VirusHunter предупреждает всех пользователей ПК о том, что работа в небезопасном режиме, а также необдуманное нажатие опции "Yes" ("Да") на появляющихся иконках во время работы в Интернете может привести к заражению компьютера...


Общая информация о троянах-даунлоадэрах.

Trojans-downloaders - это программы, назначением которых является загрузка файлов через сеть Интернет и запуск последних на зараженной машине без ведома пользователя. Как правило, такие файлы предсталяют собой разнообразные формы вредоносных программ, такие, как, например, backdoors (программы, позволяющие злоумышленнику контролировать зараженную машину через сеть Интернет), psw-trojans (программы, выуживающие из системы логины, пользовательские и сетевые пароли, а затем отсылающие эти данные хакерам) и т.п.
В данном описании речь пойдет об одном из представителей таких троянцев - программе "DYFUCA", семейство которой уже в прямом смысле слова заполонило Интернет-ресурсы. Стоит сказать, что примерно 40-50% новых версий этого троянца, которые я периодически отлавливаю, работая в Интернете, на момент их обнаружения либо вообще незнакомы антивирусным компаниям и, естественно, не обнаруживаются антивирусами, либо знакомы только некоторым из числа таковых.
Модификации "DYFUCA", в отличии от др. троянцев класса trojans-downloaders, обитающих исключительно на порно- и хакерских сайтах группы "Underground", попадались мне и на некоторых страницах таких популярных серверов, как MAIL.RU, RAMBLER.RU, на страничках крупных сайтов русской и зарубежной литературы, а также на некоторых крупных сайтах со сборками новинок программного софта. При этом троянцы семейства "DYFUCA" используют ряд уловок, чтобы доверчивый пользователь установил их на свой компьютер. Опасность последних в том, что при работе в Интернет они постоянно ищут по содержащимся в их коде ссылкам и устанавливают на зараженные компьютеры различные вредоносные программы, а также новые версии собственных компонентов, в которых могут содержаться дополнительные ссылки на прочие троянские программы или вирусы.


Детальное описание троянцев семейства "DYFUCA".

1. Заражение компьютеров через сеть Интернет.

Для заражения компьютеров, работающих в сети Интернет, троянец использует вызов своей программы через перекрестные ссылки, содержащиеся в коде некоторых страниц на сайтах, разработанных частными лицами. Как и на порно- и хакерских сайтах, это, конечно, делается умышленно. Т.е., когда Вы вызываете какую-либо страницу, содержащую в своем коде ссылку на удаленный компьютер с программой троянца, происходит как запрос этой страницы, так и вызов на загрузку программы троянца "DYFUCA".
Троянец может проникнуть в машину, используя один из следующих способов:

1. Если на компьютере установлен Web-броузер, настройки безопасности которого позволяют системе выполнять без запроса запуск т.н. объектов "ActiveX" - скрипт-приложений, осуществляющих загрузку/установку программного обеспечения без необходимости разрешения данного действия пользователем (должен констатировать, что большинство пользователей работают именно в незащищенном режиме, позволяющем осуществлять такие вещи), то скрипт, вызванный вышеупомянутой ссылкой, закачивает и устанавливает программу троянца в машину скрытно, без каких либо предупреждений, и пользователь вообще может не знать о внедрении в систему непрошенного гостя.

2. Если на компьютере установлен Web-броузер, параметры безопасности которого настроены должным образом, а также, если среди прочего программного обеспечения имеет место т.н. "FireWall" - программа-протэктор от атак хакеров, сетевых червей, а также от несанкционированных скрытых программных вызовов, удаленный скрипт не может установить троянца в машину. В этом случае, если заражение по 1-му способу не удалось, удаленный скрипт имитирует сообщение от имени какой-нибудь компании - например, "Integrated Search Technologies", с предложением установить какой-либо "полезный" софт - например, "программу для поиска крэков и серийных номеров к различным программным продуктам", о чем и выдается соответствующее сообщение:


Если пользователь нажимает опцию "Нет" ("No"), то появляется др. иконка с сообщением


, в тексте которого пользователю советуют в дальнейшем быть более "осмотрительным" и нажимать опцию "Yes" ("Да") на 1-й иконке - якобы для возможности вызова и просмотра "лицензионного соглашения" касательно установки предложенного программного софта. Сейчас же пользователю нужно просто нажать опцию "OK", чтобы закрыть назойливую иконку с сообщением.
Если же на 1-й иконке пользователь нажимает опцию "Да" (что делают практически все пользователи, очевидно не понимая о чем идет речь или просто боясь, что при нажатии опции "Нет" компьютеру придет полный "аминь"), система получает с удаленного компьютера сигнал на загрузку и установку в машине программы, востребованной пользователем, как это обычно бывает, когда производится закачка или сетевая установка программы на машину прямо с сервера компании-производителя. Отличие в нашей ситуации лишь в том, что при загрузке в машину троянца никаких индикаторов с процентажем загрузки или финального сообщения об окончании загрузки не появляется, т.к. процесс проходит скрытно.


