VirusHunter предупреждает всех пользователей ПК о распространении новых, опасных модификаций вируса-червя семейства Win32.Worm.GameSpy.crypt (aka Trojan.PWS.OnLineGames, Packed.NSAnti, Worm.AutoRun). Черви воруют пароли к игровым онлайновым сервисам, загружают в компьютер др. вредоносные программы из сети Интернет, а также производят ряд деструктивных действий, приводящих к неработоспособности системы...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

%windir% - каталог, в который установлена ОС Windows.


1. Источники попадания в компьютер.

Пока что известным источником распространения Win32.Worm.GameSpy.crypt.xa-xc, появившихся в начале августа 2008 года, являются инфицированные СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.). Однако не исключено, что он может быть распространен злоумышленниками и в Интернет-сети - наиболее вероятным из возможных путей распространения вируса, на мой взгляд, являются, как обычно, файло-обменные сети, где червь может быть подсунут пользователям как "полезная" программа среди прочего софта. При этом весьма очевидно, что вредоносный файл будет иметь различные названия.


2. Инсталляция в систему.

Червь является многокомпонентной Windows-программой (PE EXE-файлом), написанной на Ассемблере. Основной файл представляет собой "матрешку", которая извлекает из своего тела и записывает на диск остальные компоненты. Код компонентов вируса сжат при помощи утилиты компрессии "UPX" версии 2.03 (включая и Основной файл), а поверх этого зашифрован несколькими мощными крипт-алгоритмами: сначала реализуется внутренний алгоритм шифрования отдельных участков, а поверх этого (и, соответственно, поверх UPX-сжатия) реализован алгоритм криптации с использованием новейшей версии утилиты "EXECryptor", модифицированной под шифрование и PE DLL-файлов (программных библиотек Windows).
В корне инфицированного носителя присутствуют следующие файлы:

Win32.Worm.GameSpy.crypt.xa:
%drivename%\autorun.inf (размер 233 байта)
%drivename%\b3b9u.com (размер 89559 байт)

Win32.Worm.GameSpy.crypt.xb:
%drivename%\autorun.inf (размер 233 байта)
%drivename%\b3b9u.com (размер 89917 байт)

Основной файла червя (b3b9u.com) получает управление либо при обращении к инфицированному диску посредством Проводника и меню "Мой компьютер" (срабатывает файл-дроппер autorun.inf - детальнее о механизме работы данного вредоносного компонента читайте в описании троянской программы Trojan.LittleWorm, aka Win32.Worm.Small), либо в случае двойного щелчка левой клавиши мышки по данному файлу.
Файлы b3b9u.com и autorun.inf носят атрибуты "архивный", "только для чтения", "скрытый" и "системный" ("archive", "read only", "hidden" и "system" соответственно), в результате чего не видны в Проводнике, когда с настройками "по умолчанию" система не показывает скрытые/системные объекты. Дата и время модификации Основного компонента соответствует тому моменту, когда он был создан его автором, а дата и время модификации autorun.inf - реальному времени, когда данный файл был записан вирусом в корень инфицируемого диска.
При подключении СНИ к компьютеру под управлением ОС Windows 2K/XP или выше (работает ли данный принцип под Windows 2K однозначно сказать сложно, а возможности проверить это у меня просто не было) система обычно автоматически открывает содержимое носителя в окне Проводника. В случае с зараженным носителем Windows выдает на экран следующее меню:


Нижеследующее описание поведения вируса соответствует системам Windows 2K/XP; под Windows 98/ME тестового исследования вируса не проводилось, однако, очевиднее всего, что вирус и его компоненты окажутся неработоспособными там, поскольку используют версии системных файлов и функциональные приемы, неприемлемые для этих версий ОС Windows.
При запуске вирус проверяет версию ОС, зараженность системы текущей версией своей программы, название запущенной на выполнение своей копии, а также ее местоположение. Если местоположением текущего файла вируса является корень какого-либо диска, то зловред открывает окно Проводника, в котором показывает содержимое текущего диска. Если же запуск файла был произведен не из корня диска, то никаких окон Проводника червь не открывает.
При отсутствии у запускаемого вредоносного файла атрибутов "скрытый", "системный" и "только для чтения" вирус также производит вышеописанные действия, инсталлирует себя в систему, но при этом свою исходную копию удаляет с диска.
В ходе установки в систему червь копирует свой Основной файл в системный подкаталог под нижеуказанным названием, сохраняя его атрибуты и дату/время модификации:

