VirusHunter предупреждает всех пользователей ПК о распространении очень опасной троянской программы Backdoor.HideLogon.A (aka Win32.Grum), позволяющей скрытно управлять ресурсами пораженных ею компьютеров с системой Windows и использовать последние для рассылки спама и др. вредоносных программ. Также вредоносная программа использует ряд сложных приемов для сокрытия своего присутствия в зараженной системе...


1. Источники попадания троянца Backdoor.HideLogon.A в компьютер.

Троянская программа была обнаружена в "диком" (недетектируемом) виде 24 марта 2007 года в машине одной из фирм нашего города. Судя по всему, троянец был разработан в середине марта, т.к. удалось установить, что в машину пострадавшей фирмы он попал вечером 17 марта вместе с др. вредоносными программами.
В компьютер троянец может попадать либо через сеть Интернет (загружается в машину др. вредоносными программами), либо через файло-обменные сети под видом "полезного" файла. Также может распространяться путем спам-рассылки писем с вредоносным вложением.


2. Инсталляция в систему.

Работоспособность троянца возможна только на машинах с установленной ОС Windows 2K/XP или выше. При попытке запустить троянца на машине с Windows 9X/ME происходит аварийное завершение его (троянца) работы с выдачей на экран соответствующего системного сообщения об ошибке. Однако некоторые процедуры, связанные с блокировкой определенных потоков данных, все же срабатывают. Как результат, хотя заражения системы не происходит, но при попытке открытия системных приложений и пользовательских программ большинство из них "криво" загружаются на выполнение: например, приложение загружается в память, однако его рабочее окно не выводится на экран - создается впечатление, что программа просто не открылась или зависла при открытии (при этом, после 2-х - 3-х попыток приложение все же открывается). Также не удается завершить работу системы: на экран выдается сообщение вида


При выборе любого из предложенных действий в данном окне система наглухо виснет и единственный способ перезапустить ее - это двукратное нажатие комбинации клавиш Ctrl+Alt+Del (хотя возможен и вариант, когда перезагрузка удастся только при нажатии кнопки Reset на корпусе компьютерного блока или просто отключения питания [для ноутбуков]). Однако нормальное функционирование системы после перезагрузки полностью восстанавливается.
Под Windows 2K/XP или выше процедура инсталляции троянца может происходить немного по-разному, в зависимости от способа его попадания в компьютер. Если он был загружен из сети Интернет др. вредоносной программой, то его файл записывается в корневой каталог системы как

%windir%\winlogon.exe

Название файла соответствует одному из основных компонентов ОС Windows 2K/XP - приложению %windir%\System32\winlogon.exe. В результате такой маскировки даже опытный пользователь, у которого установлена защитная FireWall-программа, будет ошибочно полагать, что в Интернет "рвется" системный компонент \System32\winlogon.exe, а не вредоносная программа winlogon.exe, и, очевидно, не разрешит фаерволлу блокировать работу данного файла со всеми вытекающими отсюда негативными последствиями.
Троянец представляет собой Windows-приложение, написанное на языке Ассемблер. Вредоносный winlogon.exe имеет размер 33280 байт, его код зашифрован сложным внутренним крипт-алгоритмом, а поверх файл сжат при помощи какой-то неизвестной мне утилиты компрессии (приблизительный размер в декомпрессированном виде составляет около 145 кб). Файл носит только атрибут "архивный" (archive), а дата и время его модификации соответствуют реальному моменту времени, когда последний был скачан из сети Интернет и записан на диск.
Первое, что делает троянец, получив управление - это проверяет версию ОС Windows, а затем и название своего файла: если оно соответствует winlogon.exe, то в ключах автозапуска системного реестра создается следующее значение:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Firewall auto setup"="%windir%\\winlogon.exe"