2. Загрузка троянского пакетного файла.

Программный пакет троянца копируется в виде CAB-архива в одну из поддиректорий скрытого системного каталога временных файлов Интернета:

для Windows 9X/ME:

WINDOWS\Temporary Internet Files\Content.IE5\...\*.cab

для Windows 2K/2K Server/XP:

Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\...\*.cab

, где %user% - имя текущего пользователя.
Распаковка архива производится по стандартной схеме, в скрытый системный подкаталог

WINDOWS\Downloaded Program Files\

при помощи Microsoft-утилиты EXTRACT.EXE, которая всегда имеет место среди прочих компонентов Windows-систем.
В состав архива входят 2 файла:

UniDist.inf - файл-драйвер (размер 515 байт), содержащий служебные данные, используемые при регистрации троянца в системе, а также некоторые др. данные;
UniDist.ocx - установочный пакет троянца, размер которого зависит от версии троянца (в средем около 36 кб).

Далее происходит распаковка OCX-пакета и код троянца загружается в память машины. В процессе распаковки и инсталляции содержимого пакета в систему проверяется версия Windows и, если на машине установлена Windows NT версий 3.50, 3.51 или 4.0, то троянец осуществляет вызов на загрузку файла по ссылке

http://activex.microsoft.com/controls/vc/mfc42.cab

, прописанной в теле INF-файла. Указанный файл расположен на сервере компании "Microsoft" и представляет собой архив под названием MFC42.CAB, содержащий в себе самораспаковывающийся архив под названием mfc42.exe и размером 667360 байт. Данный архив содержит оригинальное обновление некоторых компонентов системы Windows NT вышеуказанных версий. В состав обновления входят 7 файлов, которыми заменяются устаревшие компоненты системы, отвечающие за обработку данных при работе с объектами ActiveX; очевидно, некоторые дополнительные возможности, добавленные в обновленные компоненты инженерами компании "Microsoft", троянец использует в дальнейшем при осуществлении своих манипуляций через сеть Интернет.


3. Инсталляция троянца.

Троянец представляет собой резидентную программу, написанную на Microsoft Visual C++ и дееспособную под всеми существующими на сегодняшний день ОС Windows. В состав программы входят 2 одинаковых компонента - stmtdlr.exe и optimize.exe, размер каждого из которых примерно по 65 кб (зависит от версии троянца; также размер может быть значительно меньше в том случае, если файлы троянца сжаты утилитами компрессии - обычно таковыми являются "UPX" или "PECompact").
Компонент stmtdlr.exe всегда устанавливается в один и тот же подкаталог

Program Files\Dialers\stmtdlr.exe

Компонент optimize.exe устанавливается в один из подкаталогов, название которого выбирается случайным образом из следующих вариантов:

Program Files\Media Manager\optimize.exe
Program Files\Software Installer\optimize.exe
Program Files\Active Alert\optimize.exe
Program Files\Internet Optimizer\optimize.exe

Более ранние версии троянца также могут прописываться под именем actalert.exe в подкаталог

Program Files\DyFuCA\actalert.exe

При этом троянец создает в реестре следующие ключи (приведены для новых версий троянца):

Ключ 1:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 "DyFuCA"=""C:\\Program Files\\***\\optimize.exe""


Ключ 2:

Fci: DyFuCA

Ключ 3:

[HKEY_LOCAL_MACHINE\Software\Fci]

Ключ 4:

[HKEY_LOCAL_MACHINE\Software\Fci\DyFuCA]
 "TAC"="Yes"
 "INIT"="ActiveX"


Ключ 5:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\dyfuca]
 "DisplayIcon"="C:\\Program Files\\***\\optimize.exe"
 "DisplayName"="***"
 "UninstallString"="\"C:\\Program Files\\***\\optimize.exe\" /u"


Ключ 6:

[HKEY_CURRENT_USER\Software\Avenue Media]

Ключ 7:

[HKEY_LOCAL_MACHINE\Software\Avenue Media\***]
 "CLS"="wsi9"
 "RID"="r01"
 "Version"="....."


