VirusHunter предупреждает всех пользователей ПК о распространении сразу нескольких новых, очень опасных модификаций вируса-червя семейства Win32.Worm.GameSpy.crypt (aka Trojan.PWS.OnLineGames, Magania, Packed.NSAnti, Worm.AutoRun). Черви воруют пароли к игровым онлайновым сервисам, загружают в компьютер др. вредоносные программы из сети Интернет, а также производят ряд деструктивных действий, приводящих к неработоспособности защитного ПО...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

%windir% - каталог, в который установлена ОС Windows.


1. Источники попадания в компьютер.

Пока что известным источником распространения Win32.Worm.GameSpy.crypt.ya-yc, появившихся в середине октября 2008 года, являются инфицированные СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.). Однако не исключено, что они могут быть распространены злоумышленниками и в Интернет-сети - наиболее вероятным из возможных путей распространения вируса, на мой взгляд, являются, как обычно, файло-обменные сети, где червь может быть подсунут пользователям как "полезная" программа среди прочего софта. При этом весьма очевидно, что вредоносный файл будет иметь различные названия.


2. Инсталляция в систему.

Каждая модификация червя является многокомпонентной Windows-программой (PE EXE-файлом), написанной на Ассемблере. Основной файл представляет собой "матрешку", которая извлекает из своего тела и записывает на диск остальные компоненты. Код компонентов вируса сжат при помощи утилиты компрессии "UPX" версии 2.03 (включая и Основной файл), а поверх этого зашифрован несколькими мощными крипт-алгоритмами: сначала реализуется внутренний алгоритм шифрования отдельных участков, а поверх этого (и, соответственно, поверх UPX-сжатия) применен алгоритм криптации с использованием новейшей версии утилиты "EXECryptor", модифицированной под шифрование и PE DLL-файлов (программных библиотек Windows).
В корне инфицированного носителя присутствуют следующие файлы (ниже приведены точные названия и размеры Основного и вспомогательного вредоносных файлов для каждой модификации вируса):

Win32.Worm.GameSpy.crypt.ya:
%drivename%\autorun.inf (размер 453 байта)
%drivename%\9.cmd (размер 105111 байт)

Win32.Worm.GameSpy.crypt.yb:
%drivename%\autorun.inf (размер 626 байт)
%drivename%\2fiji.com (размер 105115 байт)

Win32.Worm.GameSpy.crypt.yc:
%drivename%\autorun.inf (размер 404 байта)
%drivename%\xlk9.com (размер 104123 байта)

Основной файла червя получает управление либо при обращении к инфицированному диску посредством Проводника и меню "Мой компьютер" (срабатывает файл-дроппер autorun.inf - детальнее о механизме работы данного вредоносного компонента читайте в описании троянской программы Trojan.LittleWorm, aka Win32.Worm.Small), либо в случае двойного щелчка левой клавиши мышки по данному файлу.
Основной и вспомогательный (autorun.inf) файлы червя носят атрибуты "архивный", "только для чтения", "скрытый" и "системный" ("archive", "read only", "hidden" и "system" соответственно), в результате чего не видны в Проводнике, когда с настройками "по умолчанию" система не показывает скрытые/системные объекты. Дата и время модификации Основного компонента соответствует тому моменту, когда он был создан его автором, а дата и время модификации autorun.inf - реальному времени, когда данный файл был записан вирусом в корень инфицируемого диска.
При подключении СНИ к компьютеру под управлением ОС Windows 2K/XP или выше (работает ли данный принцип под Windows 2K однозначно сказать сложно, а возможности проверить это у меня просто не было) система обычно автоматически открывает содержимое носителя в окне Проводника. В случае с зараженным носителем Windows выдает на экран следующее меню:


Нижеследующее описание поведения вируса соответствует системам Windows 2K/XP; под Windows 98/ME тестового исследования вируса не проводилось, однако, очевиднее всего, что вирус и его компоненты окажутся неработоспособными там, поскольку используют версии системных файлов и функциональные приемы, неприемлемые для этих версий ОС Windows.
При запуске вирус проверяет версию ОС, зараженность системы текущей версией своей программы, название запущенной на выполнение своей копии, а также ее местоположение. Если местоположение текущего файла вируса является корень какого-либо диска, то зловред открывает окно Проводника, в котором показывает содержимое текущего диска. Если же запуск файла был произведен не из корня диска, то никаких окон Проводника червь не открывает.
При отсутствии у запускаемого вредоносного файла атрибутов "скрытый", "системный" и "только для чтения" вирус также производит вышеописанные действия, инсталлирует себя в систему, но при этом свою исходную копию удаляет с диска.
В ходе установки в систему червь копирует свой Основной файл в системный подкаталог под нижеуказанным названием, сохраняя его атрибуты и дату/время модификации:

%windir%\System32\ckvo.exe

Этой копии вирус передает управление, а исходный вредоносный файл завершает свою работу.
ckvo.exe извлекает из своего тела следующий файл:

%windir%\System32\ckvo%X.dll

Несмотря на некоторые различия кода, размер данного компонента у каждой модификации вируса составляет 85504 байта. Он является резидентной программой-червем, который управляет всеми остальными компонентами вируса, а также осуществляет процедуру заражения стационарных дисков и СНИ, ищет и скачивает из сети Интернет новые версии зловредства. В качестве параметра "%X" в имени DLL-файла записывается цифра 0, если машина заражается впервые, или, соответственно, 1, 2, ... (обычно не более, чем число 3), в тех случаях, когда машина заражается повторно (см. подробности далее по тексту). Данному компоненту присваиваются те же атрибуты, что и компоненту ckvo.exe, а дата и время его модификации соответствует реальному моменту записи файла на диск.
Функции поиска и заражения дисков, загрузки из сети Интернет др. вредоносных программ, а также прочий вредоносный функционал содержатся в коде дополнительного компонента - динамической библиотеки с названием antivm.dll, которая "зашита" в тело ckvo%X.dll. Ориентировочный размер файла antivm.dll составляет около 70 кб (в декомпрессированном от UPX-сжатия виде - порядка 95 кб). ckvo%X.dll не извлекает данный компонент на диск, а подгружает его в свое адресное пространство в качестве дочернего процесса.
Также ckvo%X.dll содержит в своем коде в зашифрованном виде еще один компонент - системный драйвер-руткит (rootkit), который также устанавливается в систему. Подробно об этом компоненте будет сказано далее по тексту при описании деструктивных действий вируса.
Т.о., общая схема запуска вируса следующая: создается копия ckvo.exe, которой передается управление. Затем ckvo.exe извлекает из своего тела файл ckvo%X.dll и подгружает данный компонент в адресное пространство системного процесса explorer.exe (интерфейсная оболочка системы), после чего завершает свою работу. В памяти резидентно остается (вплоть до завершения работы ОС) компонент ckvo%X.dll, управляющий всеми процессами вируса.
Изначально название компонента ckvo%X.dll соответствует ckvo0.dll. Однако при каждом обращении пользователя к какому-либо файлу-копии вируса (например, на инфицированном носителе), последний создает новый компонент - ckvo1.dll, перезагружает его в explorer.exe, а ckvo0.dll выгружает (при этом вирус также может случайным образом снять все атрибуты с данного файла). При очередном обращении к копии вируса происходит обратный процесс: ckvo1.dll выгружается, а ckvo0.dll перезаписывается заново (при этом все атрибуты ему снова возвращаются) и внедряется в explorer.exe. Однако в некоторых случаях вместо перезаписи старого ckvo0.dll или ckvo1.dll вирус создает третью копию - ckvo2.dll и передает управление ей; при этом вероятность такого события крайне мала. Также в некоторых случаях вирус удаляет "устаревший" файл amvo%X.dll.
Дабы иметь возможность получать управление при каждом последующем старте ОС, червь создает в стартовых ключах реестра следующее значение:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kamsoft"="%windir%\\system32\\ckvo.exe"


