VirusHunter предупреждает всех пользователей ПК о распространении очень опасного вируса-червя Win32.Worm.Depredator (aka Trojan.PWS.Qqpass), блокирующего работу защитных антивирусных и системных сервисов, загружающего др. вредоносные программы из сети Интернет, а также похищающего с зараженных компьютеров конфиденциальную информацию...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

%windir% - каталог, в который установлена ОС Windows.


1. Источники попадания в компьютер.

Источником распространения червя Win32.Worm.Depredator могут являться как СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.), так и файло-обменные сети, где вирус может быть подсунут пользователям как "полезная" программа среди прочего софта. При этом вредоносный файл червя может иметь различные названия.


2. Инсталляция в систему.

Червь является Windows-программой (PE EXE-файлом), написанным на Delphi. Включает в себя несколько компонентов, работоспособность которых поддерживается под всеми существующими на сегодняшний день Win32-системами. Все компоненты вируса содержатся в одном общем файле (Основном компоненте), размер которого составляет 38132 байта. Файл сжат при помощи утилиты компрессии "FSG" версии 2.0; размер декомпрессированного файла, в приближении к оригинальному коду, составил 167936 байт.
Если вирус был занесен в компьютер через файло-обменную сеть, то его имя может быть любым, а расширение файла будет, очевиднее всего, "EXE", т.е. %name%.exe. Если же вирус был занесен с СНИ (обычным путем), то в корне такого носителя присутствуют следующие файлы:

%drivename%\OSO.exe - 1-й файл-копия вируса (размер 38132 байт);
%drivename%\ЦШТЄЧКБП.exe - 2-й файл-копия вируса (размер 38132 байт);
%drivename%\ГАЕRУОП·.pif - 3-й файл-копия вируса (размер 38132 байт);
%drivename%\autorun.inf - вредоносный файл-дроппер (размер 75 байт), используемый для автозапуска вредоносного файла OSO.exe при обращении к инфицированному СНИ, а впоследствии и к логическим/сетевым дискам зараженного компьютера через Проводник. Данный компонент генерируется непосредственно вирусом.

Файлы ЦШТЄЧКБП.exe и ГАЕRУОП·.pif имеют только атрибут "архивный" (archive) и видны в Проводнике. При этом иконка вируса очень сходна с иконкой-идентификатором текстовых файлов, а при расширении файла "PIF" у 3-й копии вируса система автоматически подвязывает к ней иконку инициализации приложений MS-DOS. С учетом того, что "по умолчанию" Windows не показывает в Проводнике зарегистрированные расширения файлов, копии вируса видны под ним как текстовые файлы:


Файлы OSO.exe и autorun.inf не видны в Проводнике при системных настройках вида папок и файлов "по умолчанию", поскольку оба они имеют также и атрибуты "скрытый" и "системный" ("hidden" и "system" соответственно).
Все копии Основного компонента вируса имеют одну и ту же дату и время модификации, которые впоследствии не изменяются при создании др. вирусных копий: дата - 26.01.2007, время - 18.36.
Вне зависимости от способа запуска вредоносного файла на выполнение, инсталляция вируса в систему проходит одинаково. При запуске вирус открывает окно Проводника, в котором показывает содержимое корневого каталога диска, с которого был произведен запуск червя. Далее, в зависимости от версии ОС Windows, червь создает в системных подкаталогах несколько своих копий, а также извлекает из своего тела др. файлы-компоненты, представляющие собой вспомогательный технический компонент и троянскую программу-шпиона:

под Windows 9X/ME:

%windir%\SYSTEM\OSO.exe (может и не быть создан)
%windir%\SYSTEM\severe.exe
%windir%\SYSTEM\gfosdg.exe
%windir%\SYSTEM\hx1.bat
%windir%\SYSTEM\gfosdg.dll

под Windows 2K/XP:

%windir%\System32\OSO.exe (может и не быть создан)
%windir%\System32\severe.exe
%windir%\System32\gfosdg.exe
%windir%\System32\hx1.bat
%windir%\System32\gfosdg.dll
%windir%\System32\Drivers\conime.exe
%windir%\System32\Drivers\mpnxyl.exe