, где вместо символов "***" указывается название подкаталога, в который был установлен компонент optimize.exe, а вместо "....." (Ключ 7) - номер версии троянца.
Ключ 1 используется троянцем для своего автозапуска при каждом старте системы; Ключи 1...4 используются для подключения системных обработчиков ActiveX-объектов при выполнении троянских процедур закачки вредоносных программ на компьютер через сеть Интернет. Ключ 5 используется при прописывании троянца в системный раздел "Установка и удаление программ" под видом системного приложения (имя, которое прописывает троянец в списке установленных программ, соответсвует имени подкаталога, в который установлен компонент optimize.exe). Ключи 6,7 используются троянцем только в процессе поиска собственных обновлений в Интернете и содержат служебную информацию.
Название "Dyfuca" троянец получил за несколько текстовых строк с соответствующим словом, содержащихся в его коде.
Чтобы скрыть свое присутствие в системе, троянец в качестве резидентного компонента использует файл stmtdlr.exe, который загружается в оперативную память компонентом optimize.exe при старте системы, после чего сам процесс "optimize.exe" закрывает себя. Таким образом, компонент optimize.exe маскируется под безобидное приложение системы (кому придет в голову, что вредоносная программа могла прописаться в список установленных программ), а компонент stmtdlr.exe, находясь в подкаталоге с экзотическим названием "Dialers" ("Программа дозвона"), скорее всего будет воспринят большинством пользователей как системное приложение, помогающее подключаться к Интернету.


4. Загрузка и установка вредоносных программ через сеть Интернет.

При подключении к сети Интернет троянец открывает 53-й порт (системная загрузка файлов) TCP/IP протокола, если он (порт) не занят какой-нибудь др. программой, и пытается найти сервера, домены которых содержат фрагменты текста из нижеприведенного списка (именно в указанном порядке):

.sextracker.com
.mtree.com
.active-alert-server.com
.internet-optimizer.com
.avenuemedia.com
.cocktailcash.com
.climaxbucks.com
cab.avenuemedia.com
xbs.cocktailcash.com
xbs.climaxbucks.com
xbs.mtree.com
xbs.nyc.mtree.com
xbs.pao.mtree.com
xbs.mtreexxx.nl
.pao.mtree.com
.mtreexxx.nl


Если удается обнаружить какой-либо из таких серверов, троянец пытается отсылать на него запросы, и, если сервер принял их и ответил, то троянцу открывается доступ к каким-то загрузочным страницам, с которых последний скачивает на зараженный компьютер, а затем запускает на выполнение др. вредоносные программы. Точно сказать, какие именно программы закачивает троянец на пораженную им машину - сложно, т.к. конкретных ссылок его код, как видите, не содержит, а используются промежуточные сервера, так что загрузить эти файлы с целью последующего их изучения без "помощи" троянца не представляется возможным. Что же касается зараженных машин, на которых были обнаружены представители семейства "DYFUCA", то помимо них там имелся в наличии целый букет разнообразных представителей вредоносного софта различных классов и определить, какие из них являются заслугой именно "DYFUCA", также не представляется возможным.


5. Апгрэйд троянской программы.

Кроме загрузки др. вредоносных программ, троянец ищет в Интернете новые версии своей программы, обращаясь к серверу, расположенному на странице http://www.internet-optimizer.com/... (ссылка написана мной частично из соображений безопасности, а то ведь наверняка среди читателей найдутся эксперементаторы пощупать "живой" вирус). Временные промежутки, через которые троянец должен приступать к поиску обновлений, он считывает из переменной "wsi9", ориентируясь при этом по системной дате. Значение данной переменной указано в Ключе 7. Из этого же ключа считывается и переменная "r01", соответствующая имени файла с обновлением, который троянец должен закачать с указанного сервера. Через тот же 53-й порт TCP/IP протокола троянец связывается с указанным сервером и запрашивает номер версии обновления, которое там хранится. Если номер версии, находящейся на сервере, выше номера текущей версии троянца, прописанной в Ключе 7 в строке "Version"= ..., то он (троянец) скачивает это обновление и перезаписывает свои компоненты более новыми, а значения указанных переменных и номер версии в Ключе 7 также будут заменены новыми значениями. При этом свои новые компоненты до перезаписи старых троянец сохраняет в подкаталог "...\Update\" того каталога, в который был проинсталлирован компонент optimize.exe (см. список выше по тексту).


6. Детектирование и удаление троянца из системы.

С января 2005 года номенклатурные названия всех компонентов вируса некоторыми из антивирусных компаний были заменены на следующие:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Dyfuca

Антивирус BitDefender Professional: Trojan.Downloader.Dyfuca

Антивирус DrWeb: Trojan.Dyfuca (некоторые модификации также детектируются как Trojan.DownLoader)

Компонент UniDist.inf не детектится по одной простой причине - он содержит обычный код, характерный для большинства INF-файлов, используемых при установке различного программного обеспечения. Поэтому, если данный файл отнести к разряду "вирус", то и большую часть др. аналогичных безобидных файлов также нужно было бы объявить вирусами.

Все файлы, обнаруженные антивирусными программами под указанными идентификационными названиями, не подлежат лечению и должны быть просто удалены, т.к. представляют собой оригинальные компоненты троянца "DYFUCA", а не зараженные файлы.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 07.04.2004
Дата внесения последних изменений: 04.03.2005
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00310897827148