VirusHunter предупреждает всех пользователей ПК о распространении крайне опасного, деструктивного файлового вируса Win32.Maniac.C (aka Win32.Sality, Sector), поражающего Win32-программы и экранные заставки, похищающего конфиденциальную пользовательскую информацию, а также удаляющего некоторые типы данных с винчестера компьютера...


Детальное описание вируса Win32.Maniac.C.

1. Источники попадания в машину.

Основным источником распространения данного вируса являются, как обычно, файло-обменные сети. Вирус может попадать в каталоги установленных на машинах программ файло-обмена в зараженных дистрибутивах программного софта, переданных Вам друзьями или знакомыми. К сожалению, большинство пользователей упорно игнорируют антивирусные программы или просто не обновляют антивирусные базы, в результате чего "просыпают" попадание вируса в свои машины. Как результат, инфицированные компьютеры становятся рассадниками вирусов для десятков или даже сотен др. компьютеров. Потенциальную опасность также могут представлять CD/DVD-диски, записанные на таких "чистых" машинах, т.к. очевидно, что среди записанных на них (дисках) файлов окажутся и инфицированные. Не исключается также и возможность подхватить данный вирус в том случае, если Вы пользуетесь для переноса/хранения информации флэшками (USB Flash Memory Storage) или дискетами.


2. Инсталляция в систему.

Win32.Maniac.C является резидентным зашифрованным вирусом-паразитом, использующим для своего распространения тела Windows-приложений (т.н. PE-файлы, содержащие в своих заголовках метку "PE"; к таковым относятся программы с 32-битным кодом, написанные на языках высокого уровня, таких как, например, C++ Builder, Borland Turbo Pascal (Delphi) и пр., создаваемые для работы в среде Windows). Дееспособен под всеми существующими на сегодняшний день Windows-системами.
Данный вирус является усовершенствованной модификацией варианта Win32.Maniac.A. При этом, помимо использования нескольких алгоритмов простого и полиморфик-шифрования своего кода, а также ряда шпионских процедур, он содержит более деструктивный функционал и задатки стэлс-вируса.
Вирус не способен существовать как самостоятельная программа (т.е. в виде рабочего файла, содержащего только вирусный код), т.к. выполнен в виде логического программного блока (не содержит заголовка и, соответственно, т.н. "точки входа" - место в коде заголовка файла, с которого производится считывание стартового адреса программы и начинается ее выполнение), внедряемого в Windows-приложения и использующего заголовки зараженных им файлов для получения управления и последующего запуска. Поражает системные файлы с расширениями "EXE" (программы и самораспаковывающиеся архивы/инсталляторы) и "SCR" (экранные заставки для Рабочего стола).
Код вируса в теле зараженного файла представляет собой совокупность 2-х компонентов:

1. Дроппер (активатор основной программы), имеющий размер около 1,5-2 кб; написан на языке нижнего уровня (языке машинных команд) - Ассемблере. Данный компонент предназначен для расшифровки основного вирусного компонента с последующим его извлечением, установкой в систему и запуском на выполнение, а также для возможности запуска зараженного программного файла.

2. Основной компонент, производящий поиск и заражение файлов, а также различные вредоносные процедуры, включая и деструктивные. Представляет собой DLL-файл (динамическую библиотеку Windows), написанный на языке высокого уровня - Microsoft Visual C++ v5.0. В теле зараженного файла данный компонент содержится в сжатом и зашифрованном виде: сперва запакован в архив специального формата (применяется для паковки компонентов драйверов и серверных приложений Windows), а поверх зашифрован полиморфным крипт-алгоритмом, ключ к которому содержит дроппер-компонент вируса.
Схематически код вируса можно изобразить примерно так:


Используя механизм полиморфик-шифрования своего тела в зараженных файлах, вирус значительно усложняет пользователю визуальное выявление инородного кода в инфицированных фалах - последовательность кода в 16-ти ричном представлении (ASCII) в одном файле совершенно не похожа на этот же самый вирусный код, но уже в др. файле.
При запуске инфицированного файла на еще незараженной машине управление получает дроппер-код вируса (в своем роде - подпрограмма-"мастер"), который расшифровывает архив с Основным компонентом и записывает его под нижеуказанным названием в один из следующих системных подкаталогов:

для Windows 9X/ME:

%windir%\SYSTEM\wmdrtc32.dl_

для Windows 2K/XP:

%windir%\System32\wmdrtc32.dl_

Архив имеет размер 26066 байт и после записи на диск запускается дроппер-кодом на распаковку путем вызова соответствующей системной процедуры. При распаковке архива в этом же каталоге появляется и извлеченный файл - Основной вирусный компонент. Он имеет размер 40960 байт, никакими утилитами компрессии не обработан, но основная часть его кода зашифрована неполиморфным крипт-алгоритмом. Файл представляет собой PE DLL-файл (динамическую библиотеку Windows - модульное приложение) и запускается на выполнение непосредственно дроппер-компонентом:

для Windows 9X/ME:

%windir%\SYSTEM\wmdrtc32.dll

для Windows 2K/XP:

%windir%\System32\wmdrtc32.dll

wmdrtc32.dl_ и wmdrtc32.dll имеют следующие параметры файлов: текущие дата и время модификации соответствуют реальному времени, когда эти файлы были записаны на диск; оба файла имеют атрибут "архивный" (archive), а wmdrtc32.dl_ (архив) - еще и атрибут "скрытый" (hidden), в результате чего при настройках системы "по умолчанию" данный файл не виден в Проводнике Windows при просмотре содержимого системных подкаталогов.
После своего запуска Основной компонент вируса (wmdrtc32.dll) остается резидентно в памяти компьютера вплоть до завершения работы Windows. Никаких ключей для возможности автозапуска данного файла при последующих стартах системы в реестре не создается. Механизм активации данного компонента следующий: при запуске зараженного файла вирусный дроппер, получающий управление в теле этого файла, проверяет наличие в системной памяти следующей "метки"-идентификатора:

_kuku_joker_v4.00

Эта метка создается Основным компонентом на время своей работы и используется для инициализации заражения системы. wmdrtc32.dll расшифровывает данный идентификатор из своего тела (использует алгоритм расшифровки по смещению кода на величину XOR 18h - этот же механизм вирус использует и при расшифровке всех остальных участков своего кода) и устанавливает его в системную память. Таким образом, если указанный идентификатор присутствует в памяти, то это свидетельствует о заражении системы и дроппер-компонент вируса не производит повторной установки Основного компонента в систему. Если же идентификатор в памяти отсутствует, то дроппер-код производит уже известную процедуру инсталляции и запуска файла wmdrtc32.dll.
При осуществлении тех или иных действий вирус может на короткое время создавать в папке временных файлов системы (подкаталог \TEMP\) файлы *.tmp, в которые записывает часть своего кода и некоторые промежуточные данные:

для Windows 9X/ME:

%windir%\TEMP\*.tmp

для Windows 2K/XP:

\Documents and Settings\%user%\Local Settings\TEMP\*.tmp

, где %user% - имя текщего пользователя. После отработки данные файлы вирус удаляет.
Вирус инициализирует себя в системе как MCI-драйвер (Media Control Interface - стандартный управляющий интерфейс для мультимедийных устройств и файлов) с уникальным идентификатором

KUKU400alpha

Для инициализации в системе вирус дает опознать себя как вспомогательный программный сервис под именем

KUKU v4.00 alpha

Если версия ОС соответствует Windows 2K/XP или выше, то вирус расшифровывает и извлекает из своего тела еще один компонент, который записывает как