Файлы OSO.exe, severe.exe, gfosdg.exe, conime.exe и mpnxyl.exe являются копиями вируса со всеми вышеописанными характеристиками, hx1.bat - вспомогательный компонент, назначение которого будет описано далее по тексту, gfosdg.dll - программа-шпион, похищающая конфиденциальную информацию с зараженного компьютера; детальнее о ней будет рассказано далее по тексту.
Для того, чтобы получать управление при каждом последующем старте системы, вирус создает/модифицирует нижеприведенные ветки реестра, добавляя в них следующие значения с ссылками на свои компоненты:

под Windows 9X/ME:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mpnxyl"="%windir%\\SYSTEM\\gfosdg.exe"
"gfosdg"="%windir%\\SYSTEM\\severe.exe"


под Windows 2K/XP:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mpnxyl"="%windir%\\system32\\gfosdg.exe"
"gfosdg"="%windir%\\system32\\severe.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %windir%\\system32\\drivers\\conime.exe"


Таким образом, под каждой из ОС Windows во время ее загрузки получают управление сразу несколько копий вируса, которые сохраняют свою активность вплоть до завершения работы системы. Во время своей работы вирус использует 16-ти разрядную оболочку (MS-DOS Shell), для чего использует в качестве интерпретатора передаваемых системе команд ее приложения winoa386.mod (под Windows 9X/ME) и cmd.exe (под Windows 2K/XP). Поэтому в листинге процессов можно наблюдать значительное кол-во процессов с названиями winoldap (под Windows 9X/ME) и cmd.exe (под Windows 2K/XP). Кроме того, вирус использует специальные перехватчики системных вызовов в Windows 9X/ME, в результате чего вредоносные процессы невозможно обнаружить посредством системного средства "Менеджер процессов".
Каждый из 2-х (или, соответственно, 3-х) активных процессов вируса имеет равные права, поэтому привилегия осуществления того или иного действия зависит лишь от реакции каждой из активных копий, т.е. "первым среагировал - первым сделал". При этом, чтобы избежать путаницы и несогласованности действий, каждая из активных копий вируса создает в памяти собственную метку-идентификатор, а также расшифровывает и записывает в память дополнительные метки-идентификаторы длиной в 4-5 байт, отображая таким образом состояние выполнения той или иной процедуры. Используемые метки следующие (возможно, что это только часть из них; также многие из них зашифрованы в коде вируса):

A}cNqqc{[TWQkgdfv7(3
@ijNqqc{[TWQkgdfv7(3
AntiTrojan3721
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
KingsoftAntivirusScanProgram7Mutex
1159
2359
65000
65001


Вирус постоянно следит за тем, чтобы все его копии, записанные в системных подкаталогах, были загружены в память. При этом записи с ссылками в ключах проверяются только 1 раз - при запуске на выполнение текущей вирусной копии. Т.е. в том случае, если, например, вирусные записи в реестре были удалены во время работы системы при наличии активных копий вируса в памяти, то обновленные записи а ключах реестра появятся только в том случае, если до завершения работы системы пользователь случайно запустит какую-либо копию вируса (например, с инфицированного СНИ или локального диска машины). В этом случае новая запущенная копия проверит наличие всех установленных в систему компонентов, записи в ключах реестра, а также присутствие в памяти компьютера процессов с названиями severe.exe и gfosdg.exe (под Windows 9X/ME) или severe.exe, gfosdg.exe и conime.exe (под Windows 2K/XP). После этого, если все указанные процессы присутствуют в памяти, текущая копия вируса завершит свою работу.


3. Размножение вируса.

