VirusHunter предупреждает всех пользователей ПК о распространении очень опасной троянской программы Backdoor.Ntos.A, позволяющей скрытно управлять ресурсами пораженных ею компьютеров с системой Windows и использовать последние для крупномасштабной рассылки спама. Также вредоносная программа использует ряд сложных приемов для сокрытия своего присутствия в зараженной системе, блокирует работу защитных программ и устанавливает в компьютер др. вредоносное ПО...


1. Источники попадания троянца Backdoor.Ntos.A в компьютер.

Данная программа класса "бэкдор" (Backdoor - утилита для скрытного удаленного управления компьютером) может попадать в машину либо через сеть Интернет (загружается в машину др. вредоносными программами), либо через файло-обменные сети под видом "полезного" файла. Также не исключен вариант распространения через эл. почту, когда копия троянца может быть приложена к письмам под видом "полезной" программы.


2. Инсталляция в систему.

Работоспособность троянца возможна только на машинах с установленной ОС Windows 2K/XP или выше. Бэкдор представляет собой Windows-приложение, написанное на языке Ассемблер. Код файла зашифрован несколькими сложными криптографическими алгоритмами, а поверх сжат утилитой компрессии "ASPack". Назвать точный размер файла весьма затруднительно, поскольку при копировании в систему троянец изменяет последний. Однако размер при снятии ASPack-компрессии дает более-менее четкое представление об оригинальной величине вредоносного файла - примерно 150 кб.
При запуске троянского файла производится проверка версии ОС Windows, имени и местоположения системного каталога, а также названия и местоположения текущей копии троянца. Если каталог, из которого произведен запуск файла, отличен от %windir%\System32\ (тут %windir% - путь к каталогу с установленной ОС Windows), а название файла отлично от ntos.exe, то троянец производит следующие действия:

 - копирует свой файл как %windir%\System32\ntos.exe;

 - модифицирует следующий стартовый ключ реестра, дописывая в него ссылку на свой файл:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="%windir%\\system32\\userinit.exe,%windir%\\system32\\ntos.exe,"


Затем завершает свою работу, не производя более никаких действий.
При записи своего файла в систему исходная копия троянца увеличивает размер инсталлируемого файла на произвольную величину (от 100 кб и более), дописывая в его конец случайные данные. Кроме того, присваиваемые инсталлируемому файлу дата и время его модификации умышленно передираются от системного компонента ntdll.dll, а также присваиваются атрибуты "только для чтения" и "архивный". В результате, вредоносный файл ntos.exe никак не выделяется среди прочих системных файлов, соседствующих с ним в одном каталоге.
Получив управление при первом перезапуске компьютера, троянец создает дополнительные 3 ссылки на свой файл в следующих ветках ключей реестра:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"userinit"="%windir%\\system32\\ntos.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"userinit"="%windir%\\system32\\ntos.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Userinit"="%windir%\\system32\\ntos.exe"


Далее он расшифровывает и загружает на обработку специальную ассемблерную процедуру, при помощи которой внедряет свой процесс прямо в системное ядро с возможностью контроля DMA (прямого доступа к памяти). В результате, вредоносный процесс оказывается недоступен для инициализации ни средствам встроенной в Windows защиты памяти для блокировки потенциально-опасных процедур, ни антивирусным и сетевым мониторам, а сам файл ntos.exe, хоть и виден на диске, но защищен от просмотра.
Троянец контролирует и тут же отменяет модифицирование/удаление созданных им ссылок на свой файл в ключах реестра.
Получив контроль над DMA, троянец создает следующий подкаталог с несколькими файлами:

%windir%\System32\wsnpoem\audio.dll
%windir%\System32\wsnpoem\video.dll

Изначально размер данных файлов является нулевым, поскольку никаких данных они не содержат. Однако в дальнейшем троянец записывает в них и шифрует какие-то служебные данные. Каталогу присваиваются атрибуты "скрытый" и "системный", а доступ к файлам в папке извне защищен точно так же, как и к файлу ntos.exe.


3. Противостояние антивирусным программам.

