VirusHunter предупреждает всех пользователей ПК о распространении троянской программы Trojan-Fraud.Nokiman.worm, производящей аферные действия в компьютере пользователя и использующей в качестве средства для своего размножения USB Flash Disk и Card Memory...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

%windir% - каталог, в который установлена ОС Windows.


1. Источники попадания в компьютер.

Источником распространения троянца могут являться как СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.), так и файло-обменные сети, где зловред может быть подсунут пользователям как "полезная" программа среди прочего софта. При этом вредоносный троянский файл может иметь различные названия.


2. Инсталляция в систему.

В корне инфицированного носителя присутствуют следующие каталоги и файлы, созданные троянцем:

%drivename%\Nokia Music Manager\N-1-5-21-1895222279-3129831995-389225551-6003\desktop.ini

%drivename%\Nokia Music Manager\N-1-5-21-1895222279-3129831995-389225551-6003\info2

%drivename%\Nokia Music Manager\N-1-5-21-1895522279-3129831995-389222551-6003\ desktop.ini

%drivename%\Nokia Music Manager\N-1-5-21-1895522279-3129831995-389222551-6003\ info2

%drivename%\Nokia Music Manager\N-1-5-21-1895522279-3129831995-389522551-6003\ desktop.ini

%drivename%\Nokia Music Manager\N-1-5-21-1895522279-3129831995-389522551-6003\ info2

%drivename%\Nokia Music Manager\N-1-5-21-1895522279-3129831995-389552551-6003\ desktop.ini

%drivename%\Nokia Music Manager\N-1-5-21-1895522279-3129831995-389552551-6003\ info2

%drivename%\Nokia Music Manager\N-1-5-21-1895552279-3129831955-389522551-6003\ desktop.ini

%drivename%\Nokia Music Manager\N-1-5-21-1895552279-3129831955-389522551-6003\info2\desktop.ini

%drivename%\Nokia Music Manager\N-1-5-21-1895552279-3129831955-389522551-6003\info2\Playlist.exe

%drivename%\Nokia Music Manager\N-1-5-21-1895552279-3129831955-389522551-6003\info2\Stations.log

%drivename%\Nokia Music Manager\N-1-5-21-1895552279-3129831995-389225551-6003\ desktop.ini

%drivename%\Nokia Music Manager\N-1-5-21-1895552279-3129831995-389225551-6003\ info2

%drivename%\autorun.inf

Файл Playlist.exe является копией троянца. Он имеет размер 198656 байт, сжат утилитой компрессии программных файлов "ASPack " версии 2.1? (оригинальный размер в декомпрессированном виде составил 364544 байта), написан на языке Borland Delphi. Весь функционал троянца зашифрован сложным крипт-алгоритмом.
Файл autorun.inf является дроппер-компонентом (размер 704 байта), используемый для автозапуска Playlist.exe без участия пользователя (подробнее о назначении autorun.inf и неконтролируемом запуске вредоносного кода посредством данного файла можно прочитать в описании троянской программы Trojan.LittleWorm).
Остальные файлы - desktop.ini (размеры по 76 байт) и info2 (размеры по 0 байт) - являются копиями технических системных файлов, часто используемых, например, для инициализации содержимого "Корзины" (папки "Recycled", куда помещаются удаленные пользователем файлы).
Всем каталогам, созданным троянцем на СНИ, присваиваются следующие атрибуты: "только для чтения" (read only), "скрытый" (hidden) и "системный" (system). Системные файлы, а также вредоносный autorun.inf, имеют атрибуты "скрытый" и "системный", а также "архивный" (у некоторых может также быть и атрибут "только для чтения"). Троянский файл Playlist.exe и созданный им для маскировки файл-пустышка (т.е. нулевого размера) Stations.log имеют только атрибут "архивный"(размер последнего также 0 байт).

При запуске вредоносного файла пользователем (или при автозапуске с инфицированного СНИ) троянец проверяет некоторые системные условия, а также местоположение и название своего текущего файла-копии. Если путь и название отличны от нижеприведенных, то троянец создает соответствующий подкаталог в папке с установленным MS Windows Media Player'ом, куда записывает следующие файлы:

\Program Files\Windows Media Player\Agent\wmplayer.exe
\Program Files\Windows Media Player\Agent\sounds.cab
\Program Files\Windows Media Player\Agent\wmmedia.dll
\Program Files\Windows Media Player\Agent\wmservice.dll

