VirusHunter предупреждает всех пользователей ПК о распространении вируса-червя Win32.Worm.AutoRunite через съемные носители информации...


Некоторые определения, встречающиеся в описании.

VBS - Visual Basic Script. Язык программирования, используемый в Windows-системах. На данном языке пишутся системные скрипт-приложения, а также вспомогательные подпрограммы для Интернет-сайтов.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками.

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым.

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации".

%windir% - каталог, в который установлена ОС Windows.


1. Инсталляция в систему.

Работоспособность вируса под Windows 9X/ME возможна, однако большая часть функционала все же поддерживаться не будет по причине несовместимости с архитектурой этих версий ОС. Поэтому нижеприведенная информация является актуальной только для Windows 2K/XP или выше.

Программа червя состоит из нескольких компонентов, однако общее количество файлов, перетаскиваемых червем с одного компьютера на другой, может быть различным (причина будет описана далее по тексту). Все компоненты написаны на разных языках программирования и оформлены в различных исполняемых форматах. Ниже перечислен список непосредственно вирусных компонентов:

autorun.vbs - основной вирусный компонент, осуществляющий поиск и заражение локальных/сетевых дисков и СНИ (размер 1368 байт, написан на VBS);
autorun.bat - вспомогательный компонент, используемый для автозапуска вируса при каждом последующем старте ОС Windows, а также выполняющий некоторые дополнительные процедуры под управлением основного компонента вируса (размер 653 байта, написан на Batch Script для Windows);
autorun.reg - файл реестра ОС Windows, содержащий модифицированные значения ключей, которые будут импортированы в системный реестр при запуске данного файла вирусом (размер 560 байт);
autorun.bin - зашифрованный текстовый файл (размер 959 байт);
autorun.inf - системный драйвер, содержащий специальный дроппер-код, позволяющий бесконтрольно запускаться на выполнение компоненту autorun.vbs при работе пользователя в Проводнике (размер 203 байта; детальнее о вредоносных файлах autorun.inf Вы можете прочитать в описании троянской программы Trojan.LittleWorm [aka Win32.Worm.Small]);
autorun.fcb и autorun.qri - копии компонента autorun.inf (размер по 203 байта);
autorun.wsh - системный драйвер, содержащий некоторые технические данные (размер 72 байта). Очевиднее всего, автор предполагал изначально использовать его как аналог autorun.inf, но в немного др. конфигурации.

Файлы autorun.fcb, autorun.qri и autorun.wsh никак не используются вирусом - вероятнее всего, они имели место во время разработки и тестирования вируса, но затем автор модифицировал код прочих компонентов и необходимость в этих 3-х файлах отпала. При этом они были оставлены автором среди прочих компонентов вируса, в результате чего последний стал перетаскивать их с собой на др. компьютеры, как, впрочем, и некоторые др. невредоносные файлы, имена которых соответствуют autorun.
Всем своим компонентам вирус присваивает атрибуты "архивный" (archive), "только для чтения" (read only), "скрытый" (hidden) и "системный" (system), в результате чего данные файлы не видны в Проводнике и в Total Commander'е при настройках "по умолчанию".
На зараженном носителе все вредоносные файлы располагаются в его корне. При работе с дисками в Total Commander или Far Manager запуск вируса возможен только в том случае, если пользователь собственноручно запустит файл autorun.vbs или autorun.bat. Если же пользователь работает в Проводнике, открывая зараженный носитель через меню "Мой компьютер" (при двойном клике мышкой по иконке инициализации диска в списке прочих стационарных и съемных дисков), то управление получает вредоносный autorun.inf. Он имеет немного отличный формат от известных мне др. вредоносных файлов такого рода, в результате чего система не выдает никаких специфического вида сообщений, как это обычно бывает при наличии в корне носителя потенциально опасных файлов autorun.inf.
При считывании инструкций из autorun.inf система запускает основной компонент вируса autorun.vbs, используя следующую команду:

WScript.exe .\autorun.vbs

%windir%\System32\WScript.exe является комплектным модулем ОС Windows, который представляет собой специальный отладчик, под которым производится запуск и отладка программных сценариев, написанных на скрипт-языках. Используя эту программы, вирус получает возможность скрытно загружаться на выполнение и даже резидентно оставаться в памяти компьютера вплоть до завершения работы Windows. Однако в результате некой ошибки в коде основного компонента вируса, последний далеко не всегда остается резидентно в памяти, а проходит один полный цикл (инсталляция + процесс заражения дисков) и завершает свою работу.
При запуске autorun.vbs копирует все свои компоненты в системный каталог Windows. Тут проявляется следующий недочет его автора: вирус считает своими компонентами абсолютно все файлы в текущем каталоге, имена которых соответствуют "autorun", т.е. расширения файлов не проверяются. В результате этого, если в корне носителя имеют место компоненты какого-либо автозагрузочного диска, ранее скопированного пользователем на носитель, у которых имена также соответствуют "autorun", то они тоже будут скопированы в системный каталог, а в дальнейшем и на все заражаемые вирусом диски. Например, среди образцов таких "компонентов" вируса мне попадались файлы-картинки (autorun.bmp), конфигурационные файлы от игр и системных программ (autorun.ini), компоненты загрузочного меню CD-дисков (autorun.exe) и многие др. совершенно безобидные файлы, не имеющие к вирусу никакого отношения:

%windir%\System32\autorun.*

Далее, используя системный интерпретатор командной строки %windir%\System32\cmd.exe, вирус запускает на выполнение свой компонент autorun.bat. В свою очередь, используя системную утилиту %windir%\System32\regedit.exe, этот компонент запускает на выполнение файл autorun.reg, который импортирует в нижеприведенные ветки ключей реестра следующие модифицированные под потребности вируса значения:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000


Измененное значение в 1-м из указанных ключей позволяет компоненту %windir%\System32\autorun.bat получать управление при каждом последующем старте системы с целью автозапуска основного компонента autorun.vbs. Установленное значение во 2-м из указанных ключей делает недоступными для визуального просмотра в Проводнике файлы и папки, которым присвоены атрибуты "скрытый" и "системный", и в частности - все компоненты вируса.
Повторные перезаписи вышеуказанных значений происходят каждый раз, когда вирус запускает компонент autorun.bat.
Червь не проверяет наличие в памяти своей копии, поэтому возможна одновременная работа нескольких его копий, каждая из которых будет использовать отдельный процесс системного отладчика WScript.exe.


2. Заражение локальных и сетевых дисков, СНИ.

Параллельно с инсталляцией в систему, autorun.vbs перебирает все логические, сетевые и съемные диски от C: до Z: (устройства с именами A: и B: игнорируются), проверяя при этом возможность записи на них, используя для этого специальные системные запросы. Если запись на текущий диск невозможна (например, сетевой диск открыт только для чтения), то вирус переходит к проверке следующего диска. Если же запись на устройство разрешена, то вирус запускает расположенный с ним в одной папке компонент autorun.bat с параметром "-", а также передает данному файлу строку с именем заражаемого диска. Получив такую команду, autorun.bat снимает со всех файлов autorun.* в корне заражаемого диска атрибуты "системный", "архивный", "скрытый" и "только для чтения", после чего завершает свою работу; компонент autorun.vbs перезаписывает файлы autorun.* на заражаемом диске копиями своих компонентов, расположенными с ним (autorun.vbs) в одной папке. Таким образом, на зараженном диске появляются файлы

%drivename%\autorun.*

После этого autorun.vbs снова запускает в своей папке компонент autorun.bat, но уже с параметром "+", а также передает ему строку с именем только что зараженного диска. Получив такую команду, autorun.bat присваивает всем файлам autorun.* в корне только что зараженного диска вышеуказанные атрибуты, после чего завершает свою работу, а компонент autorun.vbs приступает к проверке и заражению следующего по списку диска.
Если вирусу не удалось остаться резидентно в системной памяти, то его работа завершается сразу же после заражения последнего по списку диска. Если же резидентная загрузка в память удалась, то червь по окончании цикла заражения дисков не завершает свою работу, а "засыпает" в системной памяти ровно на 1 минуту, после чего возобновляет циклы инсталляции и заражения, затем снова "засыпает" на 1 минуту и т.д. вплоть до завершения работы системы.
Как уже было сказано выше, вирус не проверяет расширения файлов с именами autorun, а копирует подряд все таковые на др. диски и СНИ. В результате этого с одних компьютеров на вновь заражаемые может "перекочевывать" весьма значительное количество файлов-компонентов от разнообразных автозагрузочных программных и игровых дисков, которые при этом могут иметь довольно таки существенный размер (от десятков до тысяч кб и даже более).
При открытии инфицированного диска в Проводнике из меню "Мой компьютер" показ содержимого диска может происходить с задержкой до нескольких секунд.


3. Прочее.

Если autorun.vbs запускается из любого каталога, отличного от %windir%\System32\, то он, помимо всего прочего, запускает компонент autorun.bat с параметрами "open". При получении такого параметра autorun.bat открывает окно Проводника, в котором показывает содержимое текущей папки.

