VirusHunter предупреждает всех пользователей ПК об обнаружении в "диком виде" троянской программы Trojan.DriveGuard.worm, использующей в качестве средства для своего размножения USB Flash Disk и Card Memory...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

%windir% - каталог, в который установлена ОС Windows.


1. Источники попадания в компьютер.

Единственным источником распространения троянца Trojan.DriveGuard.worm являются USB Flash Disk (флэшки) и Card Memory (съемная память, используемая в цифровых фотоаппаратах и видеокамерах). Троянец копирует себя на данные носители информации, когда они подключаются к инфицированной машине под управлением ОС Windows 2K/XP или выше.


2. Инсталляция в систему.

Троянец может быть запущен с инфицированного носителя и только посредством Проводника Windows, поскольку его (троянца) запуск производится при помощи команды специального формата. По этой причине попытки запустить зловреда вручную (т.е. при двойном щелчке мышкой по вредоносному файлу) не дадут никаких результатов.
Итак, в корне инфицированного носителя присутствуют следующие каталоги и файлы, созданные троянцем:

%drivename%\System\DriveGuard\DriveProtect.exe - файл-копия троянца (размер 434353 байта, написана на языке Microsoft Visual C++, никакими утилитами компрессии и шифрования не обработана);
%drivename%\System\DriveGuard\ReadMe.txt - файл с информацией (размер 481 байт) о "предназначении" троянца;
%drivename%\autorun.inf - вредоносный файл-дроппер (размер 234 байта), используемый для автозапуска DriveProtect.exe без участия пользователя (подробнее о назначении autorun.inf и неконтролируемом запуске вредоносного кода посредством данного файла можно прочитать в описании троянской программы Trojan.LittleWorm).

Для того, чтобы скрыть свои файлы-компоненты и каталоги от глаз пользователя, троянец присваивает им следующие атрибуты:

каталогам System и DriveGuard, а также компоненту autorun.inf - "hidden" (скрытый), "system" (системный), "archive" (архивный) и "read only" (только для чтения);
DriveProtect.exe - "системный", "архивный" и "только для чтения".

Первые 2 атрибута ("скрытый" и "системный") позволяют троянцу и его компонентам быть невидимыми для Проводника и прочих менеджеров работы с файлами и папками (например, Total Commander), под которыми "по умолчанию" базовая настройка просмотра файлов и папок с данными атрибутами просто-напросто отключена.
В качестве даты и времени модификации троянец присваивает:

DriveProtect.exe - дата, очевидно, соответствует моменту создания файла автором: 24.05.2008, время: 01.07;
все прочие файлы-компоненты и каталоги - присваиваются реальные дата и время их создания в инфицированном компьютере.

При подключении СНИ к компьютеру система обычно автоматически открывает содержимое носителя в окне Проводника. В случае с зараженным носителем Windows выдает на экран следующее меню:


Также в меню выбора способа открытия содержимого инфицированного носителя пункт "Проводник" заменен на "Explore", "благодаря" содержащемуся в его корне файлу autorun.inf.
При открытии содержимого СНИ посредством Проводника, троянец получает управление. Единственным едва заметным признаком активизации зловреда является небольшая задержка при открытии содержимого СНИ и едва визуально заметное "передергивание" на экране иконок анимации файлов и папок в текущем каталоге.
При запуске троянец проверяет тип ОС Windows, свое местоположение и формат строки своего вызова на выполнение. Если таковым каталогом является вышеупомянутый, а формат строки вызова совпадает с уникальной строкой в файле autorun.inf, троянец производит процедуру инсталляции в систему, которая заключается в следующих действиях:  - в служебном каталоге с установленными в систему программами создается папка с атрибутами "системная" и "только для чтения", в которую зловред копирует свой файл под нижеуказанным названием, а также извлекает из своего тела и записывает файл ReadMe.txt:

\Program Files\WinDriveGuard\DriveGuard.exe
\Program Files\WinDriveGuard\ReadMe.txt

Для возможности своего автозапуска при каждом последующем старте ОС он также извлекает из своего тела файл-ярлык размером 1611 байт, который записывает в общий каталог автозагрузки программ под следующим названием:

\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\driveguard.lnk

Затем до первого перезапуска системы троянец завершает свою работу.
Следует отметить, что троянский файл содержит фальшивую цифровую подпись компании Микрософт, а ярлык - ложную информацию о назначении "полезной" программы, которую он открывает. Поэтому при просмотре свойств данных файлов можно увидеть следующую информацию:


Файл ReadMe.txt содержит следующий текст:


После первого перезапуска компьютера DriveGuard.exe получает управление и остается резидентно в памяти компьютера вплоть до завершения работы Windows. При этом в памяти может присутствовать только одна копия троянца.


3. Заражение СНИ.

С интервалом в 22 секунды троянец инициализирует список имен подключенных к компьютеру съемных устройств, которые представляют собой флэшки, карты памяти или съемные винчестера, подключенные посредством USB-портов. Затем последовательно (в алфавитном порядке, от B: до Z: включительно, игнорируя A: и C:) обходит каждый из таких дисков, проверяет его доступность на запись и количество свободного места, после чего копирует на него свои файлы (autorun.inf и ReadMe.txt извлекает из своего тела):

%drivename%\autorun.inf
%drivename%\System\DriveGuard\DriveProtect.exe
%drivename%\System\DriveGuard\ReadMe.txt


4. Действия в сети Интернет.