Файл wmplayer.exe является копией троянца, а файлы sounds.cab (размер 112723 байта), wmmedia.dll (размер 293676 байт) и wmservice.dll (размер 54998 байт) создаются для "массовки", т.е. для маскировки вредоносного файла. Они содержат случайные зашифрованные данные (т.е. размер данных файлов всегда один и тот же, а содержимое - разное).
И создаваемому подкаталогу "Agent", и записываемым в него файлам присваивается дата создания/модификации, идентичная папке с установленной ОС Windows (т.е. WINDOWS); время создания/модификации присваивается либо 14:21:30 (если на системном таймере текущая дата меньше 30 марта 2008 года), либо 15:21:30 (если на системном таймере текущая дата 30 марта 2008 года или больше).
Также для маскировки троянец содержит поддельную цифровую подпись Microsoft и иконку анимации значка файла, характерную для MS Windows Media Player'а. Как результат, в списке прочих файлов троянский wmplayer.exe выглядит следующим образом:


Для возможности автозапуска троянца при каждом последующем старте системы в реестре создается следующее значение в нижеприведенной ветке ключей автозагрузки:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Media Player Agent"="[имя системного диска]\\Program Files\\Windows Media Player\\Agent\\wmplayer.exe /service"


Оригинальность своих файлов троянец проверяет лишь по их размеру и названиям, а далее просто завершает свою работу.
При первом перезапуске системы управление получает вредоносный wmplayer.exe. Он загружается в память и остается там резидентно вплоть до завершения работы системы. В принципе, на выполнение загружается только одна копия троянца, но, если, например, запускать wmplayer.exe из указанного каталога вручную, то в памяти одновременно будут присутствовать несколько резидентных копий троянца, что может привести к конфликту между ними (т.е. проверка наличия своей активной копии в памяти у троянца отсутствует).
После своего запуска троянец более не производит проверок наличия всех созданных им файлов и стартовой записи в ключах реестра.


3. Заражение СНИ.

Сразу же после своей активации при старте системы троянец инициализирует список имен подключенных к компьютеру съемных устройств, которые представляют собой флэшки, карты памяти или винчестера, подключенные посредством USB-портов. Затем последовательно (в алфавитном порядке, от D: до Z: включительно, игнорируя A:, B: и C:) обходит каждый из таких дисков, проверяет его доступность на запись и количество свободного места, после чего расшифровывает и извлекает на такой СНИ из своего тела каталог "Nokia Music Manager" со всеми соответствующими файлами (см. начало п.2 данного описания) и дроппер-компонент autorun.inf. Далее доступ ко всем этим файлам троянец блокирует, в результате чего указанную папку с ее содержимым и файл autorun.inf невозможно удалить, а при попытке отключить СНИ на экран выдается системное сообщение об ошибке вида


Повторные попытки поиска и инфицирования СНИ троянец производит с интервалом времени, который выбирается случайным образом из диапазона от 40 до 90 секунд.


4. Аферные действия шпионского характера.

В зависимости от своих внутренних счетчиков, связанных со значением текущего времени на системном таймере, троянец может расшифровывать, извлекать из своего тела и записать на диск в создаваемый им подкаталог "Kyivstar GSM" следующие файлы:

\Program Files\Kyivstar GSM\Instruction.htm
\Program Files\Kyivstar GSM\Instruction.files\acaption.jpg
\Program Files\Kyivstar GSM\Instruction.files\amobile_1.jpg
\Program Files\Kyivstar GSM\Instruction.files\amobile_2.jpg
\Program Files\Kyivstar GSM\Instruction.files\amobile_3.jpg
\Program Files\Kyivstar GSM\Instruction.files\index_00.gif
\Program Files\Kyivstar GSM\Instruction.files\index_01.gif
\Program Files\Kyivstar GSM\Instruction.files\index_02.gif
\Program Files\Kyivstar GSM\Instruction.files\index_03.gif
\Program Files\Kyivstar GSM\Instruction.files\index_04.gif
\Program Files\Kyivstar GSM\Instruction.files\index_05.gif
\Program Files\Kyivstar GSM\Instruction.files\index_06.gif
\Program Files\Kyivstar GSM\Instruction.files\index_07.gif
\Program Files\Kyivstar GSM\Instruction.files\index_08.gif
\Program Files\Kyivstar GSM\Instruction.files\index_09.gif
\Program Files\Kyivstar GSM\Instruction.files\index_10.gif
\Program Files\Kyivstar GSM\Instruction.files\intro.mid
\Program Files\Kyivstar GSM\Instruction.files\Kyivstar.ico
\Program Files\Kyivstar GSM\Instruction.files\main.css

Также создается ссылка на файл Instruction.htm в меню "ПУСК":