Установив DMA-контроль, троянец отключает в системе обработку ряда программных процедур, в частности - загрузку в память специфических перехватчиков системных событий, применяемых в технологиях защиты различными антивирусами, дабы не дать последним встроить в ядро системы процедуры мониторинга программной и сетевой активности, а также сканер-компонента для анализа кода файлов. В результате таких манипуляций, если антивирус по каким-либо причинам не остановил заражение компьютера до первого перезапуска системы с момента инсталляции троянца (например, если антивирусный монитор был по каким-либо причинам отключен или же антивирусные базы обновлялись слишком давно и не идентифицируют вредоносный код), то после перезапуска компьютера и активации троянца антивирусная защита, с большой вероятностью, более не загрузится. Например, Kaspersky Internet Security 7.0.1.325, у которого предварительно были отключены антивирусный монитор и проактивная защита, после перезапуска уже инфицированного компьютера не смог корректно работать, выдав при этом на экран следующее сообщение о внутренней ошибке:


Однако блокирование обработки системой ряда программных процедур имеет еще более негативное проявление: многие массивные программы (например, MS Word, Photoshop и т.д.), использующие при своей обычной работе дополнительные потоки данных, также оказываются либо частично, либо полностью неработоспособными, зависая при попытке их запуска. При работе с менее громоздкими программами наблюдается сильное торможение и частые подвисания программных окон.


4. Действия в сети Интернет.

Мне потребовалось порядка одного дня, чтобы расшифровать примерно 70% функционала бэкдора, однако этих данных все же оказалось достаточно, чтобы получить более-менее четкую картину о его "способностях". При подключении к сети Интернет троянец открывает произвольный машинный порт, через который пытается установить соединение с каким-то сервером. Если соединение удалось, то на сервер отсылаются следующие данные о зараженном компьютере:

 - IP-адрес хоста (сервера провайдера), через который в текущий момент осуществляется подключение компьютера-жертвы к Интернету;

 - IP-адрес прокси-сервера (если есть);

 - некая информация по обнаруженным в настройках системы Интернет-соединениям;

 - список посещаемых пользователем сайтов;

 - имя компьютера, версия ОС Windows, название и местоположение системного каталога;

 - марка и тактовая частота процессора в МГц;

 - данные об установленной в компьютере сетевой карте;

 - марка винчестера, информация о логических разделах и их уникальные ID-номера;

 - номер открытого троянцем для приема команд машинного порта и текущий IP-адрес компьютера-жертвы в сети;

 - некоторую др. информацию неустановленного характера.

По команде злоумышленников бэкдор может открыть произвольный машинный порт, через который будет принимать команды с удаленного сервера. Он может выполнять следующие действия:

 - при помощи специального встроенного функционала предоставлять через заданный порт полный доступ к дискам, а также к локальному интерфейсу зараженного компьютера;

 - использовать зараженный компьютер в качестве прокси-сервера для рассылки спама и показа анимированной рекламы (для этого используются локальные ресурсы установленного в компьютере-жертве Macromedia, ныне уже Adobe Flash Player'а);

 - загружать в компьютер-жертву др. вредоносные программы.

В случае осуществления показа анимированной рекламы и глобальных спам-рассылок, троянец может производить одновременно до 200 (!) подключений к различным серверам с целью получения от злоумышленников заготовок спам-писем и списка адресов рассылки, а также поиска альтернативных почтовых серверов для ретрансляции спама. Сложно представить себе количество паразитного сетевого трафика, потребляемого во время таких процедур зараженным компьютером.
При загрузке вредоносных программ бэкдор скачивает по указанным злоумышленниками ссылкам файлы с TXT-расширениями, содержащие бинарный код (программы). Файлы скачиваются и записываются в упомянутый каталог wsnpoem, созданный троянцем, после чего доступ к ним также блокируется последним. По окончании загрузки каждого файла троянец проверяет его на оригинальность: анализирует первые 2 байта кода на соответствие сигнатуре "MZ" (фрагмент заголовка программных файлов). Если сигнатура совпадает с указанной, то троянец загружает скаченный файл на выполнение как если бы последний имел EXE-расширение.
При удачном выполнении поставленных злоумышленниками задач бэкдор расшифровывает и отсылает хакерам условное информационное сообщение вида

It is resolved!!!, GOOD

Информация о произведенных действиях записывается в зашифрованном виде в файлы audio.dll и video.dll.


5. Прочее.

Где-то в коде троянца присутствует следующая зашифрованная текстовая строка в кодировке Unicode:

Microsoft Base Cryptographic Provider v1.0

Если во время своей загрузки троянец обнаруживает наличие в памяти компьютера активных перехватчиков системных событий, то он переходит в т.н. "фоновый" режим работы (как бы спит в памяти), не производя никаких действий, кроме слежения за наличием данных перехватчиков в памяти.


6. Детектирование и удаление троянца из машины.