В зависимости от текущего времени и наличия активного подключения к сети Интернет, троянец пытается открыть в веб-браузере, установленном в системе "по умолчанию", следующую ссылку:

http://www.autohotkey.com

Окно, в котором запускается ссылка, скрывается от глаз пользователя (запуск производится в т.н. "фоновом" режиме). Запрос ссылки ведется через машинные порты с номерами 1066 и 1067.
В ходе попытки соединения с указанным веб-ресурсом, троянец создает еще одну свою копию в подкаталоге временных файлов текущего пользователя:

\Documents and Settings\%текущий юзер%\Local Settings\Temp\VerUpdate.tmp

Этот файл троянец запускает как обычный EXE-файл.
Также троянец проверяет номер текущей версии своего обновления, расположенного на данном веб-ресурсе. Если номер версии соответствует 1.0.47.06, то троянец завершает работу своей копии VerUpdate.tmp и разрывает соединение с ресурсом; если же номер версии выше указанной, то DriveProtect.exe завершает свою работу, а VerUpdate.tmp открывает 53-й машинный порт (базовый порт), скачивает и записывает в каталог с троянцем следующие файлы:

\Program Files\WinDriveGuard\AutoHotkey.chm
\Program Files\WinDriveGuard\AU3_Spy.exe

Затем второй из скаченных файлов (EXE-файл) запускается на выполнение, а VerUpdate.tmp завершает свою работу.
В ходе поиска и загрузки файлов из сети троянец записывает некую служебную информацию в создаваемый им лог-файл

\Documents and Settings\%текущий юзер%\Local Settings\Temp\%%%updatelog.tmp

где %%% - случайная комбинация трех цифр.


5. Прочее.

Троянец пытается "бороться" с др. вредоносными программами, использующими для своего распространения файлы autorun.inf. Это он делает весьма своеобразным образом: каждые 2 минуты обходит все стационарные диски компьютера (логические и сетевые, доступные для записи, в алфавитном порядке с C: по Z: включительно, игнорируя съемные, а также CD/DVD и флоппи), проверяя их корни на присутствие файлов autorun.inf. Если последние обнаружены, то с них снимаются атрибуты "скрытый", "системный" и "только для чтения", после чего названия заменяются на autorun.inf.bak. Логика такой процедуры непонятна, поскольку вредоносная программа, которая создала данные файлы, через короткий промежуток времени воспроизведет их снова и "чистка" дисков, произведенная троянцем, окажется тщетной.
Если скопировать с инфицированного СНИ созданные вирусом папки и файлы в корень какого-нибудь стационарного диска при наличии активной копии троянца в памяти, то в ходе переименования файлов autorun.inf в autorun.inf.bak расположенный на локальном диске \System\DriveGuard\DriveProtect.exe будет также переименован в \System\DriveGuard\DriveProtect.exe.bak.


6. Детектирование и удаление троянца из машины и с СНИ.

Троянец Trojan.DriveGuard.worm и его компоненты были сначала отосланы в Лабораторию Касперского, а затем мой коллега - NoFtp, также переслал переданный ему образец зловреда и в Лабораторию Игоря Данилова (DrWeb). Поэтому на момент создания данного описания антивирусы детектируют все это "троянство" под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл DriveProtect.exe (DriveGuard.exe): Worm.Win32.AutoIt.ar
файл autorun.inf: Worm.Win32.AutoIt.ar
(включен в антивирусную базу 02.07.2008)
Антивирус DrWeb:
файл DriveProtect.exe (DriveGuard.exe): Win32.HLLW.Autoruner.2295
файл autorun.inf: Win32.HLLW.Autoruner.2295
(включен в антивирусную базу 01.07.2008)

Антивирус BitDefender Professional:
файл DriveProtect.exe (DriveGuard.exe): Trojan.Agent.AIYA
файл autorun.inf: Trojan.Autorun.VJ
(включен в антивирусную базу не позднее 30.06.2008)

Для удаления троянца и устранения проблемы блокирования некорректно вылеченных СНИ при обращении к ним через Проводник, я рекомендую Вам проделать следующее:

 - при обнаружении вредоносного файла \Program Files\WinDriveGuard\DriveGuard.exe, отключите компьютер от сети Интернет;  - выгрузите из памяти процессы DriveGuard.exe и AU3_Spy.exe, воспользовавшись Диспетчером задач;

 - включите показ скрытых/системных фалов и папок при работе в Проводнике, для чего можете воспользоваться утилитой из спец. набора от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя;

 - проверьте все используемые Вами СНИ вышеуказанных типов на наличие файлов

%drivename%\autorun.inf
%drivename%\System\DriveGuard\DriveProtect.exe
%drivename%\System\DriveGuard\ReadMe.txt


и, в случае обнаружения, удалите их;

 - удалите вручную следующие файлы и подкаталоги (выделены жирным):

\Program Files\WinDriveGuard\
\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\driveguard.lnk
\Documents and Settings\%текущий юзер%\Local Settings\Temp\VerUpdate.tmp

Если не удалить driveguard.lnk, то при каждом старте ОС (в зависимости от своей версии) может выдавать на экран следующее сообщение:


При удалении вредоносных файлов важно не оставлять на СНИ файл-дроппер autorun.inf, т.к. иначе при последующих попытках открытия СНИ посредством Проводника или напрямую через меню "Мой компьютер", доступ к данным на диск будет заблокирован системой, а на экране появится сообщение следующего вида:


С учетом потенциальной опасности, которую несет неконтролируемое считывание системой данных из вредоносных файлов autorun.inf, для пользователей Windows XP была разработана специальная утилита, выгружающая из системной памяти потоки данных, связанные со считыванием и выполнением инструкций из файлов autorun.inf. Утилита была добавлена в спец. набор от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя, поскольку ее работоспособность зависит от некоторых системных условий.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 04.07.2008
Дата внесения последних изменений: 04.07.2008
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00278782844543