VirusHunter предупреждает всех пользователей ПК о распространении крайне опасного, деструктивного файлового вируса Win32.Maniac.D (aka Win32.Sality, Sector), поражающего Win32-программы и экранные заставки, похищающего конфиденциальную пользовательскую информацию, а также удаляющего некоторые типы данных с винчестера компьютера...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%windir% - каталог, в который установлена ОС Windows.


Детальное описание вируса Win32.Maniac.D.

1. Источники попадания в машину.

Основным источником распространения данного вируса являются, как обычно, файло-обменные сети. Вирус может попадать в каталоги установленных на машинах программ файло-обмена в зараженных дистрибутивах программного софта, переданных Вам друзьями или знакомыми. К сожалению, большинство пользователей упорно игнорируют антивирусные программы или просто не обновляют антивирусные базы, в результате чего "просыпают" попадание вируса в свои машины. Как результат, инфицированные компьютеры становятся рассадниками вирусов для десятков или даже сотен др. компьютеров. Потенциальную опасность также могут представлять CD/DVD-диски, записанные на таких "чистых" машинах, т.к. очевидно, что среди записанных на них (дисках) файлов окажутся и инфицированные.
Также данный вариант вируса способен распространять себя путем копирования инфицированных файлов на СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.), используя технологию активации при помощи вредоносных файлов autorun.inf.


2. Инсталляция в систему и внедрение в потоки данных.

Win32.Maniac.D является резидентным зашифрованным вирусом-паразитом, использующим для своего распространения тела Windows-приложений (т.н. PE-файлы, содержащие в своих заголовках метку "PE"; к таковым относятся программы с 32-битным кодом, написанные на языках высокого уровня, таких как, например, C++ Builder, Borland Turbo Pascal (Delphi) и пр., создаваемые для работы в среде Windows). Дееспособен под всеми существующими на сегодняшний день Windows-системами.
Данный вирус является усовершенствованной модификацией варианта Win32.Maniac.C. При этом, помимо использования алгоритма полиморфик-шифрования своего кода, а также ряда шпионских процедур, он содержит более деструктивный функционал, чем предыдущие варианты, а также способность размножения через СНИ.
Вирус не способен существовать как самостоятельная программа (т.е. в виде рабочего файла, содержащего только вирусный код), т.к. выполнен в виде логического программного блока (не содержит заголовка и, соответственно, т.н. "точки входа" - место в коде заголовка файла, с которого производится считывание стартового адреса программы и начинается ее выполнение), внедряемого в Windows-приложения и использующего заголовки зараженных им файлов для получения управления и последующего запуска. Поражает системные файлы с расширениями "EXE" (программы и самораспаковывающиеся архивы/инсталляторы) и "SCR" (экранные заставки для Рабочего стола).
Код вируса в теле зараженного файла представляет собой совокупность 2-х компонентов:

1. Дроппер (активатор основной программы); написан на языке нижнего уровня (языке машинных команд) - Ассемблере. Данный компонент предназначен для расшифровки основного вирусного компонента с последующей его расшифровкой и загрузкой на выполнение в память компьютера, а также для возможности запуска зараженного программного файла.

2. Основной компонент, производящий поиск и заражение файлов, а также различные вредоносные процедуры, включая и деструктивные. Представляет собой DLL-файл (динамическую библиотеку Windows), также написанный на языке Ассемблер. Сжат утилитой компрессии "UPX" версии 2.00, имеет размер около 72 кб; в теле зараженного файла содержится в виде зашифрованной структуры, ключ к полиморфик-алгоритму которой содержится в дроппер-компоненте вируса.
Схематически код вируса можно изобразить примерно так:


Используя механизм полиморфик-шифрования своего тела в зараженных файлах, вирус значительно усложняет пользователю визуальное выявление инородного кода в инфицированных фалах - последовательность кода в 16-ти ричном представлении (ASCII) в одном файле совершенно не похожа на этот же самый вирусный код, но уже в др. файле.
В отличии от предыдущих модификаций, данный вариант вируса не извлекает свой DLL-компонент на диск в виде отдельного файла, а выделяет некоторое количество памяти и загружает в него имидж DLL-модуля как дочерней подпрограммы инфицированного процесса. При этом вирус также специальным образом производит привязку своего DLL-модуля ко всем активным процессам, включая ядро ОС Windows. Исключением являются лишь критические процессы, которые игнорируются по следующей маске имени и пути:

%windir%\System32\svc*

т.е., вирус не будет, например, инфицировать потоки системных процессов svchost.exe.
Также вирус использует специальные методы сокрытия своего DLL-модуля в списке подключенных к процессу объектов, в результате чего присутствие последнего невозможно отследить в памяти обычными методами. Кроме того, в результате такой маскировки у пользователя создается иллюзия того, что все производимые вирусом действия (инфицирование файлов и СНИ, действия в сети и деструктивные процедуры) исходят как бы от совершенно безобидных пользовательских или системных приложений.
Дабы избежать многократного запуска идентичных внутренних процедур в ходе своей работы, вирус создает в памяти следующую метку-идентификатор своей активности в системе:

_kkiuynbvnbrev406


3. Заражение PE EXE- и SCR-файлов.

Сразу же после загрузки в память вирус запускает процедуру поиска и заражения файлов. Поиск ведется поэтапно, начиная с самого последнего диска в списке подключенных к компьютеру носителей и заканчивая диском C: (флоппи-дисководы A: и B: игнорируются), включая сетевые и съемные диски, которые открыты для записи. При этом вирус просматривает на заражаемом диске все папки со всеми вложенными подкаталогами, выявляет файлы с расширениями "EXE" и "SCR", проверяет их на соответствие PE-формату Win32-приложений и дописывает в них свой код.
Вирус не заражает те файлы, которые, имея указанные расширения, не являются приложениями Win32 (т.е. DOS - и Win16-приложения). Также не заражаются файлы, обработанные некоторыми утилитами компрессии, мешающими вирусу распознать структуру файла.
Точной закономерности в процедуре обхода дисков при поиске и инфицировании файлов выявлено не было. При этом вирус также инфицирует файлы и в системных каталогах %windir%\ и %windir%\System32\, но только те, которые не являются компонентами непосредственно ОС Windows. Для этого он проверяет цифровую подпись предполагаемого для заражения файла и не инфицирует его, если в нем присутствует цифровая подпись компании Microsoft.
Каждый подходящий по параметрам файл заражается только 1 раз (вирус определяет его зараженность довольно сложным способом, производя при этом ряд специальных проверок участков кода).
При обнаружении подходящего для заражения файла вирус проверяет не загружен ли последний на выполнение и, если файл не задействован в работе, то DLL-модуль вируса, загруженный в память, считывает и запоминает его (файла) параметры - дату и время модификации, а также атрибуты, после чего приступает к редактированию файла (при этом вирус обходит ограничение редактирования при наличии у файла атрибута "read only" - только для чтения).
При заражении файла вирус дописывает свое зашифрованное тело в его конец. Для этого DLL-модуль считывает полный вирусный код из тела последнего из запущенных зараженных файлов - местоположение этого файла дроппер-компонент передает DLL-компоненту в виде переменной и тот хранит ее в памяти. Затем вирус считывает последние 102399 байт уже зараженной программы и копирует их в зарезервированное пространство текущего заражаемого файла, а далее корректирует его заголовок: изменяет "точку входа" (место в коде заголовка файла, с которого производится считывание стартового адреса программы и начинается ее выполнение), заменяя оригинальный стартовый адрес (предварительно запоминает его) ссылкой на стартовый адрес своего дроппер-кода, который располагается примерно в нескольких сотнях байт от начала вирусного тела в заражаемом файле. Затем DLL-модуль записывает в первые несколько сотен байт вирусного кода в теле зараженной программы (в те байты, которые расположены перед кодом дроппер-компонента) оригинальный (исходный) стартовый адрес программы. После этого DLL-модуль шифрует полиморфик-крипт-алгоритмом все 102399 байт вирусного тела в заражаемом файле (кроме части участка кода с дроппер-компонентом - к нему вирус не применяет полиморфик-крипт-метод). Только после всех перечисленных манипуляций DLL-модуль завершает редактирование уже зараженного файла, перезапоминает его со всеми внесенными изменениями и присваивает ему исходные атрибуты, а также дату и время модификации до заражения. В результате, внешне зараженный файл отличается от исходного лишь увеличением размера на величину 102399 байт.