С интервалом в 2 секунды червь сканирует локальные и сетевые диски компьютера, а также подключенные к нему СНИ, записывая на них свои копии. Для того, чтобы червь заразил текущий диск, должны выполняться следующие 3 условия:

 - имя заражаемого диска должно соответствовать D, E, F, G, H или I (др. диски не заражаются);

 - диск должен быть открыт для записи данных - если, например, запись на флэшку невозможна из-за защитного джампера на ее корпусе, установленного в положение "блокировка записи на диск", то вирус сразу переходит к проверке др. диска. При этом данная процедура корректно работает только с локальными и сетевыми дисками, а также с СНИ, подключенными к портам USB с поддержкой 2.0. Если же USB-порт не поддерживает скорость 2.0, а только как 1.1 (например, на старых моделях материнских плат или же когда скоростной порт был неправильно настроен и определяется системой как 1.1), то в этом случае вирус не может корректно определить заблокирован носитель или нет, в результате чего тупо пытается заразить его, а система при этом выдает на экран сообщение об ошибке следующего вида:


 - в корне проверяемого диска отсутствует хотя бы один из следующих файлов:

для съемного диска:

%drivename%\OSO.exe
%drivename%\ЦШТЄЧКБП.exe
%drivename%\ГАЕRУОП·.pif
%drivename%\autorun.inf

для логического диска:

%drivename%\OSO.exe
%drivename%\autorun.inf

Если какого-либо из указанных файлов на диске нет, то вирус заражает его.
Проверка зараженности диска производится лишь по названиям файлов, а не по их содержимому. Поэтому в том случае, когда копии вируса в корне диска были, например, заражены др. вирусом, или, скажем, их содержимое было удалено вручную (т.е.оставлены файлы нулевого размера - "пустышки"), то при очередном обходе данного диска вирус все равно будет считать, что носитель уже инфицирован и перейдет к следующему по списку диску.
Итак, вирус записывает в корни логических и сетевых дисков машины только по одной своей копии и по файлу autorun.inf для бесконтрольного запуска этой копии (OSO.exe) в случае обращения к носителю через меню "Мой компьютер" в Проводнике (детальнее о механизме работы вредоносных autorun.inf читайте в описании троянской программы Trojan.LittleWorm (aka Win32.Worm.Small), а в корни СНИ - по 3 копии и по файлу autorun.inf.
Иногда вирус может ошибаться при инфицировании какого-либо из логических дисков компьютера: копия OSO.exe создается не в корне этого диска, а в выбранной случайным образом папке. Кроме того, вторая копия OSO.exe записывается либо в системный подкаталог %windir%\SYSTEM\ (под Windows 9X/ME), либо в %windir%\System32\ (под Windows 2K/XP).
Характеристики всех создаваемых вирусом копий уже были указаны в разделе об инсталляции червя в систему.
Если пользователь пытается отключить СНИ в тот момент, когда зловред осуществляет заражение последнего, то система выдает на экран следующее сообщение:



4. Деструктивные действия червя.

Сразу же после инсталляции вирус осуществляет целый ряд деструктивных действий, направленных на блокировку антивирусных программ, встроенных в систему защитных сервисов, системных служб, связанных с анализом и корректировкой системного реестра, а также ряда др. отдельных настроек системы:

Деструктивная процедура 1 (работает только под Windows 2K/XP или выше)

Вирус передает системе 7 последовательных команд специального формата, каждая из которых принуждает ее (систему) полностью отключить нижеследующие сервисы, связанные с безопасностью компьютера:

srservice (служба восстановления системы)
sharedaccess (служба Брэндмауэр Windows/Общий доступ к Интернету, отвечающая за безопасность системы и вэб-броузера во время работы в сети)
KVWSC
KVSrvXP
kavsvc (серверные компоненты нескольких защитных продуктов Лаборатории Касперского)
RsRavMon RsCCenter (серверные компоненты какого-то антивируса)

Плачевный результат этой процедуры даст о себе знать сразу же после первой перезагрузки компьютера.
В этой же процедуре вирус пытается обнаружить окно с каким-то заголовком. В этом окне он пытается сымитировать нажатие на кнопку "ОК" или "Yes" для отмены какого-то действия.