, где %windir% - путь к каталогу с установленной ОС Windows.
Таким образом, троянец получает возможность автоматически запускаться при каждом последующем старте системы.
Следующим действием троянца является весьма сложная процедура, которая заключается в выделении блока памяти в адресном пространстве видео кэша (в памяти видео адаптера), куда загружается резидентная rootkit-процедура, использующая недокументированные функции языка Ассемблер. Ее назначением является сокрытие от системных вызовов вредоносного процесса %windir%\winlogon.exe, а также всех файлов с названиями winlogon.exe на всех дисках компьютера (как внутренних, так и съемных). В результате этого создается впечатление, что никакого вредоносного файла в каталоге с ОС Windows нет, а также того, что оригинальный системный компонент %windir%\System32\winlogon.exe вдруг пропал с диска. Однако в реальности все существующие на диске компьютера файлы с названиями winlogon.exe никуда не пропадают, а просто недоступны для визуального просмотра как средствами Windows, так и спец. отладочными программами.
Если пользователь собственноручно занес в машину вредоносный файл winlogon.exe, то все процедуры инсталляции и сокрытия полностью идентичны вышеописанным, только местом запуска троянца при каждом старте системы становится не %windir%, а %currentpath% - текущее местоположение, откуда пользователь произвел запуск файла winlogon.exe. Соответственно, и значение в вышеуказанном ключе реестра будет выглядеть как

"Firewall auto setup"="%currentpath%\\winlogon.exe"

Если же файл был занесен в машину под названием, отличным от winlogon.exe, то процедура инсталляции немного изменяется: при запуске файла %name%.exe из его тела в текущий каталог извлекается файл sys.bat размером 44 байта, представляющий собой короткий командный файл на языке Batch-скрипт для Windows. Троянец запускает этот файл на выполнение - скрипт должен удалить исходный файл %name%.exe сразу же после того, как последний создаст свою копию под названием winlogon.exe в подкаталоге временных файлов текущего пользователя:

[диск]:\Documents and Settings\%CurrentUser%\Local Settings\Temp\winlogon.exe

Как только троянец создал данную копию, управление передается ей, а исходный файл %name%.exe завершает свою работу и удаляется при помощи sys.bat, после чего последний удаляет и себя. С учетом нового местоположения файла winlogon.exe вирусная запись в вышеуказанном ключе реестра будет иметь следующий вид:

"Firewall auto setup"="[диск]:\\Documents and Settings\\%CurrentUser%\\Local Settings\\Temp\\winlogon.exe"

В памяти может присутствовать только 1 копия троянца (та, которая загрузилась первой), активность которой сохраняется вплоть до завершения работы системы.


3. Управление зараженным компьютером через сеть Интернет.

Троянец пытается подключиться к сети Интернет. Если попытка не удалась, то она повторяется с промежутками в 8 минут. При успешном входе в сеть производится попытка соединение со следующими серверами:

209.20.130.33 - главный сервер почтового провайдера nwlink.com. Используя данный сервер как ретранслятор, троянец пытается отсылать через него в виде http-запросов определенные пакеты данных в Интернет.

69.46.19.47 - сервер злоумышленников, с которого бэкдор будет получать команды. Обмен данными с сервером троянец производит в виде http-запросов, отсылаемых/принимаемых либо на 80-м, либо на произвольно выбранном порту протокола TCP/IP.

Также троянец записывает этот сервер в создаваемый им параметр "host" (хозяин) в следующих разделах ключей системного реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop]
"host"="69.46.19.47"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security]
"host"="69.46.19.47"


Результат этих записей - получение прав доступа к Рабочему столу зараженного компьютера, а также возможность скрытной передачи данных с компьтера/на компьютер в случае работы пользователя в сети посредством веб-браузера Internet Explorer.
Также создается еще один параметр реестра, значение которого генерируется системой в зависимости от ряда условий (например, текущего времени, тактовой частоты процессора и т.д.); оно используется троянцем при генерации фиктивного эл. адреса отправителя при проведении массовых спам-рассылок:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop]
"id"="[уникальный ID-номер зараженного компьютера]"