Для того, чтобы сделать недоступным просмотр скрытых/системных файлов на дисках зараженного компьютера через Проводник, вирус изменяет 2 значения параметров в нижеприведенных ветках ключей системного реестра (первая ветка и имя изменяемого в ней параметра не приводятся полностью по соображениям безопасности) с "1" на "0":

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\%\%]
"%"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
"Hidden"=dword:00000000


Изменение первого из приведенных значений приводит к тому, что при попытках пользователя установить "галочку" на параметре "Показывать скрытые файлы и папки" в свойствах просмотра каталогов через Проводник, система автоматически возвращает параметру исходное значение "Не показывать скрытые файлы и папки", а при изменении 2-го и 3-го из указанных значений автоматически скрывает показ скрытых/системных файлов.
Вирус производит ряд контрольных проверок, следя за тем, чтобы в системной памяти присутствовала только одна копия ckvo%X.dll.


3. Инфицирование потоков данных.

После внедрения в системный процесс explorer.exe компонент ckvo%X.dll, используя подгружаемый модуль antivm.dll, устанавливает в память специальный перехватчик обращений к окнам 32-разрядных программ, перехватывает функцию WindowOpen и внедряет свой код в потоки любых активных процессов, окна которых в ходе работы разворачивались на экран. Как результат, ckvo%X.dll может внедрять свой код в любые активные процессы, к окнам которых хотя бы раз шло обращение, включая антивирусы и фаерволлы. В результате этого даже в быстроходном компьютере с мощным процессором и достаточным количеством оперативной памяти может наблюдаться торможение, а в некоторых случаях и завешивание отдельных программ. Кроме того, вирус содержит ошибку, в результате которой может вызывать сбой процесса explorer.exe, сопровождающийся показом стандартного системного сообщения об ошибке в данном приложении:


В принципе, при обычном системном сбое данного компонента ничего криминального не происходит, поскольку Windows перезапускает данный процесс заново и никаких негативных последствий, кроме, как возможного пропадания в трее некоторых иконок запущенных программ, нет (многие разработчики допускают ошибки, в результате которых их программа, оставаясь полностью работоспособной в памяти компьютера, после вышеуказанного сбоя не пропечатывает повторно свою иконку в трее, что легко можно восстановить, выгрузив такую программу из памяти и запустив ее заново). Однако ckvo%X.dll при данном сбое аварийно завершает свою работу и "падает" не только в explorer.exe, но и во всех активных процессах, потоки которых были инфицированы. Как результат, до перезагрузки компьютера работа системы может стать нестабильной: например, несмотря на полную работоспособность функции переключения раскладки языков при работе с документами, иконка идентификации языка в трее упрямо показывает язык ввода, установленный "по умолчанию", не желая показывать реально выставленный текущий язык ввода символов с клавиатуры. Также до перезагрузки компьютера может наблюдаться неработоспособность Интернет-коннекта (машина подключается к сети, но не может ничего загрузить/скачать).
Для идентификации в памяти своего дочернего процесса antivm.dll, вирус создает в системе уникальную метку-идентификатор

KAV_Gout

4. Размножение вируса.

С интервалом в 24 секунды червь сканирует локальные и сетевые диски компьютера, а также подключенные к нему СНИ, записывая на них копии своего Основного и вспомогательного файлов. Сканирование и последующее заражение дисков производится от C: до Z: включительно (диски с именами A: и B: игнорируются), при условии, что они открыты для записи данных. При повторном заражении дисков вирус перезаписывает свои файлы-копии и компонент autorun.inf заново.
Файл autorun.inf расшифровывается и извлекается компонентом ckvo%X.dll из своего тела, при этом ему присваиваются те же атрибуты, что и прочим компонентам вируса, а дата и время модификации файла соответствуют реальному времени его (пере-)записи на диске. В качестве копии-"образца" для заражения носителей вирус использует файл ckvo.exe. При этом вирус содержит серьезный недочет, который, как и у более ранних модификаций червя, был использован мной при разработке утилиты для лечения компьютера: ckvo%X.dll не проверяет содержимое файла ckvo.exe и копирует его на заражаемые диски в том виде, в котором он есть. Более того, если удалить из системы данный файл, то вирус перестанет создавать заново в корнях дисков копии своей программы, продолжая записывать на них лишь компонент autorun.inf, а уже существующие там свои копии удалит.