%windir%\System32\drivers\%name%.sys

, где %name% - имя в виде комбинация малых латинских букв. Примеры таких названий: ggpnhn.sys, knknln.sys, qrnti.sys и т.п. Данная комбинация символов и их количество в имени SYS-файла формируется в зависимости от имени компьютера; в результате, на конкретно взятой машине такое имя будет всегда одним и тем же.
Данный компонент является Windows-драйвером размером 5477 байт, также написанным на Microsoft Visual C++. Представляет собой руткит (rootkit), который используется вирусом для сокрытия своих обращений во внешнюю сеть и паразитного трафика от защитных фильтров фаерволлов и межсетевых экранов. При создании данного файла ему присваивается атрибут "архивный", а время и дата его создания соответствуют реальному времени записи файла на диск. При этом вирус проверяет наличие и оригинальность данного компонента 2 раза в секунду.
Поскольку вирус не прописывает себя в атозагрузку системы, он может получить управление после перезапуска системы только в том случае, если какой-либо из зараженных файлов будет вызван на выполнение.


3. Внедрение вируса в потоки данных активных процессов.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Maniac.A. Единственным новшеством является то, что вирус всегда ищет и внедряет свой поток и в системный процесс Explorer.exe.


4. Заражение PE EXE- и SCR-файлов.

Сразу же после инсталляции в систему вирус расшифровывает и запускает процедуру поиска и заражения файлов. Поиск ведется поэтапно, начиная с самого последнего диска в списке подключенных к компьютеру носителей и заканчивая диском C: (флоппи-дисководы A: и B: игнорируются), включая сетевые и съемные диски, которые открыты для записи. При этом вирус просматривает на заражаемом диске все папки со всеми вложенными подкаталогами, выявляет файлы с расширениями "EXE" и "SCR", проверяет их на соответствие PE-формату Win32-приложений и дописывает в них свой код. Чтобы быть менее приметным, вирус приступает к заражению текущего файла только спустя 1 секунду с момента заражения предыдущего.
Вирус не заражает те файлы, которые, имея указанные расширения, не являются приложениями Win32 (т.е. DOS - и Win16-приложения). Также не заражаются файлы, обработанные некоторыми утилитами компрессии, мешающими вирусу распознать структуру файла, а также те, которые имеют размер менее примерно 10 кб.
В процедуре сканирования содержатся некоторые ошибки, в результате которых вирус нередко "забывает" инфицировать некоторое количество файлов в заражаемой папке и последние долгое время могут оставаться чистыми.
Судя по всему, заразив файлы на последнем в списке диске, вирус не переходит к заражению следующего (более ближнего по списку) диска, а останавливает процесс сканирования и ждет значительное время перед тем, как продолжить дальнейший поиск и заражение файлов.
Под Windows 9X/ME заражение производится как в системных, так и в пользовательских папках. При этом под Windows 2K/XP вирус не заражает файлы, которые находятся в каталоге/подкаталоге системной папки Windows.
Каждый подходящий по параметрам файл заражается только 1 раз (вирус определяет его зараженность довольно сложным способом, производя при этом ряд специальных проверок участков кода).
При обнаружении подходящего для заражения файла вирус проверяет не загружен ли последний на выполнение и, если файл не задействован в работе, то wmdrtc32.dll считывает и запоминает его параметры - дату и время модификации, а также атрибуты, после чего приступает к редактированию файла (при этом вирус обходит ограничение редактирования при наличии у файла атрибута "read only" - только для чтения).
Дабы избежать многократного параллельного запуска процедуры поиска и заражения, вирус создает в системной памяти на время ее (процедуры) реализации метку-идентификатор