%windir%\System32\ckvo.exe (размер 89559 или 89917 байт соответственно)

Этой копии вирус передает управление, а исходный вредоносный файл завершает свою работу.
ckvo.exe извлекает из своего тела следующий файл:

%windir%\System32\ckvo%X.dll (размеры по 84992 байта соответственно)

Данный компонент является резидентной программой-червем, который управляет всеми остальными компонентами вируса, а также осуществляет процедуру заражения стационарных дисков и СНИ, ищет и скачивает из сети Интернет новые версии зловредства. В качестве параметра "%X" в имени DLL-файла записывается цифра 0, если машина заражается впервые, или, соответственно, 1, 2, ... (обычно не более, чем число 3), в тех случаях, когда машина заражается повторно (см. подробности далее по тексту). Данному компоненту присваиваются те же атрибуты, что и компоненту ckvo.exe, а дата и время его модификации соответствует реальному моменту записи файла на диск.
Функции поиска и заражения дисков, загрузки из сети Интернет др. вредоносных программ, а также прочий вредоносный функционал содержатся в коде дополнительного компонента - динамической библиотеки с названием antivm.dll, которая "зашита" в тело ckvo%X.dll. Ориентировочный размер файла antivm.dll составляет около 70 кб (в декомпрессированном от UPX-сжатия виде - порядка 95 кб). ckvo%X.dll не извлекает данный компонент на диск, а подгружает его в свое адресное пространство в качестве дочернего процесса.
Также ckvo%X.dll содержит в своем коде в зашифрованном виде еще один компонент - системный драйвер-руткит (rootkit), который также устанавливается в систему. Подробно об этом компоненте будет сказано далее по тексту при описании деструктивных действий вируса.
Т.о., общая схема запуска вируса следующая: создается копия ckvo.exe, которой передается управление. Затем ckvo.exe извлекает из своего тела файл ckvo%X.dll и подгружает данный компонент в адресное пространство системного процесса explorer.exe (интерфейсная оболочка системы), после чего завершает свою работу. В памяти резидентно остается (вплоть до завершения работы ОС) компонент ckvo%X.dll, управляющий всеми процессами вируса.
Изначально название компонента ckvo%X.dll соответствует ckvo0.dll. Однако при каждом обращении пользователя к какому-либо файлу-копии вируса (например, на инфицированном носителе), последний создает новый компонент - ckvo1.dll, перезагружает его в explorer.exe, а ckvo0.dll выгружает (при этом вирус также может случайным образом снять все атрибуты с данного файла). При очередном обращении к копии вируса происходит обратный процесс: ckvo1.dll выгружается, а ckvo0.dll перезаписывается заново (при этом все атрибуты ему снова возвращаются) и внедряется в explorer.exe. Однако в некоторых случаях вместо перезаписи старого ckvo0.dll или ckvo1.dll вирус создает третью копию - ckvo2.dll и передает управление ей; при этом вероятность такого события крайне мала. Также в некоторых случаях вирус удаляет "устаревший" файл amvo%X.dll.
Дабы иметь возможность получать управление при каждом последующем старте ОС, червь создает в стартовых ключах реестра следующее значение:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kamsoft"="%windir%\\system32\\ckvo.exe"


Для того, чтобы сделать недоступным просмотр скрытых/системных файлов на дисках зараженного компьютера через Проводник, вирус изменяет 2 значения параметров в нижеприведенных ветках ключей системного реестра (первая ветка и имя изменяемого в ней параметра не приводятся полностью по соображениям безопасности) с "1" на "0":

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\%\%]
"%"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
"Hidden"=dword:00000000


Изменение первого из приведенных значений приводит к тому, что при попытках пользователя установить "галочку" на параметре "Показывать скрытые файлы и папки" в свойствах просмотра каталогов через Проводник, система автоматически возвращает параметру исходное значение "Не показывать скрытые файлы и папки", а при изменении 2-го и 3-го из указанных значений автоматически скрывает показ скрытых/системных файлов.
Вирус производит ряд контрольных проверок, следя за тем, чтобы в системной памяти присутствовала только одна копия ckvo%X.dll.


