не обработан.
Все варианты FraudTool.SystemAlert.C были обнаружены на удаленных компьютерах пользователей, обратившихся ко мне за помощью в разоблачении "страшного вируса". Детальный анализ системного реестра всех четырех компьютеров дал мне основание утверждать, что данная программа-афера устанавливается в машины не др. вредоносными программами, а при помощи специально сгенерированных страниц, содержащих скрипт-код, который паразитирует на различных уязвимостях в Windows-обработчиках HTML-кода в открываемых пользователем Интернет-страницах. Более детально такие способы нелегального внедрения различного ПО в системный реестр были описаны в моих статьях о троянских программах Trojan-Downloader.Dyfuca и Trojan.CoulombGroup.A.


2. Инсталляция в систему.

При инсталляции программы ее DLL-файл записывается под случайным именем в один из следующих системных подкаталогов:

для Windows 9X/ME:

C:\WINDOWS\SYSTEM\%name%.dll

для Windows 2K/XP:

C:\WINDOWS\System32\%name%.dll

Значение %name% представляет собой произвольную комбинацию из малых или заглавных латинских символов. Вот, например, названия обнаруженных вариантов:

vwfps.dll
CTHKPCV.DLL
gwquvw.dll
hjpprpu.dll


Размер DLL-файла у всех вариантов одинаковый и составляет 20992 байта.
Для возможности автозапуска библиотеки при каждом старте системы скрипт-код, содержащийся в вышеупомянутой HTML-странице (пока что не была выявлена), создает в ключах автозапуска системного реестра какие-то записи с ссылкой на данный DLL-файл и спец. кодовой командной строкой, определяющей "точку входа" в библиотеку для возможности ее загрузки в память. Поскольку создаваемые записи не содержатся в коде программы, а компьютеры пользователей находились от меня на расстоянии, то установить какие именно значения в ключах реестра создают возможность запуска DLL-файла, не представляется возможным. При этом DLL-файл работает в системе как модульный компонент интерфейсной оболочки Windows - системного приложения Explorer.exe, добавляя свой файл в листинг прочих используемых в данном активном процессе DLL-файлов.


3. Действия программы во время работы в сети Интернет.

Несмотря на то, что файл программы не обработан никакими утилитами, способствующими модификации и сокрытию оригинального кода, определить его функционал оказалось весьма непросто. Это было обусловлено тем, что секция с основным функционалом (размер колеблется в зависимости от варианта программы в пределах 1600 - 1900 байт) представлена в виде значительного количества шифрованных участков различной длины. Авторский крипт-алгоритм оказался довольно сложным; с подобным методом я столкнулся впервые. Огромную помощь в выявлении ключа к шифру оказал мне наш вэб-дизайнер и мой коллега Алексей Авраменко (aka Swat2). Используя дизассемблер, Алексей за довольно короткое время определил ключ к шифру и написал утилиту, которая позволила мне по отдельным фрагментам раскодировать весь зашифрованный блок. Однако раскодированием данного шифра дело, как оказалось, не ограничилось: в центральной части расшифрованного блока был обнаружен участок кода длиной в 432 байта, который был закодирован еще одним крипт-алгоритмом, отличным от первого. На данный момент мне удалось определить только его общий принцип, но определить точный ключ для расшифровки пока не удалось.
Сразу же после старта Windows, справа на Рабочей панели в трэе появляется иконка, над которой программа расшифровывает из своего тела и выводит на экран следующий текст:


Именно появление этого ложного сообщения о "страшных вирусах" вызвало масштабную панику среди пользователей; мне даже известно несколько случаев, когда, просканировав свою машину установленным на ней несколькими (!) антивирусными программами и не обнаружив при этом никаких вредоносных файлов, пользователи тут же кинулись переустанавливать систему.
В том случае, если пользователь щелкает мышкой по данной иконке при активном Интернет-подключении, программа открывает окно установленного в системе Web-браузера (поддерживает все вэб-браузеры, архитектура работы которых совместима с Mozilla и Internet Explorer), в котором загружает главную страницу сайта какой-то антивирусной компании по расшифровываемой ссылке AntiVermins.com:


Далее программа проверяет наличие в разделе ключей системного реестра, связанного с деинсталляцией программ, наличие записи примерно следующего содержания:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\AntiVermins\]
"DisplayName"="AntiVermins"
"UninstallString"="\"C:\\Program Files\\AntiVermins\\antivermins.exe\" /uninstall"