5. Вредоносные действия во время работы в сети Интернет.

Этот раздел практически полностью идентичен приведенному в описании вариантов Win32.Worm.GameSpy.crypt.a,b,...,hf.


6. Rootkit-компонент и деструктивные действия.

При запуске ckvo.exe должен бы был расшифровать процедуру, которая проверяет наличие активного процесса RavMon.exe (монитор некого антивируса). Если таковой найден, то вирус должен был бы попытаться определить координаты положения программного окна последнего с заголовком "Alert Dialog" и симулировать в нем нажатия на определенные кнопки, связанные с подтверждением разрешения на запуск вредоносного файла и его выхода в сеть Интернет. Кроме, того должна была бы производиться проверка названий активных процессов и, в случае обнаружения нижеследующих, осуществляться их принудительное завершение:

Nod32Kui.exe
FilMsg.exe
Twister.exe


Однако по причине некой ошибки управление на данную процедуру не передается.
В данный вариант червя были добавлены несколько новых процедур деструктивного характера, связанных с попытками выведения из рабочего состояния антивирусных программ Лаборатории Касперского (далее по тексту - просто "ЛК") и некоторых др. производителей. Первая процедура стартует сразу же после запуска любой копии вируса и заключается в обнаружении и удалении с диска следующего программного драйвера:

%windir%\System32\drivers\klif.sys

Этот файл является составным компонентом всех программных продуктов ЛК, в которые включены функции антивируса. Он (компонент) отвечает за корректное распределение ресурсов памяти, потребляемой антивирусным сканером и монитором, анализ загрузочных секторов и файловой системы на дисках компьютера, корректную распаковку в память навесной защиты в исследуемых программных файлах и т.д. Во все продукты ЛК, начиная с линейки 6-х версий, встроена функция самозащиты программы, которая заключается в закрытии доступа к компонентам антивируса и связанных с ним записям в системном реестре, дабы не дать вредоносным программам удалить/заразить/модифицировать компоненты защиты и связанные с ними ветки ключей реестра ОС. В результате, червь может осуществить данную деструкцию только в том случае, если в компьютере установлена более ранняя версия Антивируса Касперского (например, Kaspersky Anti-Virus Personal 5.0), не содержащая функционала самозащиты, или же, если современную версию антивируса устанавливал дилетант, который не удосужился включить в настройках программы функцию "Включить самозащиту". В любой из этих ситуаций вирус сможет удалить вышеуказанный файл.
Также вирус пытается установить в систему свой руткит-компонент. Для этого он записывает код последнего вместо оригинального содержимого программного драйвера

%windir%\System32\drivers\cdaudio.sys

Данный драйвер является компонентом ОС Windows и используется для воспроизведения звука при проигрывании музыки с CD-диска. При его перезаписи вирус считывает размер исходного файла (для ОС Windows XP, в зависимости от установленных пакетов обновлений, размер последнего составляет примерно 18 кб), запоминает этот размер, а также дату и время модификации файла, и перезаписывает драйвер телом руткита, оригинальный размер которого составляет чуть более 4 кб. Затем, чтобы размеры исходного и перезаписанного файлов совпадали, вирус удлиняет последнюю секцию кода руткита, дописывая к ней нулевые байты (т.е. байты, у которых сигнатура кода соответствует в ASCII-представлении "00"), тем самым подгоняя размер "инфицированного" драйвера к оригинальному значению, после чего запоминает этот файл с первоначальными значениями времени и даты его модификации. При этом вирус специальным образом не дает системе проверить новое содержимое драйвера, в результате чего системная служба защиты файлов от перезаписи, ориентируясь только на соответствие размера и дату/время модификации измененного файла, воспринимает его, как оригинальный, и более не пытается перезаписать резервной копией подлинного файла.
Т.о., вирус подгружает свой руткит в память, а для корректной работы ОС перенаправляет обращения с инфицированного драйвера cdaudio.sys в указанной папке на его резервную копию, расположенную в системе как