m_Temp_v4.00

При заражении файла вирус дописывает свое зашифрованное тело в его конец. Для этого wmdrtc32.dll считывает полный вирусный код из тела последнего из запущенных зараженных файлов - местоположение этого файла дроппер-компонент передает компоненту wmdrtc32.dll в виде переменной и тот хранит ее в памяти. Затем вирус считывает последние 28672 байта уже зараженной программы и копирует их в зарезервированное пространство текущего заражаемого файла, а далее корректирует его заголовок: изменяет "точку входа" (место в коде заголовка файла, с которого производится считывание стартового адреса программы и начинается ее выполнение), заменяя оригинальный стартовый адрес (предварительно запоминает его) ссылкой на стартовый адрес своего дроппер-кода, который располагается примерно в нескольких сотнях байт от начала вирусного тела в заражаемом файле. Затем wmdrtc32.dll записывает в первые несколько сотен байт вирусного кода в теле зараженной программы (в те байты, которые расположены перед кодом дроппер-компонента) оригинальный (исходный) стартовый адрес программы. После этого wmdrtc32.dll шифрует полиморфик-крипт-алгоритмом все 28672 байта вирусного тела в заражаемом файле (кроме участка кода в 1,5-2 кб с дроппер-компонентом - к нему вирус не применяет полиморфик-крипт-метод). Только после всех перечисленных манипуляций wmdrtc32.dll завершает редактирование уже зараженного файла, перезапоминает его со всеми внесенными изменениями и присваивает ему исходные атрибуты, а также дату и время модификации до заражения. В результате, внешне зараженный файл отличается от исходного лишь увеличением размера на величину 28672 байта.

Файл до заражения (слева) и после (справа):


В процедуре заражения файлов автор вируса допустил 2 серьезные ошибки, из-за которых "Maniac.C", равно, как и варианты "Maniac.A,B", может испортить оригинальный код заражаемых файлов и они безвозвратно утрачивают свою работоспособность (подробности см. в п.6 этого описания).
Запуск зараженного файла происходит следующим образом: первым получает управление дроппер-код вируса, который проверяет наличие упомянутой "метки"-идентификатора, и, соответственно, либо сперва производит процедуру инсталляции в систему Основного компонента, а уже потом расшифровывает, считывает и запускает стартовый адрес оригинальной программы, либо сразу производит запуск оригинальной программы и завершает при этом свою работу. Схематически процесс запуска зараженной программы можно изобразить примерно следующим образом (соответствующие пропорции размеров секций на рис. не учитываются):


Обычно запущенная зараженная программа открывается с опозданием до нескольких секунд, но иногда дроппер-код по каким-то причинам "тормозит" и процесс запуска программы может затянуться на довольно долгое время. Кроме того, некоторые зараженные файлы, упорно не желающие открываться под одной версией ОС Windows, могут без проблем работать под др. версией Windows. Такие вещи я наблюдал на тест-машине, когда "нерабочие" программные файлы под Windows XP абсолютно нормально функционировали под Windows 98.


5. Действия вируса во время работы в сети Интернет.
Похищение конфиденциальных пользовательских данных.

При подключении зараженной машины к сети Интернет у пользователя может сложиться впечатление, что большинство запущенных программ как будто "подурело": если на машине установлена защитная программа типа фаерволла, то она начинает "вопить", что то одна, то др. программы якобы пытаются входить в сеть и что-то там искать и скачивать. При этом индикатор принятых/отосланных байт данных может "наматывать круги", но "обрубить" такой паразитный траффик будет весьма накладно, поскольку вирусный руткит-компонент %name%.sys будет маскировать его от сторонних программных запросов, связанных с определением Web-адреса и распознанием передаваемых/принимаемых вирусом пакетов данных в Интернет-сети. При этом такая "неопознанная" активность производится вирусом от имени др. программ, в чьи процессы ему удалось внедрить свой поток.
Дабы избежать повторного запуска руткита, когда тот уже загружен на выполнение, вирус создает в системной памяти метку-идентификатор

kukutrusted!.