На момент разработки данного описания Backdoor.Ntos.A (файл ntos.exe) уже детектировался антивирусами под следующими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Trojan-Spy.Win32.Zbot.zf (в распакованном от ASPack'а виде - как Trojan-Spy.Win32.Zbot.ann)

Антивирус DrWeb: Trojan.Proxy.2003 (в распакованном от ASPack'а виде - точно так же)

Антивирус BitDefender Professional: MemScan:Trojan.Spy.Bancos.AAM (в распакованном от ASPack'а виде - как Trojan.Spy.Bancos.NFU)

Был проведен тест вышеуказанных антивирусов (KIS 7.0.1.325, DrWeb 4.44.5, консольного сканера BDC/WIN32-Console v7.0 build 2555, а также одной из последних версий Avira Anti-Virus) на способность их сканеров обнаружить активное заражение машины. Для этого были загружены антивирусные сканеры (мониторы и проактивная защита были предварительно отключены), после чего был произведен ручной запуск установленного в систему файла ntos.exe. Затем я осуществил сканирование памяти, объектов автозапуска и системной папки %windir%\System32 каждым из антивирусов. Результаты оказались весьма неутешительными: BitDefender, KIS и Avira не обнаружили ничего, а вот DrWeb, что меня немало удивило, обнаружил и показал наличие и вредоносного процесса, и вредоносного файла на диске. Из этого несложно сделать вывод, что реальной защитой от данного зловреда и ему подобных (при наличии установленного в компьютере и корректно настроенного антивируса с самой свежей антивирусной базой) является антивирусный монитор, который перехватит запуск троянского файла еще до того, как последний успеет установить себя в систему и получить управление.
Учитывая сложность обнаружения данного троянца и его удаления из системы, для пользователей Windows XP была разработана специальная утилита для обнаружения и удаления бэкдора и всех созданных им записей из системного реестра.
Итак, пользователи Windows XP могут пролечить свои компьютеры следующим образом:

1. Скачать с нашего сайта архив с утилитами от VirusHunter'а, который находится здесь;

2. Отключить компьютер от локальной сети и Интернета;

3. Отключить (только временно) в установленной у Вас на компьютере антивирусной программе проактивную защиту (обязательно! - иначе утилита не сможет корректно выгрузить бэкдор и удалить созданные им записи) и файловый монитор (очень рекомендую);

4. Распаковать содержимое архива и запустить утилиту №12, предварительно сохранив все поточные результаты своей работы (открытые документы, базы данных и т.п.), а также закрыв все запущенные программы (например, MS Word, муз. и видео плэйеры, бухгалтерские программы и т.д.) - это необходимо проделать, поскольку при запуске процедуры антивирусного анализа утилита перезагрузит компьютер.
В ходе процедуры поиска и удаления бэкдора из компьютера утилита осуществит следующие действия:

 - произведет анализ системного реестра на наличие следов троянца в автозагрузке и, в случае обнаружения таковых, предложит приступить к процессу детального анализа реестра ОС;
 - заблокирует специальным образом файл ntos.exe, сделав невозможным обращение к нему со стороны системы, затем установит специальную программу-перехватчик системных вызовов и перезагрузит компьютер;
 - при старте системы вместо возможного троянца получает управление программа-перехватчик, которая производит анализ файла ntos.exe, и, в случае его идентификации как "вирус", удалит последний, а также все ссылки на него в реестре, а затем уже процедуру блокировки и себя из системного реестра.

Дополнительная информация по функционалу утилиты изложена в руководстве пользователя, приложенному к архиву.
Также необходимо удалить вручную и созданный троянцем подкаталог wsnpoem со всем его содержимым, после чего произвести тщательную проверку компьютера установленной в нем антивирусной программой со свежим обновлением антивирусной базы для выявления возможного заражения вредоносными программами, которые успел скачать из Интернета троянец.


7. Другие обнаруженные вариации троянца.

Также был обнаружен еще один вариант данного зловреда размером 41984 байта, сжатый какой-то утилитой компрессии (размер декомпрессированного файла составляет 139264 байта). Данная вариация полностью идентична по своему функционалу вышеописанному варианту и отличается от последнего лишь размером и методом сжатия тела файла.
Ссылка на вредоносный файл была распространена неизвестными злоумышленниками по ICQ-каналам в виде следующего сообщения (часть фрагментов ссылок я заменил по соображениям безопасности символом "%"):

Смотри твои фотки:
http://bordak.%.%/fist/index.php
вот флешка как дополнение
http://bordak.%.%/ldr.exe


Вредоносный файл детектируется антивирусами под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus: Trojan-Spy.Win32.Zbot.vb (в распакованном виде - как Trojan-Spy.Win32.Zbot.ann)

Антивирус DrWeb: Trojan.Proxy.2003 (в распакованном виде - точно так же)

Антивирус BitDefender Professional: Trojan.Spy.Bancos.AAM (в распакованном виде - как Trojan.Spy.Bancos.NFU)

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Backdoor.Ntos.B


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 04.07.2008
Дата внесения последних изменений: 27.07.2008
Благодарности: пользователю Иванчуку Михаилу за информацию об обнаружении источника распространения вариации троянца
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00271701812744