Деструктивная процедура 2 (не работает)

Данная процедура не работает ни под одной из версий Windows: под Windows 9X/ME нижеприведенный функционал не поддерживается, а под Windows 2K/XP также не поддерживается, но в результате содержащейся в нем ошибки. Вообще же вирус должен был бы частично/полностью блокировать работу процессов, названия которых соответствуют следующему списку:

sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe



Деструктивная процедура 3 (работает только под Windows 2K/XP или выше)

Вирус перезаписывает оригинальное содержимое системного файла

%windir%\System32\Drivers\etc\hosts

заменяя его на следующее:

127.0.0.1       localhost
127.0.0.1       mmsk.cn
127.0.0.1       ikaka.com
127.0.0.1       safe.qq.com
127.0.0.1       360safe.com
127.0.0.1       www.mmsk.cn
127.0.0.1       www.ikaka.com
127.0.0.1       tool.ikaka.com
127.0.0.1       www.360safe.com
127.0.0.1       zs.kingsoft.com
127.0.0.1       forum.ikaka.com
127.0.0.1       up.rising.com.cn
127.0.0.1       scan.kingsoft.com
127.0.0.1       kvup.jiangmin.com
127.0.0.1       reg.rising.com.cn
127.0.0.1       update.rising.com.cn
127.0.0.1       update7.jiangmin.com
127.0.0.1       download.rising.com.cn
127.0.0.1       dnl-us1.kaspersky-labs.com
127.0.0.1       dnl-us2.kaspersky-labs.com
127.0.0.1       dnl-us3.kaspersky-labs.com
127.0.0.1       dnl-us4.kaspersky-labs.com
127.0.0.1       dnl-us5.kaspersky-labs.com
127.0.0.1       dnl-us6.kaspersky-labs.com
127.0.0.1       dnl-us7.kaspersky-labs.com
127.0.0.1       dnl-us8.kaspersky-labs.com
127.0.0.1       dnl-us9.kaspersky-labs.com
127.0.0.1       dnl-us10.kaspersky-labs.com
127.0.0.1       dnl-eu1.kaspersky-labs.com
127.0.0.1       dnl-eu2.kaspersky-labs.com
127.0.0.1       dnl-eu3.kaspersky-labs.com
127.0.0.1       dnl-eu4.kaspersky-labs.com
127.0.0.1       dnl-eu5.kaspersky-labs.com
127.0.0.1       dnl-eu6.kaspersky-labs.com
127.0.0.1       dnl-eu7.kaspersky-labs.com
127.0.0.1       dnl-eu8.kaspersky-labs.com
127.0.0.1       dnl-eu9.kaspersky-labs.com
127.0.0.1       dnl-eu10.kaspersky-labs.com


После этого данному файлу присваиваются атрибуты "архивный", "системный" и "скрытый". В результате вышеприведенной записи во время работы в сети Интернет каждая попытка пользователя соединиться через программы или вэб-броузер с любым из присутствующих в списке адресом будут приводить к обращениям компьютер к самому себе и, таким образом, доступ к указанным страницам будет невозможен.


Деструктивная процедура 4 (не работает)

Если бы эта процедура работала, то вирус должен был бы создать в системном каталоге файл noruns.reg, при помощи которого в реестр была бы импортирована следующая запись (значение нижеприводимого параметра ключа по соображениям безопасности заменено на %%%):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=%%%


Результатом такой перезаписи оригинального значения реестра стало бы отключение прокрутки CD/DVD-приводом любых автозагрузочных дисков, которые должны автоматически запускаться под Windows. Однако вирус, опять же, содержит ошибку и управление на данную процедуру никогда не передается.


Деструктивная процедура 5 (работает только под Windows 2K/XP или выше)

Данная процедура блокирует работу 27-ми системных программ анализа/отладки реестра и компонентов антивирусных программ. Заключается она в создании специфических подразделов в ключах системного реестра, которые содержат следующие записи (часть ветки по соображениям безопасности я заменил на %%%):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\360Safe.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\adam.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\avp.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\avp.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\IceSword.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\iparmo.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\kabaload.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\KRegEx.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\KvDetect.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\KVMonXP.kxp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\KvXP.kxp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\MagicSet.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\mmsk.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\msconfig.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\msconfig.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\PFW.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\PFWLiveUpdate.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\QQDoctor.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\Ras.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\Rav.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\RavMon.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\regedit.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\regedit.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\runiep.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\SREng.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\TrojDie.kxp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\WoptiClean.exe]


Также в каждой из этих новых веток вирус создает значение с ссылкой на свою копию:

"Debugger"="%windir%\\system32\\drivers\\mpnxyl.exe"

В результате, если пользователь попытается вызвать на выполнение через командную строку или вручную любую из указанных в ключах программу, то вместо нее получит управление файл-копия вируса mpnxyl.exe.