В ходе своей деятельности в сети, вирус расшифровывает и последовательно выполняет следующие вредоносные процедуры:

Процедура 1. Вирус похищает:

 - все данные из веток ключей реестра, содержащих в своем пути строку

Software\Microsoft\Windows\CurrentVersion\Internet Settings

 - все значения из веток ключей реестра, содержащих в своем пути строку

Software\Microsoft\Windows\CurrentVersion\Run

 - список активных процессов;
 - текст, содержащийся на текущий момент в буфере обмена данными между различными редакторами;
 - какие-то коды (передаваемые по сети незащищенные пароли - ?);
 - данные о конфигурации "железа" компьютера;
 - внешний (сетевой) IP-адрес и имя компьютера;
 - содержимое системного файла system.ini;
 - список http-адресов, посещаемых пользователем во время работы в сети;
 - некоторые др. вещи неясного назначения.

Вся эта информация передается посредством HTTP-протокола на следующую страницу (по соображениям безопасности часть адреса заменена символами "%"):

http://www.kukutrust%%%%%%.info/mrow_nrl/

Процедура 2. Если пользователь пытается вызывать страницы, в адресе которых присутствует строка

www.microsoft.com

, то запрошенный адрес либо блокируется, либо перенаправляется на сгенерированную случайным образом др. ссылку.

Процедура 3. Вирус пытается получить в ответ на запрос ссылку и скачать по ней в зараженный компьютер некий файл, который сохраняет как

%windir%\SYSTEM\win%s.exe (для Windows 9X/ME)
или
%windir%\System32\win%.exe (для Windows 2K/XP)

, где % - некая переменная. Затем запускает этот файл на выполнение.


6. Деструктивные процедуры.

Как я уже упоминал выше, вирус содержит 2 серьезные ошибки в процедуре заражения файлов. Эти ошибки имеют место в том случае, если код файлов до заражения был обработан какими-либо утилитами криптации или компрессии (в частности, компрессия при помощи утилиты "UPX"). При заражении таких файлов вирус с довольно высокой вероятностью при корректировке заголовков портит их, в результате чего ни вирусный код, ни оригинальная программа не могут быть запущены. При запуске такая программа либо возвращает системе сообщение вида "Программа не умещается в памяти", либо на экран выдается стандартное сообщение об ошибке открытия файла вида "Файл [имя файла] не является Win32-приложением". Также вирус при заражении сжатых файлов может некорректно разбирать их код и неправильно определять точку входа в программу. В этом случае вирус допишет к своему коду не оригинальный стартовый адрес заражаемой программы, а какой-либо др. или просто случайные данные. При запуске такого файла управление получит только вирусный код, после чего произойдет зависание или аварийное закрытие программы. В худшем случае может произойти полное зависание системы со всеми вытекающими отсюда негативными последствиями. Такие файлы также не подлежат восстановлению.
Учитывая тот факт, что на сегодняшний день утилиты шифрования и компрессии широко применяются в процессах разработки программ и установочных пакетов, ошибки вируса могут повлечь за собой не только серьезные сбои в работе программ и системы в целом, но и привести к потере пользовательского ПО и его дистрибутивов.
Примерно с вероятностью 2% вирус также может испортить при заражении и некомпрессированные файлы, "забывая" их при этом заразить.
Кроме деструкций, связанных лишь с внутренними ошибками, Основной компонент вируса расшифровывает и производит ряд целенаправленных деструктивных процедур.
Первая деструктивная процедура заключается в поиске и удалении на всех дисках компьютера файлов, расширения которых соответствуют следующим маскам:

.vdb
.key
.avc


Таким образом вирус ликвидирует антивирусные базы DrWeb, Kaspersky AntiVirus, а также файлы с регистрационными данными к этим программам. Однако удаление файлов *.key также повлечет за собой либо частичную, либо полную неработоспособность не только данных антивирусов, но и у абсолютно всех программ, регистрационные данные которых хранятся в файлах с расширением "KEY", например: файловый менеджер Total Commander, программа для диагностики системы и комплектующих компьютера Everest и т.д.
Вторая деструктивная процедура заключается в принудительном закрытии программных окон, заголовки которых содержат одну из нижеперечисленных строк:

aswUpdSv
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
fshttps
FSMA
InoRPC
InoRT
InoTask
ISSVC
KPF4
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort
Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
Symantec
Core LC
Tmntsrv
TmPfw
tmproxy
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP


Третья деструктивная процедура заключается в удалении параметров и даже целых веток ключей реестра из следующих разделов:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\ProfileList\]


Из этого раздела удаляются только какие-то отдельные значения параметров;

[HKEY_LOCAL_MACHINE\SYSTEM\%\%\SafeBoot\]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Ext\Stats\]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce\]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce\]


Из этих разделов удаляются абсолютно все подразделы со всеми значениями (в приведенных ветках ключей некоторые фрагменты путей заменены по соображениям безопасности символом "%"). В результате этого систему никогда более не удастся загрузить в Безопасный режим; при последующих стартах системы более не будут загружаться никакие автозагрузочные компоненты пользовательских, драйверных, защитных и пр. программ; будут отключены все интегрированные в Web-броузер программы и дополнительные модули; некоторые др. вещи.
Четвертая деструктивная процедура заключается в принудительном завершении активных процессов, в названиях которых содержится какой-либо из нижеперечисленных фрагментов текста (всего таковых 328 штук), с последующим удалением соответствующих программных файлов на всех доступных дисках компьютера:

_AVPM.
A2GUARD.
AAVSHIELD.
ACKWIN32.
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALMON.
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
ANTIVIRSCHEDULER
ANTIVIRSERVICE
ANTS.
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AUPDATE.
AUTODOWN.
AUTOTRACE.
AUTOUPDATE.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVPUPD.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BACKWEB-4476822.
BDMCON.
BDNEWS.
BDOESRV.
BDSS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CLAW95CF.
CLEANER.
CLEANER3.
CLISVC.
CMGRDIAN.
CPD.
DEFWATCH.
DOORS.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FAST.
FCH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
FPAVUPDM.
F-PROT95.
FRESHCLAM.
FRW.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSM32.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
KPFWSVC.
KWATCH.
LOCKDOWN2000.
LOGWATNT.
LUALL.
LUCOMSERVER.
LUUPDATE.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NDD32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTXCONFIG.
NUPGRADE.
NVC95.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST.
PAV.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PSIMSVC.
QHM32.
QHONLINE.
QHONSVC.
QHPF.
QHWSCSVC.
RAVMON.
RAVTIMER.
REALMON.
REALMON95.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCAN32.
SCANNINGPROCESS.
SCHED.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
TC.
TCA.
TCM.
TDS-3.
TEATIMER.
TFAK.
THAV.
THSM.
TMAS.
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJSCAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCHK.
VCRMON.
VETTRAY.
VIRUSKEEPER.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBPROXY.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WINSS.
WINSSNOTIFY.
WRADMIN.
WRCTRL.
XCOMMSVR.
ZATUTOR.
ZAUINST.
ZLCLIENT.
ZONEALARM.
XPXXXXXP


Данная процедура может оказаться более деструктивной, чем просто удаление компонентов защитного ПО, т.к. некоторые фрагменты из данного списка встречаются и в названиях пользовательских программ и специализированных утилит, например: утилиты для работы с реестром Registry Cleaner (regcleaner.exe) и System Cleaner Expert (syscleaner.exe), компоненты программы-менеджера файлов и папок Total Commander (дополнительные компоненты DecrypTC.exe, TweakTC.exe). Очевидно, что это только некоторые из выявленных мной совпадений и в реальности их гораздо больше.


7. Прочее.

Помимо всех вышеперечисленных вещей, Основной компонент вируса wmdrtc32.dll также пытается искать в системе какой-то файл kjhmnd.dll.
Также Основной компонент содержит в своем коде незашифрованную метку-идентификатор

VC20XC00U

Распространение вируса началось предположительно в начале-середине лета 2007 года.


8. Детектирование вируса и лечение машины.