Если такая запись не найдена, то программа расшифровывает из своего тела 2 Интернет-ссылки (для разных вариантов они немного отличаются):

http://www.anti-vermins%s/?aff=321
http://worldsecurityonline.biz/get.php?partner=321


или соответственно

http://www.antivermins%s/?aff=334
http://worldsecurityonline.biz/get.php?partner=334


При запросе любой из указанных ссылок управление переводится на адрес загрузки программы

http://dl1.antivermins.com/downloads/321/av_setup.exe

или соответственно

http://dl1.antivermins.com/downloads/334/av_setup.exe

С этого адреса пользователю предлагается скачать для последующей установки себе в компьютер следующее антивирусное ПО (возможно, фальшивое):


Данное ПО является пробной версией антивируса "AntiVermins".


4. Прочее.

Программа пытается искать на диске машины следующие файлы и какой-то каталог:

C:\WINDOWS\sysmsg.dll
C:\WINDOWS\System32\foot.exe (для Windows 9X/ME соответственно C:\WINDOWS\SYSTEM\foot.exe)
\pipe\ipctest
C:\1.txt

Также программа пытается обнаружить и следующий файл (имя может быть различным в зависимости от версии программы-аферы):

C:\WINDOWS\System32\331.dll (для Windows 9X/ME соответственно C:\WINDOWS\SYSTEM\331.dll)

или соответственно

C:\WINDOWS\System32\334.dll (для Windows 9X/ME соответственно C:\WINDOWS\SYSTEM\334.dll)

При обнаружении программа должна запустить его на выполнение.
Назначение данных файлов мне неизвестно, также как и способ их попадания в компьютер, поскольку ни на одном из четырех удаленных компьютеров последние обнаружены не были.


5. Детектирование и удаление программы.

На момент разработки данного описания антивирусные компании добавили процедуры детектирования практически всех из обнаруженных вариантов программы-аферы FraudTool.SystemAlert.C в поисковые базы своих антивирусов. Номенклатурные названия, под которыми обнаруживаются варианты программы, следующие:

Антивирус Kaspersky AntiVirus:
вариант 1, обнаруженный под названием vwfps.dll: not-a-virus:FraudTool.Win32.WorldSecurityOnline.a (расширенным набором антивирусных баз)
вариант 2, обнаруженный под названием CTHKPCV.DLL: not-a-virus:FraudTool.Win32.WorldSecurityOnline.c (расширенным набором антивирусных баз)
вариант 3, обнаруженный под названием gwquvw.dll: not-a-virus:FraudTool.Win32.WorldSecurityOnline.c (расширенным набором антивирусных баз)
вариант 4, обнаруженный под названием hjpprpu.dll: not-a-virus:FraudTool.Win32.WorldSecurityOnline.c (расширенным набором антивирусных баз)

Антивирус BitDefender Professional:
вариант 1, обнаруженный под названием vwfps.dll: не обнаруживает
вариант 2, обнаруженный под названием CTHKPCV.DLL: Trojan.Downloader.Small.LR
вариант 3, обнаруженный под названием gwquvw.dll: Trojan.Downloader.Agent.AEY
вариант 4, обнаруженный под названием hjpprpu.dll: Trojan.FakeAlert.AN

Антивирус DrWeb:
вариант 1, обнаруженный под названием vwfps.dll: Trojan.Fakealert.227
вариант 2, обнаруженный под названием CTHKPCV.DLL: Trojan.Fakealert.230
вариант 3, обнаруженный под названием gwquvw.dll: Trojan.Fakealert.229
вариант 4, обнаруженный под названием hjpprpu.dll: не обнаруживает

Для рядового пользователя самым простым способом избавиться от "страшного и ужасного вируса" является использование корректно настроенной антивирусной программы. Обнаружив у себя в машине DLL-файл, детектируемый Вашим антивирусом под одним из вышеперечисленных номенклатурных названий, выберите вариант действия "Удалить" (Delete или Remove).


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter), Авраменко Алексей (aka Swat2)
Дата создания: 24.02.2007
Дата внесения последних изменений: 24.02.2007
Благодарности: Авраменко Алексею (aka Swat2) за расшифровку основного алгоритма сокрытия функционала программы-аферы FraudTool.SystemAlert.C, а также за разработку утилиты, упростившей мне работу по расшифровке закодированных участков в вариантах данного "зловреда"
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00168991088867