3. Инфицирование потоков данных.

После внедрения в системный процесс explorer.exe компонент ckvo%X.dll, используя подгружаемый модуль antivm.dll, устанавливает в память специальный перехватчик обращений к окнам 32-разрядных программ, перехватывает функцию WindowOpen и внедряет свой код в потоки любых активных процессов, окна которых в ходе работы разворачивались на экран. Как результат, ckvo%X.dll может внедрять свой код в любые активные процессы, к окнам которых хотя бы раз шло обращение, включая антивирусы и фаерволлы. В результате этого даже в быстроходном компьютере с мощным процессором и достаточным количеством оперативной памяти может наблюдаться торможение, а в некоторых случаях и завешивание отдельных программ. Кроме того, вирус содержит ошибку, в результате которой может вызывать сбой процесса explorer.exe, сопровождающийся показом стандартного системного сообщения об ошибке в данном приложении:


В принципе, при обычном системном сбое данного компонента ничего криминального не происходит, поскольку Windows перезапускает данный процесс заново и никаких негативных последствий, кроме, как возможного пропадания в трее некоторых иконок запущенных программ, нет (многие разработчики допускают ошибки, в результате которых их программа, оставаясь полностью работоспособной в памяти компьютера, после вышеуказанного сбоя не пропечатывает повторно свою иконку в трее, что легко можно восстановить, выгрузив такую программу из памяти и запустив ее заново). Однако ckvo%X.dll при данном сбое аварийно завершает свою работу и "падает" не только в explorer.exe, но и во всех активных процессах, потоки которых были инфицированы. Как результат, до перезагрузки компьютера работа системы может стать нестабильной: например, несмотря на полную работоспособность функции переключения раскладки языков при работе с документами, иконка идентификации языка в трее упрямо показывает язык ввода, установленный "по умолчанию", не желая показывать реально выставленный текущий язык ввода символов с клавиатуры. Также до перезагрузки компьютера может наблюдаться неработоспособность Интернет-коннекта (машина подключается к сети, но не может ничего загрузить/скачать).
Для идентификации в памяти своего дочернего процесса antivm.dll, вирус создает в системе уникальную метку-идентификатор

KAV_Gout

4. Размножение вируса.

С интервалом в 26 секунд червь сканирует локальные и сетевые диски компьютера, а также подключенные к нему СНИ, записывая на них копии своих файлов b3b9u.com и autorun.inf. Сканирование и последующее заражение дисков производится от C: до Z: включительно (диски с именами A: и B: игнорируются), при условии, что они открыты для записи данных. При повторном заражении дисков вирус перезаписывает свои файлы-копии и компонент autorun.inf заново.
Файл autorun.inf расшифровывается и извлекается компонентом ckvo%X.dll из своего тела, при этом ему присваиваются те же атрибуты, что и прочим компонентам вируса, а дата и время модификации файла соответствуют реальному времени его (пере-)записи на диске. В качестве копии-"образца" для заражения носителей вирус использует файл ckvo.exe. При этом червь содержит серьезный недочет, который, как и у более ранних модификаций червя, был использован мной при разработке утилиты для лечения компьютера: ckvo%X.dll не проверяет содержимое файла ckvo.exe и копирует его на заражаемые диски в том виде, в котором он есть. Более того, если удалить из системы данный файл, то вирус перестанет создавать заново в корнях дисков копии своей программы, продолжая записывать на них лишь компонент autorun.inf, а уже существующие там свои копии удалит.


5. Вредоносные действия во время работы в сети Интернет.

Этот раздел практически полностью идентичен приведенному в описании вариантов Win32.Worm.GameSpy.crypt.a,b,...,hf.