На момент разработки данного описания антивирусные программы уже обнаруживали вирус Win32.Maniac.C под нижеприведенными номенклатурными названиями. При этом следует отметить, что детектирование некоторых компонентов вируса под номенклатурным названием, связанным с почтовым червем небезызвестного семейства "Warezov", является некорректностью со стороны антивирусных компаний. Проведенное дополнительное исследование соответствующего варианта червя "Warezov" дает мне все основания утверждать, что ни данный почтовый червь, ни вирус Win32.Maniac.C не имеют с друг другом абсолютно ничего родственного (разве что только общий термин "вирус"):

Антивирус Kaspersky AntiVirus:
файлы wmdrtc32.dll и wmdrtc32.dl_: Virus.Win32.Sality.s (так детектируется, начиная с 06.02.2008; до этого момента, несмотря на отосланное компании сообщение о некорректном названии детекшена, ошибочно распознавался как Email-Worm.Win32.Warezov.et)
файл %name%.sys: Virus.Win32.Sality.s
в зараженных файлах: Virus.Win32.Sality.s (может лечить от вируса)

Антивирус BitDefender Professional:
файлы wmdrtc32.dll и wmdrtc32.dl_: Win32.Warezov.ET@mm
файл %name%.sys: Trojan.Rootkit.AF
в зараженных файлах: Win32.Sality.N (пытается лечить от вируса: удаляет вирусный код, но при этом портит файлы)

Антивирус DrWeb:
файлы wmdrtc32.dll и wmdrtc32.dl_: Win32.Sector.28682
файл %name%.sys: Trojan.Ipsof
в зараженных файлах: Win32.Sector.28682 (может лечить от вируса)

В принципе, самостоятельно осуществить процесс лечения от вируса для рядового пользователя просто нереально, если учесть все вышеизложенные приемы, которые использует вирус. Поэтому наиболее оптимальным решением вирусной проблемы, на мой взгляд, является перенос винчестера на др. неинфицированную машину, его подключение к ней, как второстепенного, с последующим пролечиванием всей находящейся на нем информации. В процессе лечения файлы wmdrtc32.dl_, и wmdrtc32.dll и %name%.sys, детектируемые под вышеуказанными номенклатурными названиями, необходимо просто удалить. После процесса лечения испорченные или удаленные вирусом программы необходимо заменить из резервной копии или полностью переустановить. Также некоторые программы, будучи зараженными, но не испорченными вирусом, после лечения также могут оказаться нерабочими - причиной является встроенная в такие программы процедура проверки оригинальности их кода, которая заключается в подсчете т.н. CRC-значения (контрольной суммы) определенных участков кода файлов и сопоставлении полученных значений с оригинальными. К таким программам относится, например, Nero Burning ROM (программа для записи СD- и DVD-дисков). Учитывая тот факт, что вылеченные файлы содержат в своих заголовках некоторое количество измененных вирусом байт, вышеуказанная программа и ей подобные при своем запуске сразу же выдают соответствующее сообщение о расхождении значений контрольной суммы с оригинальным и завершают свою работу. Такие файлы также следует заменить.
Также было замечено, что некоторые из вылеченных файлов, несмотря на свою работоспособность, могут функционировать некорректно. В таких случаях тоже рекомендуется заменять некорректные файлы оригинальными, взятыми из резервной копии.
Следует отметить, что некоторое количество вирусных копий может присутствовать в файлах с расширениями "CHK" (последние являются файлами, резервируемыми некоторыми версиями ОС Windows в случаях обнаружения сбойных кластеров на жестком диске системным приложением Scandisk).

Также рекомендуется сменить пароли на подключение к сети Интернет, к почтовым ящикам и т.п.

Для пользователей ОС Windows XP я также разработал специальную утилиту, при помощи которой после удаления вируса из компьютера можно вернуть к жизни Безопасный режим. Утилита была добавлена в антивирусный набор от VirusHunter'а, который можно скачать с нашего сайта здесь.

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Win32.Maniac.A
Win32.Maniac.B
Win32.Maniac.D


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 09.01.2008
Дата внесения последних изменений: 19.12.2008
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00345396995544