%windir%\System32\dllcache\cdaudio.sys

Однако в процедуре установке руткита содержится ошибка, в результате которой вирус с большой вероятностью удалит оригинальный файл и не перезапишет его своей копией. При этом системная служба защиты файлов Windows просто-напросто восстановит стертый файл из резервной копии без каких-либо побочных эффектов.
Руткит используется вирусом для сокрытия своих вредоносных действий во время работы в сети Интернет. При этом руткит регистрируется червем как системный сервис с названием KAVsys, для чего создает в ключах реестра соответствующие подразделы со следующими записями:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\Security\]
"Security"=[значение, записанное в HEX-кодировке]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"="\\??\\%windir%\\system32\\drivers\\cdaudio.sys"
"DisplayName"="AVPsys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\Enum\]
"Count"=dword:00000000
"NextInstance"=dword:00000000
"INITSTARTFAILED"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys\Security\]
"Security"=[значение, записанное в HEX-кодировке]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys\]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"="\\??\\%windir%\\system32\\drivers\\cdaudio.sys"
"DisplayName"="AVPsys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AVPsys\Enum\]
"Count"=dword:00000000
"NextInstance"=dword:00000000
"INITSTARTFAILED"=dword:00000001


Кроме всего вышеописанного, вирус также производит и еще одну деструкцию в отношении Антивируса Касперского: если в компьютере установлена программа Kaspersky Internet Security 7 или Kaspersky Anti-Virus 7 (именно 7-й версии), то вирус ищет в ключах реестра ветку

[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater]

, в которой меняет значение одного из параметров (название последнего не приводится по соображениям безопасности) с "1" на "0". Поскольку данная ветка и изменяемое в ней значение являются частью внутреннего сервиса программы, связанного с автоматическим и ручным обновлением антивирусной базы и программных модулей антивируса, то данное изменение приводит к блокировке автоматического обновления через сеть Интернет (процесса обновления "по таймеру"), а также к игнорированию программой нажатия пользователем опции "Обновить базы". При этом, опять же, данная процедура может быть произведена вирусом только в том случае, если у Антивируса Касперского не включены функции самозащиты.
Однако описываемые модификации вируса, в отличии от ранее обнаруженных, производят и весьма опасную деструкцию: делают невозможным обновление сигнатурных баз и программных модулей целого ряда антивирусов. Принцип работы этой деструктивной процедуры до конца разобрать не удалось, поскольку блок с данной деструкцией был расшифрован в приближенном к оригиналу виде и, как следствие, не может быть подвергнут дизассемблированию для детального изучения. Однако было установлено, что антивирусы перестают производить поиск обновлений в сети Интернет, обращаясь "в никуда". Кроме того, некоторые антивирусы утрачивают работоспособность функции "Rollback" (возврат к предпоследнему обновлению сигнатурных баз) - например, Kaspersky Anti-Virus, несмотря на активную самозащиту.
Описанная деструкция производится вирусом только в том случае, если при активности последнего в памяти будет обнаружен любой из нижеследующих работающих системных сервисов, принадлежащих антивирусной защите (вирус учитывает в названиях регистр символов):

LIVESRV.EXE
*.dll(MOVE)
*.exe(MOVE)
VCRMON.EXE
Update.exe
CCSVCHST.EXE
ALUSCHEDULERSVC.EXE
luall.exe
ASHDISP.EXE
avast.setup
setup.ovr
AVP.EXE
prupdate.ppl
AYAGENT.AYE
AYUpdate.aye
UFSEAGNT.EXE
SfFnUp.exe
UfUpdUi.exe
AVGNT.EXE
preupd.exe
update.exe


Кроме того, вирус пытается препятствовать загрузке файлов *.vcd (виртуальные образы компакт-дисков, загружаемые в память программой VirtualCD).


7. Прочее.