Деструктивная процедура 6 (работает под всеми ОС Windows)

Для того, чтобы сделать невозможным просмотр скрытых и системных файлов на дисках зараженного компьютера через Проводник, вирус изменяет значение одного из параметров в нижеприведенной ветке ключей системного реестра с "1" на "0":

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\%\%%]
"%%%"=dword:00000000


Изменение значения данного параметра приводит к тому, что при попытках пользователя установить галочку на параметре "Показывать скрытые файлы и папки" в свойствах просмотра каталогов через Проводник, система автоматически возвращает параметру исходное значение "Не показывать скрытые файлы и папки".


Деструктивная процедура 7 (работает под всеми ОС Windows)

Вирус отдает системе команду на удаление всех сохраненных в URL-кэше ссылок, которые посещал в Интернете пользователь. В результате все Интернет-ссылки, сохраненные пользователем в вэб-броузере, включая стартовую и домашнюю страницы, а также подставляемые автоматом ссылки при наборе в адресной строке броузера, будут удалены без суда и следствия. При этом папку "Избранное" (Favorites) данная деструкция не затрагивает.


Деструктивная процедура 8 (работает под всеми ОС Windows)

Вирус ищет несколько файлов на системном диске зараженного компьютера и в том случае, если находит, то удаляет их. Название первого файла - kakatool.dll, а остальные 6 названий в списке "смертников" зашифрованы сложным крипт-кодом.

Все эти деструктивные действия вирус осуществляет с одной-единственной целью: получить возможность беспрепятственно производить различные вредоносные действия в сети Интернет, а также обеспечить свободу действий своему компоненту-шпиону.


5. Вредоносные действия червя во время работы в сети Интернет.

Каждые 10 минут, начиная с момента старта системы, или же в том случае, когда какая-либо из вирусных копий вызывается на выполнение, червь запускает созданный им компонент hx1.bat. Данный компонент представляет собой небольшую программку размером 77 байт, написанную на языке Batch Script. Одной из процедур, записанных в ее коде, является вызов системной утилиты ping.exe, используемой для передачи/принятия запросов с др. компьютеров сети, а также для простого тестирования работоспособности коннекта между двумя локальными компьютерами. Команда вызова данной утилиты записана таким образом, что ей (утилите) автоматически передается сохраненное в системе значение IP-адреса провайдера Интернета, через которого осуществлялось последнее подключение к сети. При этом утилита отсылает пинг-сигнал на адрес сервера Интернет-провайдера, используя стандартный запрос по сетевому протоколу TCP/IP через порт "по умолчанию" (т.е. порт с номером 53). При этом видимое обращение в сеть идет от ping-утилиты, а не непосредственно от вируса - последний лишь перехватывает полученный ответ. Если ответа нет, значит подключение к сети Интернет отсутствует и данная процедура вируса "засыпает" на дежурные 10 минут. Если же сервер ответил на запрос, то червь, используя 53-й порт, пытается загрузить в машину какие-то вредоносные программы. Для этого он перебирает 5 адресных ссылок, которые содержатся в его теле в зашифрованном виде (названия файлов также зашифрованы сложным крипт-кодом). По данным ссылкам вирус загружает в машину вредоносные EXE- и DLL-файлы. Крипт код удалось частично расшифровать: местом для сохранения скачиваемых файлов является создаваемый вирусом каталог

C:\Temp

После закачки файлов червь производит анализ их содержимого - проверяет первые 2 байта кода на соответствие сигнатуре "MZ". Если такая сигнатура найдена, то вирус считает, что файл имеет корректный формат, и запускает его на выполнение. Каких-либо др. проверок (например, на поврежденность кода) не производится.
По окончании загрузки файлов вирус создает в памяти метку-идентификатор

glqq

Эта метка является условным сигналом компоненту-шпиону, что тот может приступать к похищению конфиденциальных данных.