Если соединение с сервером 69.46.19.47 удалось, то троянец открывает произвольный порт протокола TCP/IP, передает на сервер номер открытого порта и ждет команд злоумышленника. Бэкдор-функционал троянца весьма обширный. Ниже привожу список команд, которые мне удалось распознать при анализе кода троянца. Итак, бэкдор может:

 - передавать злоумышленнику информацию о версии установленной на компьютере ОС Windows;

 - о логических разделах диска и их формате (NTFS или FAT32), о количестве свободного места на них;

 - делать скриншоты экрана (снимки изображения на дисплее);

 - перезаписывать оригинальное содержимое системного файла %windir%\System32\drivers\etc\hosts указанными злоумышленником данными с целью блокировки доступа к различным сетевым ресурсам, скачивания обновлений антивирусных программ и т.п., а также перенаправления запросов на др. сервера;

 - искать и извлекать содержимое из файлов *.rgn и *.nds (судя по всему, это файлы с паролями и настройками определенных онлайновых игр);

 - принудительно выгружать из памяти процессы с именами

taskmgr - системная служба "Диспетчер задач";
totalcmd - пользовательский менеджер для работы с файлами и папками Total Commander;

 - скачивать на зараженный компьютер др. вредоносных программ через 53-й порт TCP/IP-протокола;

 - использовать системный интерпретатор команд cmd.exe для осуществления различных процедур путем их вызова через командную строку.

Кроме того, троянец скачивает в машину какой-то файл zAskop.dll (не был обнаружен), который записывает как

%windir%\zAskop.dll

и запускает на выполнение.
Соединение с почтовым сервером 209.20.130.33 троянец осуществляет с целью передачи определенных запросов и данных (очевидно, это используется как запасной вариант на случай, если не удалось соединение с сервером 69.46.19.47). Также я не исключаю того, что данная возможность может быть задействована злоумышленниками с целью использования зараженного компьютера в роли прокси-сервера (например, для рассылки через него рекламных писем, а также писем с вредоносными вложениями).


4. Др. проявления троянца.

Учитывая тот факт, что троянец перехватывает и фильтрует/блокирует различные потоки данных, на зараженной машине может наблюдаться подвешивание программ при их открытии, а также частичное или полное зависание во время их работы; нежелание машины перезагружаться/выключаться вплоть до вхождения системы в полный ступор.
Вне зависимости от способа попадания в машину, троянец перепроверяет наличие всех созданных им значений параметров в ключах реестра с промежутками в 2,5 секунды.
В некоторых случаях "зловред" ошибается и "забывает" скрыть на диске свой файл winlogon.exe.
В ходе своей работы бэкдор может на короткое время загружать свой процесс в адресное пространство оригинального системного процесса \System32\winlogon.exe, используя его потоки данных.


5. Детектирование и удаление троянца из машины.

Backdoor.HideLogon.A (файл winlogon.exe) был отослан инженерам Антивирусной Лаборатории Евгения Касперского и на данный момент детектируется под такими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Virus.Win32.Grum.a (включен в антивирусную базу 27.03.2007)

Антивирус DrWeb: Win32.Grum (включен в антивирусную базу 02.04.2007)

Антивирус BitDefender Professional: Trojan.Grum.E (включен в антивирусную базу 10.05.2007)

В настоящее время Антивирус Касперского единственная из известных мне защитных программ, которая не только может обнаруживать активный файл троянца, но и сразу удалять его, выгружая "нагарячую" из памяти; DrWeb может обнаруживать активный файл троянца, но ничего сделать с ним не может; BitDefender Professional может обнаруживать активный файл троянца (о возможности удаления последнего "нагарячую" ничего сказать не могу, поскольку для статистического детектирования я использую консольную версию BitDefender Professional).
Также можно удалить вирус вручную, перезагрузив компьютер в Безопасный режим.
После удаления троянца из системы процедура сокрытия файлов на диске, загруженная в видео память, остается активной вплоть до завершения работы системы. Также "хромают" некоторые процедуры обработки потоков данных. Поэтому для восстановления полной работоспособности системы рекомендую Вам перезагрузить компьютер. Затем необходимо удалить из реестра все значения параметров ключей реестра, созданные троянцем. Также визуально проверьте компьютер на наличие вредоносного файла %windir%\zAskop.dll и, в случае обнаружения, попытайтесь удалить его вручную (если Ваш антивирус не обнаружил его как "вирус").