Если текущая дата соответствует 30 июня 2030 года, то вирус запускает компонент autorun.bat с параметром "over". При получении такого параметра autorun.bat пытается обнаружить в текущей папке компонент autorun.bin. Если таковой не найден, то поиск производится в системном каталоге %windir%\System32\. Если файл autorun.bin удалось обнаружить в одной из указанных папок, то autorun.bat копирует его с атрибутом "архивный" в корень диска C: как

C:\autorun.txt

При этом основной компонент autorun.vbs считывает содержимое этого файла и загружает его на расшифровку, используя встроенный в свой код механизм дешифрования данных. Затем выводит на экран окно, в котором показывает следующий расшифрованный текст:


Нечитабельность текста после расшифровки обусловлена, вероятнее всего, тем, что он был изначально написан автором вируса в виде письма иероглифами - например, китайскими, японскими, арабскими или еще какими-либо, воспроизведение которых не поддерживается под ОС Windows с базовым набором языковых поддержек.

Начиная с 1 января 2031 года, основной компонент вируса autorun.vbs не будет производить более никаких действий, а сразу же после запуска завершит свою работу.

В коде вирусных компонентов autorun.vbs, autorun.bat, autorun.inf и autorun.reg присутствует строка-"копирайт", которая под русскоязычной версией ОС Windows выглядит следующим образом:

autorun·з+c

4. Детектирование и удаление червя из машины.

На момент разработки этого описания компоненты вируса-червя Win32.Worm.AutoRunite антивирусы уже детектировали под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл autorun.vbs: Virus.VBS.Small.a
файл autorun.bat: Virus.VBS.Small.a
файл autorun.reg: Trojan.WinREG.AutoRun.a
файл autorun.inf (autorun.fcb, autorun.qri): Virus.VBS.Small.a

Антивирус DrWeb:
файл autorun.vbs: VBS.Igidak
файл autorun.bat: VBS.Igidak
файл autorun.reg: Trojan.Regger
файл autorun.inf (autorun.fcb, autorun.qri): VBS.Igidak

Антивирус BitDefender Professional:
файл autorun.vbs: VBS.Small.P
файл autorun.bat: Trojan.BAT.Autorun.A
файл autorun.reg: Trojan.Regger.Q
файл autorun.inf (autorun.fcb, autorun.qri): VBS.Small.Q

Для удаления вируса необходимо проверить при помощи Диспетчера задач наличие в системной памяти процесса с названием "WScript.exe". Если таковой имеет место, то его необходимо завершить. Затем, используя антивирусную программу, необходимо проверить все логические диски компьютера, а также все СНИ, которые подключались к нему в период заражения (включая и память цифровых фотоаппаратов и видеокамер), и удалить все файлы, которые будут определяться сканером как вирусы под вышеуказанными номенклатурными названиями.
Если не удалить из корневых каталогов дисков файл-дроппер autorun.inf, то при прямом обращении к ним через Проводник (двойной щелчок на иконке диска в общем списке активных носителей) последние так и не откроются, а на экран будет выведено сообщение программы WScript.exe об обнаруженной ошибке вида


После очистки от вируса компьютер необходимо перезагрузить, т.к. Проводник будет хранить в памяти имена всех заблокированных стационарных дисков вплоть до завершения текущего сеанса работы с системой (у съемных - например, USB Flash - до момента их отключения, т.е. достаточно просто вынуть из разъема заблокированную флэшку и вставить ее снова - блокировка пропадет). Это обусловлено использованием специальных потоков данных и некоторых временных ключей реестра (по соображениям безопасности не приводятся).
Для включения показа в Проводнике скрытых/системных файлов и папок Вы можете воспользоваться соответствующей утилитой из спец. набора от VirusHunter'а, который можно скачать здесь.
С учетом потенциальной опасности, которую несет неконтролируемое считывание системой данных из вредоносных файлов autorun.inf, для пользователей Windows XP была разработана специальная утилита, выгружающая из системной памяти потоки данных, связанные со считыванием и выполнением инструкций из файлов autorun.inf. Данная утилита также добавлена в спец. набор от VirusHunter'а. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя, поскольку ее работоспособность зависит от некоторых системных условий.

Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).

Ключ реестра, модифицированный вирусом для автозапуска своего компонента autorun.bat при каждом старте системы, можно не удалять. Прочие файлы autorun.* можно при необходимости удалить вручную.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 05.01.2008
Дата внесения последних изменений: 05.01.2008
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00397086143494