6. Троянец-шпион (компонент gfosdg.dll).

Троянец является DLL-файлом (динамической библиотекой Windows), написанным на Delphi. Он имеет оригинальный размер 38400 байт - никакими утилитами криптования или компрессии код данного файла не обработан. Троянец не содержит в себе никакой процедуры инсталляции, равно как и вирус не создает в реестре никаких записей с ссылками на данный компонент, а непосредственно сам запускает его на выполнение. При этом постоянная активность троянца на протяжении всей работы системы поддерживается не только вирусом, но и любыми др. активными процессами, в адресное пространство которых был внедрен вредоносный DLL-файл. Вирус может внедрять DLL-файл в адресное пространство одного, двух или более активных процессов. Для этого червь применяет специальные перехваты обращений системы к потокам данных активных процессов, при помощи чего и встраивает в эти потоки свой компонент gfosdg.dll. В результате при обращениях троянца в сеть Интернет вызовы производятся из адресного пространства тех процессов, в которые он внедрился, и, таким образом, создается видимость того, что даже незаурядные системные и пользовательские программы вдруг начинают рваться в Интернет.
Троянец рекурсивно проверяет наличие в памяти системы вышеуказанной метки-идентификатора glqq. Когда такой идентификатор появляется в памяти, троянец производит следующие действия:

 - проверяет наличие каких-то нижеприведенных файлов:

QQ.exe
QQLiveUpdate.exe
BDLiveUpdate.exe
QQUpdateCenter.exe
LoginCtrl.dll


 - отслеживает окна с определенными названиями в их заголовках - судя по всему, это окна программ авторизации при подключении к сети, в которых обычно вводятся логин и пароль доступа к Интернету. При обнаружении таких окон троянец с интервалом в 0,2 секунды проверяет положение курсора мыши и, если пользователь кликает мышкой по кнопке ввода набранного в таком окне текста (т.е. пароля), то троянец перехватывает показанный в окне логин и введенный пароль, распознавая нажатия клавиш, и временно загружает его в созданный в памяти внутренний буфер;

 - считывает из настроек системы номер автодозвона (если есть) и тип подключения;

 - считывает текущий IP-адрес зараженного компьютера в сети.

Всю собранную информацию троянец пытается отсылать по HTTP-протоколу на сайт злоумышленников

http://www.ip.cn

Также он соединяется с нижеприведенной страницей, на которой расположен счетчик статистики количества зараженных вирусом компьютеров:

http://www.ip.cn/ip.php

Попытки связи с сервером злоумышленников производятся троянцем с интервалом в 3 секунды. В качестве параметра авторизации на сервере используется запрос вида

SendEmail Unit By tmhacker
HELO


Если сервер открывает доступ, троянец в качестве кода авторизации передает выуженный логин пользователя зараженного компьютера. Затем генерирует "на лету" послание, используя шаблон-форму "www-form-urlencoded" передачи данных по сети. В тело письма вставляются строки, в каждой из которых последовательно записываются следующие данные: IP-адрес зараженного компьютера в сети, номер телефона автодозвона на сервер провайдера, пароль подключения к сети Интернет. Также различные поля письма заполняются неустановленными данными, а к тексту дописывается некая служебная информация. Для инициализации окончания пересылки похищенной информации троянец посылает серверу сообщение вида

Send OK!

Чтобы не отправлять письмо повторно в ходе текущего сеанса работы Windows, троянец может создавать в памяти различные метки-идентификаторы:

QQQQQQQQ
11111111111
TempForm_20061214
QQ_Temp


7. Прочее.