6. Rootkit-компонент и деструктивные действия.

При запуске ckvo.exe должен бы был расшифровать процедуру, которая проверяет наличие активного процесса RavMon.exe (монитор некого антивируса). Если таковой найден, то вирус должен был бы попытаться определить координаты положения программного окна последнего с заголовком "Alert Dialog" и симулировать в нем нажатия на определенные кнопки, связанные с подтверждением разрешения на запуск вредоносного файла и его выхода в сеть Интернет. Кроме, того должна была бы производиться проверка названий активных процессов и, в случае обнаружения нижеследующих, осуществляться их принудительное завершение:

Nod32Kui.exe
FilMsg.exe
Twister.exe


Однако по причине некой ошибки управление на данную процедуру не передается.
В рассматриваемые варианты червя были добавлены несколько новых процедур деструктивного характера, связанных с попытками выведения из рабочего состояния антивирусных программ Лаборатории Касперского (далее по тексту - просто "ЛК"). Первая процедура стартует сразу же после запуска любой копии вируса и заключается в обнаружении и удалении с диска следующего программного драйвера:

%windir%\System32\drivers\klif.sys

Этот файл является составным компонентом всех программных продуктов ЛК, в которые включены функции антивируса. Он (компонент) отвечает за корректное распределение ресурсов памяти, потребляемой антивирусным сканером и монитором, анализ загрузочных секторов и файловой системы на дисках компьютера, корректную распаковку в память навесной защиты в исследуемых программных файлах и т.д. Во все продукты ЛК, начиная с линейки 6-х версий, встроена функция самозащиты программы, которая заключается в закрытии доступа к компонентам антивируса и связанных с ним записям в системном реестре, дабы не дать вредоносным программам удалить/заразить/модифицировать компоненты защиты и связанные с ними ветки ключей реестра ОС. В результате, червь может осуществить данную деструкцию только в том случае, если в компьютере установлена более ранняя версия Антивируса Касперского (например, Kaspersky Anti-Virus Personal 5.0), не содержащая функционала самозащиты, или же, если современную версию антивируса устанавливал дилетант, который не удосужился включить в настройках программы функцию "Включить самозащиту". В любой из этих ситуаций вирус сможет удалить вышеуказанный файл, а спустя довольно короткое время, и записать на его место под тем же названием извлекаемый из своего тела руткит-компонент (SYS-драйвер Windows, который предполагает использование с целью сокрытия вредоносных процедур в памяти, а также сокрытия паразитного Интернет-трафика во время работы в сети).
Вредоносный klif.sys имеет размер 13717 байт (это его оригинальное значение). После записи вирус сразу загружает этот драйвер на выполнение, после чего руткит остается активным в памяти компьютера вплоть до завершения работы системы.
Если в компьютере был установлен незащищенный Антивирус Касперского, то после записи на диск компонент klif.sys предусматривает получение управления при каждой последующей загрузке ОС за счет соответствующего сервиса Антивируса Касперского, предполагающего запуск своего оригинального klif.sys на выполнение:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klif]
"Type"=dword:00000001
"Start"="1"
"ErrorControl"=dword:00000001
"ImagePath"="\\??\\%windir%\\system32\\drivers\\klif.sys"
"DisplayName"="Klif"
"Description"="Klif"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klif\Enum]
"0"="Root\\LEGACY_KLIF\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klif\Security]
"Security"=[значение в HEX-кодировке]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\klif]
"Description"="Klif"
"DisplayName"="Klif"
"ErrorControl"=dword:00000001
"ImagePath"="\\??\\%windir%\\system32\\drivers\\klif.sys"
"Start"="1"
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\klif\Enum]
"0"="Root\\LEGACY_KLIF\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\klif\Security]
"Security"=[значение в HEX-кодировке]


Однако, из-за наличия в коде руткита некой серьезной ошибки, последний нередко может давать сбой, приводящий к нестабильности в работе ядра ОС Windows с последующей потерей всех несохраненных поточных данных и появлению "синего экрана смерти" с технической информацией об ошибке следующего вида:


Вследствие еще одной серьезной ошибки руткит, получив управление во время старта системы, становится причиной критического сбоя в системном ядре, который сопровождается "синим экраном смерти" со следующей технической информацией об ошибке (нижеприведенные данные всегда одни и те же):


Однако, если в компьютере не установлен соответствующий антивирусный продукт ЛК, или установлен и при этом у него включена самозащита, то вирус меняет тактику установки руткит-компонента: записывает код последнего вместо оригинального содержимого системного драйвера