Файл до заражения (слева) и после (справа):


Запуск зараженного файла происходит следующим образом: первым получает управление дроппер-код вируса, который проверяет наличие упомянутой "метки"-идентификатора, и, соответственно, либо сперва производит процедуру загрузки в память Основного компонента (DLL-модуля), а уже потом расшифровывает, считывает и запускает стартовый адрес оригинальной программы, либо сразу производит запуск оригинальной программы и завершает при этом свою работу. Схематически процесс запуска зараженной программы можно изобразить примерно следующим образом (соответствующие пропорции размеров секций на рис. не учитываются):


Обычно запущенная зараженная программа открывается с опозданием до нескольких секунд, но иногда дроппер-код по каким-то причинам "тормозит" и процесс запуска программы может затянуться на некоторое время.


4. Размножение через СНИ.

Кроме поиска файлов для заражения, вирус с некоторой периодичностью также производит поиск СНИ, подключаемых через USB-порты компьютера. При обнаружении такого носителя вирус генерирует и записывает в его корень вредоносный компонент autorun.inf с ссылкой на вредоносный файл с кодом вируса, который также записывается в корень СНИ. В качестве такого файла вирус выбирает системный файл - либо программа "Блокнот" (Notepad), либо игрушка "Сапер":

%windir%\notepad.exe
и
%windir%\System32\winmine.exe

Первый из указанных файлов выбирается вирусом с вероятностью 4/5, а второй, соответственно, с вероятностью 1/5. При этом копия данного файла помещается в корень инфицируемого носителя с произвольным именем, состоящим из случайного набора малых латинских букв, а расширение выбирается случайным образом из следующих вариантов:

.pif
.exe
.cmd


Пример: anpb.cmd. Затем файл заражается вирусом, после чего и компоненту autorun.inf, и инфицированному файлу присваиваются атрибуты "архивный", "системный", "скрытый" и "только для "чтения" ("archive", "system", "hidden" и "read only" соответственно). Также инфицированному файлу присваиваются текущие дата и время модификации, соответствующие реальному времени его заражения, а компоненту autorun.inf - дата и время, скопированные от какого-то системного файла. Также вирус вписывает в autorun.inf название данного инфицированного файла, запускаемого с СНИ. На протяжении текущего сеанса работы под Windows название инфицированного файла вирус не меняет.
После инфицирования носителя вирус перепроверяет именно этот диск и перезаписывает на нем свои файлы с интервалом в 1 секунду. При этом, чтобы файлы невозможно было удалить с носителя под инфицированной системой, вирус специальным образом закрывает к ним доступ, исключая тем самым возможность их удаления в случае обнаружения. Кроме того, чтобы пользователи Проводника не могли заметить подозрительных объектов в корне носителя, вирус изменяет в ключах реестра следующее значение:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000000


Это значение является базовым и не позволяет видеть в Проводнике папки и файлы с атрибутами "скрытые" и "системные".
Таким образом, вирус получает дополнительный шанс для размножения через др. компьютеры, пользователи которых откроют содержимое инфицированного носителя посредством Проводника. Детальнее о механизме работы данного вредоносного компонента читайте в описании троянской программы Trojan.LittleWorm, aka Win32.Worm.Small.
В процедуре заражения СНИ имеет место следующая ошибка, точнее, авторский недочет: при обнаружении носителя, подключенного к USB-порту, вирус сразу пытается инфицировать его, не производя контрольной проверки доступности последнего для записи данных. В результате этого, если запись на носитель заблокирована при помощи специального защитного джампера на корпусе устройства, установленного в положение "Блокировка записи", присутствие вируса в компьютере сразу дает о себе знать, поскольку система будет выдавать на экран соответствующее сообщение об ошибке копирования файлов на защищенное от записи устройство. Как уже было сказано выше, в заголовке сообщения об ошибке будет указано имя того процесса, из адресного пространства которого вирус в данный момент пытается произвести заражение СНИ. Например:


По причине того, что вирус блокирует доступ к созданным на СНИ своим файлам, устройство невозможно отключить от компьютера стандартным способом (через опции отключения) - на экран будет выдано системное сообщение следующего вида:



5. Действия вируса во время работы в сети Интернет.
Похищение конфиденциальных пользовательских данных.

Вирус следит за активностью подключения инфицированного компьютера к сети Интернет, и, как только происходит соединение с глобальной сетью, DLL-модуль извлекает из своего тела и записывает в систему дополнительный компонент - руткит-драйвер Windows, при помощи которого вирус получает возможность скрывать отсылаемые через Интернет запросы к различным серверам злоумышленников. Программа руткита имеет размер около 5600 байт, написана Microsoft Visual C++. Вирус записывает его в следующий системный подкаталог под таким названием:

%windir%\System32\drivers\abp470n5.sys

Руткит запускается на выполнение, после чего вирус приступает к вредоносным действиям в сети.
Во время работы в сети у пользователя может сложиться впечатление, что большинство запущенных программ как будто "подурело": если на машине установлена защитная программа типа фаерволла, то она начинает "вопить", что то одна, то др. программы якобы пытаются входить в сеть и что-то там искать и скачивать. При этом индикатор принятых/отосланных байт данных может "наматывать круги", но "обрубить" такой паразитный траффик будет весьма накладно, поскольку руткит abp470n5.sys будет маскировать его от сторонних программных запросов, связанных с определением Web-адреса и распознанием передаваемых/принимаемых вирусом пакетов данных в сети. При этом такая "неопознанная" активность производится вирусом от имени др. программ, в чьи процессы ему удалось внедрить свой поток.
Дабы избежать повторного запуска руткита, когда последний уже загружен на выполнение, вирус создает в системной памяти метку-идентификатор

kukutrusted!.

Вирус производит следующие действия в сети:

Процедура 1. Вирус похищает:

 - все данные из веток ключей реестра, содержащих в своем пути строку

Software\Microsoft\Windows\CurrentVersion\Internet Settings

 - все значения из веток ключей реестра, содержащих в своем пути строку

Software\Microsoft\Windows\CurrentVersion\Run

 - список активных процессов;
 - текст, содержащийся на текущий момент в буфере обмена данными между различными редакторами;
 - какие-то коды (передаваемые по сети незащищенные пароли - ?);
 - данные о конфигурации "железа" компьютера;
 - внешний (сетевой) IP-адрес и имя компьютера;
 - содержимое системного файла system.ini;
 - список http-адресов, посещаемых пользователем во время работы в сети;
 - некоторые др. вещи неясного назначения.

Вся эта информация передается посредством HTTP-протокола на следующие страницы (по соображениям безопасности части адресов заменены символами "%"):

http://klkjwre77%%%dfqwieuoi888.info
http://kuku%%%777888.info/


Процедура 2. Вирус проверяет наличие в системе некого вредоносного файла

%windir%\System32\win%.exe

, где % - некая переменная. Если такового нет, то последовательно перебирает нижеприведенные ссылки и пытается скачать по ним данную вредоносную программу (на момент разработки данного описания ни одна из ссылок не работала):

http://89.%%%.67.154/testo5/ http://kuku%%%777.info/home.gif http://kuku%%%888.info/home.gif http://kuku%%%987.info/home.gif Затем вирус записывает скаченный файл под вышеуказанным названием в систему и запускает его на выполнение.
Процедура 3. Вирус сканирует ветки реестра, содержащие следующую строку пути:

Software\Microsoft\Windows\ShellNoRoam\MUICache В этих ветках он ищет следующие записи:

monga_bonga
purity_control_90830


Если таковые найдены (платные порно-сервисы - ?), то вирус также информирует злоумышленников об этом.