Учитывая сложность обнаружения данного троянца и его удаления из системы, для пользователей Windows XP была создана специальная утилита для обнаружения и выгрузки бэкдора из памяти компьютера, а также удаления всех созданных им записей в системном реестре.
Итак, пользователи Windows XP могут пролечить свои компьютеры следующим образом:

1. Скачать с нашего сайта архив с утилитами от VirusHunter'а, который находится здесь;

2. Отключить компьютер от локальной сети и Интернета;

3. Отключить (только временно) в установленной у Вас на компьютере антивирусной программе проактивную защиту (обязательно! - иначе утилита не сможет корректно выгрузить бэкдор и удалить созданные им записи) и файловый монитор (очень рекомендую);

4. Распаковать содержимое архива и запустить утилиту №5, предварительно сохранив все поточные результаты своей работы (открытые документы, базы данных и т.п.), а также закрыв все запущенные программы (например, MS Word, муз. и видео плэйеры, бухгалтерские программы и т.д.) - это необходимо проделать, поскольку по окончании лечения утилита перезагрузит компьютер.
В ходе процедуры поиска и удаления бэкдора из памяти утилита осуществит следующие действия:

 - произведет анализ системного реестра на наличие следов троянца в автозагрузке, а также процедур удаленного администрирования, и, в случае обнаружения таковых, предложит приступить к процессу лечения;
 - идентифицирует вариант троянца, попавший Вам в компьютер;
 - удалит все вредоносные записи и ссылки в ключах реестра на вирусные копии;
 - выгрузит бэкдор из памяти компьютера;
 - завершит работу системы с последующей перезагрузкой компьютера.

Важно! Если инфицированная машина при текущей работе с ОС Windows вводилась в Ждущий или Спящий режим, то перед процедурой лечения компьютер необходимо перезагрузить, т.к. иначе процедура удаления троянца из памяти может не иметь положительного результата.
Если все проделать правильно, то Вам лишь останется удалить вредоносный файл %name%.exe (winlogon.exe), который к тому времени будет являть собой просто файловый мусор (если, конечно, Вы случайно собственноручно снова не запустите его). Для этого рекомендую воспользоваться установленной в Вашем компьютере антивирусной программой. Для страховки можете перепроверить компьютер моей утилитой, дабы убедиться, что троянца в памяти машины больше нет.
Отдельно хотелось бы обратить Ваше внимание на следующую немаловажную вещь: не увлекайтесь чрезмерно борьбой с файлами под названием winlogon.exe, которые являются невредоносными, а именно:

%windir%\System32\winlogon.exe
%windir%\System32\dllcache\winlogon.exe
%windir%\ServicePackFiles\i386\winlogon.exe
%windir%\$NtServicePackUninstall$\winlogon.exe

Все эти объекты являются резервными или более ранними копиями основного компонента ядра ОС Windows 2K/XP/2K3. Удачная попытка завалить данный системный процесс в памяти компьютера и удалить указанные файлы несомненно приведет к полному краху и дальнейшей неработоспособности ОС Windows - с такими плачевными ситуациями, учиненными пользователями, я уже сталкивался несколько раз. Кроме того, в случае сокрытия троянцем данных файлов на дисках компьютера, все сокрытые файлы, даже невредоносные, будут инициализироваться некоторыми антивирусами как новая угроза Hidden.Object (неизвестная модификация). Так что учтите этот факт при лечении.

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Backdoor.HideLogon.B
Backdoor.HideLogon.C


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 09.04.2007
Дата внесения последних изменений: 20.05.2008
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00177502632141