%windir%\System32\drivers\tdi.sys

Данный драйвер является весьма важным компонентом ОС Windows: он используется программами и, собственно, системой при инициализации свободных областей памяти, распределения оперативных ресурсов между приложениями и т.п. При его перезаписи вирус считывает размер исходного файла (для ОС Windows XP, в зависимости от установленных пакетов обновлений, размер последнего составляет примерно 18-19 кб), запоминает этот размер, а также дату и время модификации файла, и перезаписывает драйвер телом руткита, размер которого, как Вы помните, 13717 байт. Затем, чтобы размеры исходного и перезаписанного файлов совпадали, вирус удлиняет последнюю секцию кода руткита, дописывая к ней нулевые байты (т.е. байты, у которых сигнатура кода соответствует в ASCII-представлении "00"), тем самым подгоняя размер "инфицированного" драйвера к оригинальному значению, после чего запоминает этот файл с первоначальными значениями времени и даты его модификации. При этом вирус специальным образом не дает системе проверить новое содержимое драйвера, в результате чего системная служба защиты файлов от перезаписи, ориентируясь только на соответствие размера и дату/время модификации измененного файла, воспринимает его, как оригинальный, и более не пытается перезаписать резервной копией подлинного файла.
Т.о., вирус подгружает по мере необходимости свой руткит в память, а для корректной работы ОС перенаправляет обращения с инфицированного драйвера tdi.sys в указанной папке на его резервную копию, расположенную в системе как

%windir%\System32\dllcache\tdi.sys

Однако такой способ эффективен только в случае "легкой" работы компьютера, когда пользователь работает, например, только с каким-нибудь одним документом MS Word. В противном случае, вирус, естественно, не справляется с потоковой переадресацией запросов с "зараженного" tdi.sys на "чистый" tdi.sys, что приводит к подвешиванию системы со следующими характерными симптомами: при попытке открыть любую программу (ниже приведен пример с Total Commander'ом) на экран выдается системное сообщение об ошибке, связанной с нехваткой оперативной памяти для запуса программы:


После этого пользователю остается лишь попытаться перезагрузить компьютер.
Вирус регистрирует свой руткит как системный сервис с названием KAVsys, для чего создает в ключах реестра соответствующие подразделы со следующими записями:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\Security\]
"Security"=[значение, записанное в HEX-кодировке]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"="\\??\\%windir%\\system32\\drivers\\tdi.sys"
"DisplayName"="AVPsys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\Enum\]
"Count"=dword:00000000
"NextInstance"=dword:00000000
"INITSTARTFAILED"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys\Security\]
"Security"=[значение, записанное в HEX-кодировке]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys\]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"="\\??\\%windir%\\system32\\drivers\\tdi.sys"
"DisplayName"="AVPsys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys\Enum\]
"Count"=dword:00000000
"NextInstance"=dword:00000000
"INITSTARTFAILED"=dword:00000001


Если в момент запуска какой-либо копии вируса в системе присутствует активный процесс с названием

avp.exe

, соответствующий названию основного компонента Антивируса Касперского, то вирус пытается удалить файл klif.sys, после чего сразу же перезаписывает вышеуказанным способом системный драйвер tdi.sys, пытаясь таким образом нарушить (?) работу Антивируса Касперского. Однако, в результате этого происходит глобальный системный сбой и показ "синего экрана смерти" с сообщением технических деталей ошибки следующего вида:


После этого пользователю остается только перезагрузить компьютер. При этом, как Вы понимаете, новый запуск будет сопровождаться (сразу или через довольно короткий промежуток времени) сообщениями о нехватке памяти, поскольку файл tdi.sys по-прежнему содержит код вирусного руткита...
Но при всем при этом, пользователь может довольно длительное время и не столкнуться с вышеописанной проблемой, поскольку нередко червь вообще "забывает" о том, что должен установить в систему руткит.
Кроме всего вышеописанного, вирус также производит и еще одну деструкцию в отношении Антивируса Касперского: если в компьютере установлена программа Kaspersky Internet Security 7 или Kaspersky Anti-Virus 7 (именно 7-й версии), то вирус ищет в ключах реестра ветку

[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater]

, в которой меняет значение одного из параметров (название последнего не приводится по соображениям безопасности) с "1" на "0". Поскольку данная ветка и изменяемое в ней значение являются частью внутреннего сервиса программы, связанного с автоматическим и ручным обновлением антивирусной базы и программных модулей антивируса, то данное изменение приводит к блокировке автоматического обновления через сеть Интернет (процесса обновления "по таймеру"), а также к игнорированию программой нажатия пользователем опции "Обновить базы". При этом, опять же, данная процедура может быть произведена вирусом только в том случае, если у Антивируса Касперского не включены функции самозащиты.