6. Деструктивные процедуры.

Основной компонент вируса расшифровывает и производит ряд целенаправленных деструктивных процедур.
Первая деструктивная процедура заключается в поиске и удалении на всех дисках компьютера файлов, расширения которых соответствуют следующим маскам:

.vdb
.avc


Таким образом вирус пытается стереть с дисков базы с поисковыми сигнатурами вредоносных кодов от антивирусов DrWeb и Kaspersky.
Вторая деструктивная процедура заключается в принудительном закрытии программных окон, заголовки которых содержат одну из нижеперечисленных строк:

Agnitum Client Security Service
ALG
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4 Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
avp1
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Tmntsrv
TmPfw
tmproxy
tcpsr
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP


Третья деструктивная процедура заключается в удалении параметров и даже целых веток ключей реестра из следующих разделов:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\ProfileList\]


Из этого раздела удаляются только какие-то отдельные значения параметров;

[HKEY_LOCAL_MACHINE\SYSTEM\%\%\SafeBoot\]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Ext\Stats\]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\]


Из этих разделов удаляются абсолютно все подразделы со всеми значениями (в приведенных ветках ключей некоторые фрагменты путей заменены по соображениям безопасности символом "%"). В результате этого систему никогда более не удастся загрузить в Безопасный режим; при последующих стартах системы более не будут загружаться никакие автозагрузочные компоненты пользовательских, драйверных, защитных и пр. программ; будут отключены все интегрированные в Web-браузер программы и дополнительные модули; некоторые др. вещи.
Четвертая деструктивная процедура заключается в принудительном завершении активных процессов, в названиях которых содержится какой-либо из нижеперечисленных фрагментов текста (всего таковых 299 штук), с последующим удалением соответствующих программных файлов на всех доступных дисках компьютера:

914
_AVPM.
A2GUARD.
AAVSHIELD.
AVAST
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
AVZ.
ANTIVIR
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVAST
AVSERVER.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BDMCON.
BDNEWS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CUREIT
DAEMON.
DEFWATCH.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
DWEBLLIO
DWEBIO
EKRN.
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
FPAVUPDM.
F-PROT95.
FRESHCLAM.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
KPFWSVC.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTOS.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PSIMSVC.
QHM32.
QHONLINE.
QHONSVC.
QHPF.
QHWSCSVC.
RAVMON.
RAVTIMER.
AVGNT
AVCENTER.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
TFAK.
THAV.
THSM.
TMAS.
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJSCAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCHK.
VCRMON.
VETTRAY.
VIRUSKEEPER.
VPTRAY.
VQP
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBPROXY.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WINSS.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZAUINST
ZLCLIENT
ZONEALARM


Интересен тот факт, что среди названий вышеперечисленных антивирусных сервисов также встречаются и имена процессов, соответствующих некоторым "популярным" вредоносным программам - например, NTOS. - совпадает с именем основного компонента вредоносной программы Backdoor.Ntos - ntos.exe.
Пятая деструктивная процедура заключается в добавлении в нижеприведенный ключ реестра двух значений, связанных с блокировкой системных сервисов "Диспетчер задач" и "Редактор реестра":

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"%%%%%"=dword:00000001
"%%%%%"=dword:00000001


В результате запуск данных сервисов становится невозможным - при попытках запустить их система выдает на экран стандартные для такой ситуации сообщения следующего вида:




Шестая деструктивная процедура заключается в отключении базовых функций системного Брэндмауэра Windows (фаерволла для контроля сетевого трафика), а также некоторых функций ограничения сетевого доступа к компьютеру и анализа подозрительных объектов:

в ключе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] изменяет значение параметра GlobalUserOffline";

в ключе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] изменяет значения следующих параметров: AntiSpywareOverride, AntiVirusDisableNotify, AntiVirusOverride, FirewallDisableNotify, FirewallOverride, UacDisableNotify и UpdatesDisableNotify.