В теле руткита присутствуют строки, оставшиеся после компиляции файла на авторской ("ново"авторской - ?) машине (приведены в оригинальном виде):

objfre\i386\nod32.sys
D:\code\єА_Ь_УГЬ\ma_rising\objfre\i386\nod32.pdb



8. Детектирование и удаление вируса из машины и с СНИ.

Антивирусы детектируют компоненты вируса под следующими номенклатурными названиями (тело руткита варианта ya было получено в оригинальном виде и переслано в ЛК на изучение, после чего вредоносный код был добавлен в антивирусную базу 17.10.2008):

Win32.Worm.GameSpy.crypt.ya:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: проигнорирован компанией
файл ckvo.exe, 9.cmd: Worm.Win32.AutoRun.qsu
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Worm.Win32.AutoRun.qsu
руткит cdaudio.sys: Rootkit.Win32.Agent.ejd
внутренний компонент antivm.dll: Trojan.Win32.Writer.a

Антивирус DrWeb:
файл autorun.inf: Win32.HLLW.Autoruner.3651
файл ckvo.exe, 9.cmd: Trojan.PWS.Wsgame.4983
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan.PWS.Wsgame.6885
руткит cdaudio.sys: Trojan.NtRootKit.1579
внутренний компонент antivm.dll: Trojan.PWS.Wsgame.4983

Антивирус BitDefender Professional:
файл autorun.inf: Trojan.Script.7079
файл ckvo.exe, 9.cmd: Packer.Malware.NSAnti.1
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Packer.Malware.NSAnti.1
руткит cdaudio.sys: Rootkit.Onlinegames.Gen.1
внутренний компонент antivm.dll: Trojan.PWS.OnlineGames.ZKP


Win32.Worm.GameSpy.crypt.yb:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: проигнорирован компанией
файл ckvo.exe, 2fiji.com: Trojan-GameThief.Win32.Magania.ahlh
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan-GameThief.Win32.Magania.ahli
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.Win32.Writer.a

Антивирус DrWeb:
файл autorun.inf: Win32.HLLW.Autoruner.3263
файл ckvo.exe, 2fiji.com: Trojan.PWS.Wsgame.4983
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan.PWS.Wsgame.6885
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.PWS.Wsgame.4983

Антивирус BitDefender Professional:
файл autorun.inf: Worm.Autorun.VFT
файл ckvo.exe, 2fiji.com: Trojan.PWS.OnlineGames.AABG
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan.PWS.OnlineGames.AABG
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.PWS.OnlineGames.ZKP


Win32.Worm.GameSpy.crypt.yc:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: проигнорирован компанией
файл ckvo.exe, xlk9.com: Trojan-GameThief.Win32.Magania.aigw
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan-GameThief.Win32.Magania.aigv
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.Win32.Writer.a

Антивирус DrWeb:
файл autorun.inf: не обнаруживает
файл ckvo.exe, xlk9.com: Trojan.PWS.Wsgame.4983
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Trojan.PWS.Wsgame.6885
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.PWS.Wsgame.4983

Антивирус BitDefender Professional:
файл autorun.inf: Trojan.AutorunINF.Gen
файл ckvo.exe, xlk9.com: Packer.Malware.NSAnti.1
файл ckvo0.dll, ckvo1.dll, ckvo2.dll: Packer.Malware.NSAnti.1
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.PWS.OnlineGames.ZKP


Все файлы, которые установленный в Вашем компьютере антивирус инициализирует под любым из вышеприведенных номенклатурных названий, необходимо просто удалить.
С учетом серьезной опасности и плачевных последствий в результате деятельности червя, для пользователей Windows XP была создана специальная утилита, удаляющая вирус и его компоненты из компьютера (включая и руткит-драйвер), а также восстанавливающая поврежденные вирусом записи в ключах реестра.
Итак, пользователи Windows XP могут пролечить свои компьютеры следующим образом:

1. Скачать с нашего сайта архив с утилитами от VirusHunter'а, который находится здесь;

2. Отключить компьютер от сети Интернет, распаковать содержимое архива и запустить утилиту №13 (важно: перед использованием утилиты настоятельно рекомендуется отключить проактивную антивирусную защиту, дабы избежать негативных казусов и ошибок лечения). В ходе процедуры лечения утилита осуществит следующие действия:

 - удалит вредоносный файл ckvo.exe, а затем в течении 40 секунд (время одинаково для любых компьютеров независимо от их быстродействия и количества информации на жестком диске) и все копии вируса в корнях логических, сетевых и съемных дисков, подключенных к компьютеру;
 - выгрузит из памяти путем перезагрузки Explorer Shell и удалит вредоносные файлы ckvo%X.dll;
 - удалит ссылку реестра на вредоносный файл ckvo.exe, а также восстановит все измененные/заблокированные вирусом системные настройки, связанные с просмотром скрытых/системных файлов в Проводнике, а также с функционалом антивирусных продуктов ЛК;
 - удалит из системы записи вредоносного сервиса AVPsys;
 - удалит вредоносный файл C:\autorun.inf;
 - в случае невозможности удалить активный руткит под Windows, утилита отключит связи системы с вредоносным файлом cdaudio.sys, затем установит специальный компонент для перехвата и удаления руткита во время загрузки системы и перезапустит компьютер.

При этом в процедуру очистки не были включены файлы autorun.inf, расположенные в корнях дисков, отличных от C:.
Поскольку основной функционал утилиты построен на использовании двух вышеуказанных ошибок, содержащихся в коде вируса, то процесс лечения возможен лишь при запуске утилиты под зараженной системой и при наличии активной копии вируса в памяти;

3. Запустить утилиту №6 из набора VirusHunter'а для блокировки чтения системой вредоносных файлов autorun.inf (если в дальнейшем Вы не хотите более использовать данную утилиту, то запустите ее еще раз - инсталлированная в систему функция блокировки чтения данных из autorun.inf будет удалена; для текущего сеанса работы в Windows функция блокировки останется в силе);

4. Удалить из корней всех дисков, отличных от C:, оставшиеся после вируса файлы-компоненты autorun.inf, т.к. в противном случае ни через меню "Мой компьютер", ни посредством Проводника доступ к данным на таких дисках получить в дальнейшем не удастся (кроме, как через командную строку или сторонний файловый менеджер типа Total Commander или Far Manager), а на экране будет выведено меню следующего вида:


5. Если после лечения, произведенного утилитой без перезагрузки компьютера, наблюдается нестабильность в работе ОС, то это можно легко исправить, просто перезагрузив компьютер.

Пользователи антивирусных продуктов ЛК, у которых в компьютере был удален вирусом оригинальный файл klif.sys, могут восстановить его из резервной копии, хранимой в одном из подкаталогов папок, в которые были установлены компоненты защитного продукта ЛК. Самый простой способ найти резервный klif.sys - через системный сервис "Поиск файлов и папок".

Также утилита №13 предусматривает исправление повреждений реестра и обнаружение/удаление руткита в тех случаях, когда вирус и его компоненты были уничтожены каким-либо антивирусом, не обнаружившим руткит-драйвер.
Дополнительную информацию касательно работы утилиты №13 можно прочитать в прилагаемом к набору от VirusHunter'а руководстве пользователя.

Пользователям, антивирусные продукты которых отказываются после удаления вируса корректно выполнять процедуру обновления сигнатурных баз и программных модулей, рекомендуется произвести восстановление антивируса при помощи способа, аналогичного описанному ниже для антивирусных продуктов ЛК:

двигаетесь следующим образом: Пуск -> Панель управления -> Установка и удаление программ - > Kaspersky Internet Security (или Anti-Virus) -> жмете Заменить/Удалить -> жмете Восстановление и далее по указанным шагам. Перезагружаете компьютер - и всё работает! Правда, антивирусную базу и программные модули придется обновлять заново из сети (если вы не сделали предварительно резервной копии последних), а также заново вводить настройки параметров программы. Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Win32.Worm.GameSpy.93,95,a-hg
Win32.Worm.GameSpy.xa-xc
Win32.Worm.GameSpy.za


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 12.12.2008
Дата внесения последних изменений: 23.10.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00180196762085