Для этого в служебных подкаталогах системы "Главное меню" всех пользователей и текущего пользователя создается 2 идентичных ярлыка (имеют размеры по 1593 байта и носят атрибуты "архивный" и "только для чтения"):

\Documents and Settings\All Users\Главное меню\Двойное пополнение счёта Киевстар.lnk

\Documents and Settings\%текущий юзер%\Главное меню\Двойное пополнение счёта Киевстар.lnk

Наведя курсор мышки на данный ярлык в меню "ПУСК", можно увидеть комментарий "Секреты мобильной связи Украины".
Сами по себе все эти файлы не являются вредоносными, но при этом являются составляющими аферного HTML-документа, в котором пользователям мобильных телефонов, работающих на SIM-картах определенных украинских операторов, предлагается "простой" способ пополнения своего счета картами с номиналом 25, 50, 100 и 300 грн. якобы с возможностью его удваивания, благодаря "новенькому секрету двойного пополнения счёта при помощи одной из дыр, найденных в GSM-протоколе". В реальности, "пополнив" свой счет указанным способом, пользователь мобильного телефона собственноручно пересылает сообщение, содержащее код оператора мобильной связи, номинал карточки пополнения и ее секретный код, на один из адресов эл. почты злоумышленников, расположенных на почтовом сервере UKR.NET.


Подкаталогу с файлами и ярлыкам дата и время создания/модификации присваиваются по описанному ранее алгоритму.


5. Прочее.

При запуске из своего подкаталога "Agent" троянец создает здесь же следующий файл размером 1 байт:

\Program Files\Windows Media Player\Agent\license.key

Файлу присваиваются те же параметры, что и пр. файлам данного каталога.
Если у пользователя включено в веб-браузере "по умолчанию" воспроизведение звуков на веб-страницах, то чтение аферного HTML-документа будет сопровождаться музыкальной композицией Роберта Маелса "Children", которая проигрывается из вышеупомянутого файла intro.mid.
В коде ярлыка к HTML-документу присутствует текстовая строка

merlin

, а в файле autorun.inf содержится строка-"копирайт"

// Copyright (c) Nokia XpressMusic Edition. All rights reserved

В коде троянца также присутствует функционал для анализа имени компьютера и некоторых параметров сетевых подключений к Интернету и др. компьютерам локальной сети. При этом непонятно: с какой целью троянец считывает эти данные, если никаких шпионских функций его код не содержит.


6. Детектирование и удаление троянца из машины и с СНИ.

Trojan-Fraud.Nokiman.worm и его компоненты на момент создания данного описания антивирусы уже детектировали под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файлы Playlist.exe и wmplayer.exe: Worm.Win32.AutoRun.dyg (обнаруживает и оригинальный, и распакованный от ASPack-компрессии файл)
вредоносный файл autorun.inf: не обнаруживает

Антивирус DrWeb:
файлы Playlist.exe и wmplayer.exe: Win32.HLLW.Autoruner.2078 (обнаруживает и оригинальный, и распакованный от ASPack-компрессии файл)
вредоносный файл autorun.inf: не обнаруживает

Антивирус BitDefender Professional:
файлы Playlist.exe и wmplayer.exe: Worm.Generic.17789 (обнаруживает только оригинальный файл; распакованный от ASPack-компрессии не детектирует)
вредоносный файл autorun.inf: не обнаруживает

Для удаления троянца из компьютера вручную необходимо воспользоваться сторонним менеджером файлов - например, Total Commnader'ом или Far'ом. При этом предварительно выгружаете из памяти посредством Диспетчера задач вредоносный процесс wmplayer.exe, затем удаляете подкаталог "Agent" со всем его содержимым в папке \Program Files\Windows Media Player\, после чего на СНИ через тот же Far Manager или Total Commander удаляете каталог "Nokia Music Manager" со всем его содержимым, а также вредоносный файл autorun.inf в корне СНИ - в противном случае, при последующих попытках открытия СНИ посредством Проводника или напрямую через меню "Мой компьютер", доступ к данным на диск будет заблокирован системой, а на экран будет выдано сообщение вида


Ключ, созданный троянцем в разделе автозапуска системного реестра, а также аферный HTML-документ, можно не удалять.

С учетом потенциальной опасности, которую несет неконтролируемое считывание системой данных из вредоносных файлов autorun.inf, для пользователей Windows XP была разработана специальная утилита, выгружающая из системной памяти потоки данных, связанные со считыванием и выполнением инструкций из файлов autorun.inf. Утилита была добавлена в спец. набор от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя, поскольку ее работоспособность зависит от некоторых системных условий.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 05.08.2008
Дата внесения последних изменений: 05.08.2008
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00408411026001