Седьмая деструктивная процедура заключается в перенаправлении http-запросов при работе в сети Интернет, содержащих строку www.microsoft.com, на сайт злоумышленников

http://klkjwre77%%%dfqwieuoi888.info/


7. Детектирование вируса и лечение машины.

На момент разработки данного описания антивирусные программы уже обнаруживали вирус Win32.Maniac.D под нижеприведенными номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: Worm.Win32.AutoRun.pea
файл abp470n5.sys: Virus.Win32.Sality.ab
в зараженных файлах: Virus.Win32.Sality.aa (лечит файлы от вируса)

Антивирус BitDefender Professional:
файл autorun.inf: Trojan.AutorunINF.Gen
файл abp470n5.sys: Win32.Sality.OI
в зараженных файлах: Win32.Sality.OG (лечит файлы от вируса, но не всегда, оставляя вредоносный код в файлах в неизменном виде)

Антивирус DrWeb:
файл autorun.inf: не обнаруживает
файл abp470n5.sys: Win32.Sector.12
в зараженных файлах: Win32.Sector.12 (не лечит - только удаляет файлы; при этом не во всех способен обнаруживать присутствие вируса)

В принципе, самостоятельно осуществить процесс лечения от вируса для рядового пользователя просто нереально, если учесть все вышеизложенные приемы, которые использует вирус. Поэтому наиболее оптимальным решением вирусной проблемы, на мой взгляд, является перенос винчестера на др. неинфицированную машину, его подключение к ней, как второстепенного, с последующим пролечиванием всей находящейся на нем информации. В процессе лечения файлы abp470n5.sys и autorun.inf, детектируемые под вышеуказанными номенклатурными названиями, необходимо просто удалить. После процесса лечения удаленные вирусом программы необходимо заменить из резервной копии или полностью переустановить. Также некоторые программы, будучи зараженными, но не испорченными вирусом, после лечения также могут оказаться нерабочими - причиной является встроенная в такие программы процедура проверки оригинальности их кода, которая заключается в подсчете т.н. CRC-значения (контрольной суммы) определенных участков кода файлов и сопоставлении полученных значений с оригинальными. К таким программам относится, например, Nero Burning ROM (программа для записи СD- и DVD-дисков). Учитывая тот факт, что вылеченные файлы содержат в своих заголовках некоторое количество измененных вирусом байт, вышеуказанная программа и ей подобные при своем запуске сразу же выдают соответствующее сообщение о расхождении значений контрольной суммы с оригинальным и завершают свою работу. Такие файлы также следует заменить.
Также было замечено, что некоторые из вылеченных файлов, несмотря на свою работоспособность, могут функционировать некорректно. В таких случаях тоже рекомендуется заменять некорректные файлы оригинальными, взятыми из резервной копии.
Следует отметить, что некоторое количество вирусных копий может присутствовать в файлах с расширениями "CHK" (последние являются файлами, резервируемыми некоторыми версиями ОС Windows в случаях обнаружения сбойных кластеров на жестком диске системным приложением Scandisk).

Также рекомендуется сменить пароли на подключение к сети Интернет, к почтовым ящикам и т.п.

Если у Вас в компьютере установлена ОС Windows XP, то после ее лечения и всех пользовательских файлов можете воспользоваться утилитами №2, №1 и №10 для разблокировки отключенных вирусом системных сервисов, восстановления показа скрытых/системных файлов в Проводнике, а также для "возвращения к жизни" Безопасного режима загрузки системы. Перечисленные утилиты входят в антивирусный набор от VirusHunter'а, который можно скачать с нашего сайта здесь.

Кроме того, с учетом потенциальной опасности, которую несет неконтролируемое считывание системой данных из вредоносных файлов autorun.inf, для пользователей Windows XP была разработана специальная утилита №6, выгружающая из системной памяти потоки данных, связанные со считыванием и выполнением инструкций из файлов autorun.inf. Данная утилита также содержится в наборе от VirusHunter'а.
Перед использованием всех вышеперечисленных утилит настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Win32.Maniac.A
Win32.Maniac.B
Win32.Maniac.C


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 20.12.2008
Дата внесения последних изменений: 30.09.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00470685958862