7. Прочее.

О чем думал автор вируса, запустив в "дикую природу" свое детище со столь глючным руткит-компонентом, который приводит к глобальному сбою ОС и (главное!) невозможности корректной работы самого вируса, непонятно. Однако, судя по "подчерку" написания, данный вариант червя является неавторской переделкой. Очевиднее всего, он (автор) выложил исходники программы червя и его компонентов на каком-то сайте, после чего они стали достоянием др. вирусописателей, которые и произвели данное модифицирование, ставшее в итоге описываемыми червями Win32.Worm.GameSpy.crypt.xa,xb.
Код руткит-драйвера зашифрован внутренним крипт-алгоритмом. При этом в его теле присутствуют строки, оставшиеся после компиляции файла на авторской ("ново"авторской - ?) машине (приведены в оригинальном виде):

objfre\i386\frm9.sys
D:\system32\syssd5\їЁ°НЛ№>щ09°ж\objfre\i386\frm9.pdb

objfre\i386\frd8.sys
D:\system32\syssasd5\їЁ°НЛ№>щ2009°ж\objfre\i386\frd8.pdb



8. Детектирование и удаление вируса из машины и с СНИ.

Антивирусы детектируют компоненты вируса под следующими номенклатурными названиями:


Win32.Worm.GameSpy.crypt.xa:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: Trojan-GameThief.Win32.OnLineGames.sqnb
файл ckvo.exe, b3b9u.com: Trojan-GameThief.Win32.Magania.zjt
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan-GameThief.Win32.OnLineGames.sqid
руткит klif.sys, tdi.sys: Trojan.Win32.Agent.ysi
внутренний компонент antivm.dll: Trojan-GameThief.Win32.Magania.afpr

Антивирус DrWeb:
файл autorun.inf: не обнаруживает
файл ckvo.exe, b3b9u.com: Trojan.Nsanti.Packed
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan.Nsanti.Packed
руткит klif.sys, tdi.sys: Trojan.NtRootKit.1421
внутренний компонент antivm.dll: Trojan.PWS.Wsgame.6631

Антивирус BitDefender Professional:
файл autorun.inf: Trojan.AutorunINF.Gen
файл ckvo.exe, b3b9u.com: Trojan.PWS.OnlineGames.ZNV
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Packer.Malware.NSAnti.1
руткит klif.sys, tdi.sys: Trojan.PWS.OnlineGames.ZPP
внутренний компонент antivm.dll: Trojan.PWS.OnLineGames.ZMM


Win32.Worm.GameSpy.crypt.xb:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: Trojan-GameThief.Win32.OnLineGames.sqnb
файл ckvo.exe, b3b9u.com: Trojan-GameThief.Win32.OnLineGames.sqnb
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Worm.Win32.AutoRun.lox
руткит klif.sys, tdi.sys: Trojan.Win32.Agent.zaf
внутренний компонент antivm.dll: Trojan-GameThief.Win32.Magania.afpr

Антивирус DrWeb:
файл autorun.inf: не обнаруживает
файл ckvo.exe, b3b9u.com: Trojan.Nsanti.Packed
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan.Nsanti.Packed
руткит klif.sys, tdi.sys: Trojan.Siggen.57934
внутренний компонент antivm.dll: Trojan.PWS.Wsgame.6631

Антивирус BitDefender Professional:
файл autorun.inf: Trojan.AutorunINF.Gen
файл ckvo.exe, b3b9u.com: Trojan.PWS.OnlineGames.ZPI
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan.PWS.OnlineGames.ZPI
руткит klif.sys, tdi.sys: Rootkit.Vanti.O
внутренний компонент antivm.dll: Trojan.PWS.OnLineGames.ZMM


Все файлы, которые установленный в Вашем компьютере антивирус инициализирует под любым из вышеприведенных номенклатурных названий, необходимо просто удалить.
С учетом серьезной опасности и плачевных последствий в результате деятельности червя, для пользователей Windows XP была создана специальная утилита, удаляющая вирус и его компоненты из компьютера (включая и руткит-драйвер), а также восстанавливающая поврежденные вирусом записи в ключах реестра.
Итак, пользователи Windows XP могут пролечить свои компьютеры следующим образом:

1. Скачать с нашего сайта архив с утилитами от VirusHunter'а, который находится здесь;

2. Отключить компьютер от сети Интернет, распаковать содержимое архива и запустить утилиту №13 (важно: перед использованием утилиты настоятельно рекомендуется отключить проактивную антивирусную защиту, дабы избежать негативных казусов и ошибок лечения). В ходе процедуры лечения утилита осуществит следующие действия:

 - удалит вредоносный файл ckvo.exe, а затем в течении 40 секунд (время одинаково для любых компьютеров независимо от их быстродействия и количества информации на жестком диске) и все копии вируса в корнях логических, сетевых и съемных дисков, подключенных к компьютеру;
 - выгрузит из памяти путем перезагрузки Explorer Shell и удалит вредоносные файлы ckvo%X.dll;
 - удалит ссылку реестра на вредоносный файл ckvo.exe, а также восстановит все измененные/заблокированные вирусом системные настройки, связанные с просмотром скрытых/системных файлов в Проводнике, а также с функционалом антивирусных продуктов ЛК;
 - удалит из системы записи вредоносного сервиса AVPsys;
 - удалит вредоносный файл C:\autorun.inf;
 - в случае невозможности удалить активный руткит под Windows, утилита отключит связи системы с вредоносными файлами klif.sys и tdi.sys, затем установит специальный компонент для перехвата и удаления руткита во время загрузки системы и перезапустит компьютер.

При этом в процедуру очистки не были включены файлы autorun.inf, расположенные в корнях дисков, отличных от C:.
Поскольку основной функционал утилиты построен на использовании двух вышеуказанных ошибок, содержащихся в коде вируса, то процесс лечения возможен лишь при запуске утилиты под зараженной системой и при наличии активной копии вируса в памяти;

3. Запустить утилиту №6 из набора VirusHunter'а для блокировки чтения системой вредоносных файлов autorun.inf (если в дальнейшем Вы не хотите более использовать данную утилиту, то запустите ее еще раз - инсталлированная в систему функция блокировки чтения данных из autorun.inf будет удалена; для текущего сеанса работы в Windows функция блокировки останется в силе);

4. Удалить из корней всех дисков, отличных от C:, оставшиеся после вируса файлы-компоненты autorun.inf, т.к. в противном случае ни через меню "Мой компьютер", ни посредством Проводника доступ к данным на таких дисках получить в дальнейшем не удастся (кроме, как через командную строку или сторонний файловый менеджер типа Total Commander или Far Manager), а на экране будет выведено меню следующего вида:


5. Если после лечения, произведенного утилитой без перезагрузки компьютера, наблюдается нестабильность в работе ОС, то это можно легко исправить, просто перезагрузив компьютер.

Пользователи антивирусных продуктов ЛК, у которых в компьютере был удален вирусом оригинальный файл klif.sys, могут восстановить его из резервной копии, хранимой в одном из подкаталогов папок, в которые были установлены компоненты защитного продукта ЛК. Самый простой способ найти резервный klif.sys - через системный сервис "Поиск файлов и папок".

Также утилита №13 предусматривает исправление повреждений реестра и обнаружение/удаление руткита в тех случаях, когда вирус и его компоненты были уничтожены каким-либо антивирусом, не обнаружившим руткит-драйвер. А на тот случай, когда система оказалась полностью неработоспособной вследствие активности руткита, была разработана дополнительная утилита №14, при помощи которой пользователи Windows XP, загрузив систему в Безопасном режиме, смогут удалить руткит и восстановить работоспособность системного драйвера tdi.sys, после чего систему нужно загрузить в обычном режиме и полностью пролечить/исправить при помощи утилиты №13.
Дополнительную информацию касательно работы утилит №13,14 можно прочитать в прилагаемом к набору от VirusHunter'а руководстве пользователя.

Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Win32.Worm.GameSpy.93,95,a-hg
Win32.Worm.GameSpy.ya-yc
Win32.Worm.GameSpy.za


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 21.08.2008
Дата внесения последних изменений: 19.02.2010
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00181794166565