В коде компонента hx1.bat есть процедура, которая должна была бы при запуске последнего помимо вышеописанных действий также производить замену текущей системной даты на 22 января 2004 года, однако скрипт содержит ошибку и дата не может быть изменена. Также hx1.bat содержит в себе команду, при помощи которой удаляет себя после отработки. При этом вирус заново создает этот файл. Так что непонятно для чего в данный компонент встроены 2 бессмысленные процедуры.
В коде троянского компонента gfosdg.dll содержится какой-то функционал, связанный с использованием/обращением к каким-то двум DLL-файлам: QQ.dll и npkcntc.dll. Что представляют собой данные файлы и какую роль они могут играть в функционале троянца - неизвестно, поскольку последние не были обнаружены в зараженной системе пользователя.
Вирус также может случайным образом создавать в системном подкаталоге свою копию с названием verclsid.dat, присваивая данному файлу атрибуты "архивный", "скрытый" и "системный".


8. Детектирование и удаление вируса из машины и с СНИ.
Восстановление поврежденного реестра и работоспособности защитных программ.

На момент разработки этого описания антивирусы уже детектировали вирус Win32.Worm.Depredator и его компоненты под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: не обнаруживает
файл OSO.exe (он же ЦШТЄЧКБП.exe, ГАЕRУОП·.pif, gfosdg.exe, severe.exe, conime.exe, mpnxyl.exe): Trojan-PSW.Win32.QQPass.uj
файл hx1.bat: Trojan.BAT.KillAV.ec
вредоносный файл hosts: Trojan.Win32.Qhost.kh
файл gfosdg.dll: Trojan-PSW.Win32.QQPass.uj

Антивирус DrWeb:
файл autorun.inf: не обнаруживает
файл OSO.exe (он же ЦШТЄЧКБП.exe, ГАЕRУОП·.pif, gfosdg.exe, severe.exe, conime.exe, mpnxyl.exe): Trojan.PWS.Qqpass.422
файл hx1.bat: не обнаруживает
вредоносный файл hosts: не обнаруживает
файл gfosdg.dll:

Антивирус BitDefender Professional:
файл autorun.inf: Trojan.Autorun.EU
файл OSO.exe (он же ЦШТЄЧКБП.exe, ГАЕRУОП·.pif, gfosdg.exe, severe.exe, conime.exe, mpnxyl.exe): Trojan.Pws.Qqpass.UJ
файл hx1.bat: Trojan.Bat.Killav.EC
вредоносный файл hosts: Trojan.QHosts.EK
файл gfosdg.dll: Generic.PWStealer.59320AFB

Если принять во внимание все деструктивные действия, произведенные вирусом, то удалить его при помощи антивирусов будет непростой задачей (или даже невозможной). К тому же после удаления червя основные сервисы, защита и настройки системы по-прежнему останутся неработоспособными, при этом на экран будут выданы сообщения об ошибках, например:



Учитывая этот факт, а также неспособность антивирусных программ вернуть "к жизни" испорченные настройки системы, для пользователей Windows XP была создана специальная утилита для удаления вируса из системы и полного восстановления поврежденного реестра.
Итак, пользователи Windows XP могут пролечить свои компьютеры следующим образом:

1. Скачать с нашего сайта архив с утилитами от VirusHunter'а, который находится здесь;

2. Отключить компьютер от локальной сети и Интернет;

3. Отключить (только временно) в установленной у Вас на компьютере антивирусной программе проактивную защиту (обязательно! - иначе утилита не сможет корректно пролечить системный реестр, в результате чего исправление повреждений в дальнейшем будет невозможно) и файловый монитор (очень рекомендую);

4. Распаковать содержимое архива и запустить утилиту №8. В ходе процедуры удаления вируса утилита осуществит следующие действия:

 - выгрузит все копии вируса из памяти компьютера;
 - удалит все копии вируса и его компоненты, инсталлированные в систему (кроме файла gfosdg.dll, поскольку его принудительное завершение привело бы к аварийному завершению работы системы);
 - удалит все ссылки в ключах реестра на вирусные копии;
 - восстановит все измененные/поврежденные вирусом записи системного реестра;
 - разблокирует все системные настройки и программы, включая и показ скрытых/системных файлов в Проводнике;
 - вернет к жизни защитные сервисы системы и антивирусные программы, которые отключил вирус;
 - заменит вредоносный файл hosts оригинальным системным файлом;
 - разблокирует функции автозапуска CD/DVD-дисков под Windows (несмотря на неработоспособность данной вирусной процедуры, антипроцедура все же была включена в мою утилиту).

5. Запустить утилиту №6 из набора VirusHunter'а для блокировки чтения системой вредоносных файлов autorun.inf (если в дальнейшем Вы не хотите более использовать данную утилиту, то запустите ее еще раз - инсталлированная в систему функция блокировки чтения данных из autorun.inf будет удалена; для текущего сеанса работы в Windows функция блокировки останется в силе);

6. Воспользовавшись Проводником, удалить вручную из корней всех локальных дисков компьютера вредоносные файлы autorun.inf и OSO.exe; из корней СНИ - autorun.inf, OSO.exe, ЦШТЄЧКБП.exe и ГАЕRУОП·.pif;

7. Запустить при помощи комбинации клавиш Microsoft+F (клавиша "Microsoft" имеет значок с флажком данной компании; расположена с левой стороны от клавиши "пробел" в нижнем ряду клавиатуры) системную службу "Поиск", войти в подменю "Файлы и папки", затем в подменю "Дополнительные параметры" и установить галочки на всех пунктах кроме "С учетом регистра"; при помощи прокрутки подняться выше и вписать в строке с заголовком "Часть имени файла или имя файла целиком" текст OSO.exe, а в строке с заголовком "Слово или фраза в файле" - сплошную строку lqrs>*)ru+pjtm(maq)rulv-evvwhrs*qin*finQvcqQvcqDqin*fin575713|}~Cpjk-gjkjj25}`u}`uiuh{}ijjccip`b (это зашифрованная строка, которая присутствует в коде вирусного тела), при этом в строке с заголовком "Поиск в" должно стоять "Локальные диски". Далее нажать опцию "Найти". Все файлы, которые высветятся в окне обнаруженных объектов, необходимо удалить;

8. Перезагрузить компьютер - после этого система и все защитные сервисы снова будут работать как нужно.

Если Вы все проделали правильно, то единственным оставшимся в машине вредоносным файлом будет

%windir%\System32\gfosdg.dll

, т.е. троянский компонент вируса. Его также можно удалить вручную, однако если этого и не сделать, то ничего криминального не произойдет, т.к. к данному моменту он уже окажется неактивным, а без вируса запустить троянца никоим образом не удастся, как бы и кому этого не хотелось.
После окончания всех вышеописанных операций советую Вам сменить свой пароль подключения к сети Интернет, связавшись со своим провайдером. Но перед этим обязательно обновите антивирусную базу и тщательно проверьте свой компьютер на наличие "нечисти" - за время пребывания вируса в Вашем компьютере из сети Интернет могли быть загружены др. вирусы и троянские программы.
Пользователям Windows 9X/ME рекомендуется выгрузить вредоносные процессы из памяти при помощи какой-либо сторонней программы (например, Far Manager). Затем при помощи этой же сторонней программы удалить в корнях всех логических дисков компьютера и СНИ вышеупомянутые вредоносные файлы. После этого нужно разблокировать показ скрытых/системных объектов при помощи соответствующей утилиты из спец. набора от VirusHunter'а. Перезагрузите компьютер - Ваша система снова будет работать нормально. Записи в ключах реестра с ссылками на уже несуществующие вредоносные файлы, а также оставшийся в системе неактивный троянский компонент можно не удалять, т.к. никакой опасности они не представляют, а и их наличие в системе никак не скажется на ее работоспособности. Оставшиеся неактивные копии вируса можно обнаружить и удалить тем же способом, что и под Windows XP.
Пользователям Windows 2K и 2003 придется, очевиднее всего, переустанавливать систему.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 06.11.2007
Дата внесения последних изменений: 16.01.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00321197509766