VirusHunter предупреждает всех пользователей ПК о распространении новой, очень опасной модификации вируса-червя семейства Win32.Worm.GameSpy.crypt (aka Trojan.PWS.OnLineGames, Magania, Wsgame). Червь ворует пароли к игровым онлайновым сервисам, загружает в компьютер др. вредоносные программы из сети Интернет, а также производит ряд деструктивных действий, приводящих к неработоспособности защитного ПО...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

%windir% - каталог, в который установлена ОС Windows.


1. Источники попадания в компьютер.

Пока что известным источником распространения Win32.Worm.GameSpy.crypt.za, появившемся примерно в середине мая 2009 года, являются инфицированные СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.). Однако не исключено, что они могут быть распространены злоумышленниками и в Интернет-сети - наиболее вероятным из возможных путей распространения вируса, на мой взгляд, являются, как обычно, файло-обменные сети, где червь может быть подсунут пользователям как "полезная" программа среди прочего софта. При этом весьма очевидно, что вредоносный файл будет иметь различные названия.


2. Инсталляция в систему.

Данная модификация червя является многокомпонентной Windows-программой (PE EXE-файлом), написанной на Ассемблере. Основной файл представляет собой "матрешку", которая извлекает из своего тела и записывает на диск остальные компоненты. Код компонентов вируса сжат при помощи утилиты компрессии "UPX" версии 2.03 (включая и Основной файл), а поверх этого зашифрован несколькими мощными крипт-алгоритмами: сначала реализуется внутренний алгоритм шифрования отдельных участков, а поверх этого (и, соответственно, поверх UPX-сжатия) применен алгоритм криптации с использованием новейшей версии утилиты "EXECryptor", модифицированной под шифрование и PE DLL-файлов (программных библиотек Windows).
В корне инфицированного носителя присутствуют следующие файлы (Основной и вспомогательный):

%drivename%\autorun.inf (размер 49 байт)
%drivename%\w.com (размер 107267 байт)

Остальная часть этого раздела практически полностью идентична соответствующему разделу описания Win32.Worm.GameSpy.crypt.ya-yc. Отличия заключаются лишь в следующих деталях:

1. У данного варианта червя название копии Основного файла, устанавливаемой в системный подкаталог, изменено на

%windir%\System32\olhrwef.exe

2. Название компонента, извлекаемого файлом olhrwef.exe из своего тела, изменено на

%windir%\System32\nmdfgds%X.dll

, размер которого составляет 92672 байта;

3. Запись в ключах автозапуска системного реестра заменена на следующую:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"="%windir%\\system32\\olhrwef.exe"



3. Инфицирование потоков данных.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Worm.GameSpy.crypt.ya-yc (отличия заключаются лишь в вышеприведенных названиях компонентных файлов вируса).


4. Размножение вируса.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Worm.GameSpy.crypt.ya-yc (отличия заключаются лишь в вышеприведенных названиях компонентных файлов вируса).


5. Вредоносные действия во время работы в сети Интернет.

Этот раздел практически полностью идентичен приведенному в описании вариантов Win32.Worm.GameSpy.crypt.93,95,a-hg.


6. Rootkit-компонент и деструктивные действия.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Worm.GameSpy.crypt.ya-yc. Отличия заключаются в следующих вещах:

1. По причине какой-то внутренней ошибки вирус не извлекает из своего тела файл руткита и, соответственно, не перезаписывает им системный драйвер;

2. Список блокируемых компонентов антивирусных программ увеличился:

LIVESRV.EXE
*.dll(MOVE)
*.exe(MOVE)
VCRMON.EXE
Update.exe
CCSVCHST.EXE
ALUSCHEDULERSVC.EXE
luall.exe
ASHDISP.EXE
avast.setup
setup.ovr
AVP.EXE
prupdate.ppl
AYAGENT.AYE
AYUpdate.aye
UFSEAGNT.EXE
SfFnUp.exe
UfUpdUi.exe
AVGNT.EXE
preupd.exe
update.exe
VSTSKMGR.EXE
vsupdate.dll
mcupdate.exe
AVGRSX.exe
avgupdate.exe


Кроме того, вирус пытается препятствовать загрузке файлов *.vcd (виртуальные образы компакт-дисков, загружаемые в память программой VirtualCD);

3. Процедура блокировки загрузки обновлений антивирусных модулей и сигнатурных баз, срабатывающая, как и в более ранних модификациях вирусах, только в случае наличия в памяти хотя бы одного из вышеперечисленных процессов, работает более жестко: после того, как работоспособность процедуры обновления была нарушена, восстановить ее можно исключительно путем полной переустановкой антивирусной программы с предварительным удалением последней с диска через Меню деинсталляции программ. На данный момент механизм такого глобального повреждения антивирусного ПО, включая и Антивирус Касперского с включенным механизмом самозащиты модулей и настроек, не удается определить.


7. Прочее.

В некоторых случаях, пытаясь препятствовать запуску компонентов антивирусного ПО, вирус может вызвать торможение или даже полный ступор системы, в результате чего все поточные несохраненные данные и документы будут утеряны, а компьютер придется перезагрузить при помощи кнопки Reset на корпусе системного блока ПК.


8. Детектирование и удаление вируса из машины и с СНИ.

Антивирусы детектируют компоненты вируса под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: не обнаруживает
файл olhrwef.exe, w.com: Trojan-GameThief.Win32.Magania.bbqw
файл nmdfgds0.dll, nmdfgds1.dll, nmdfgds2.dll: Trojan-GameThief.Win32.Magania.bbwg
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.Win32.AVKill.cv

Антивирус DrWeb:
файл autorun.inf: не обнаруживает
файл olhrwef.exe, w.com: Trojan.MulDrop.31605
файл nmdfgds0.dll, nmdfgds1.dll, nmdfgds2.dll: Trojan.Packed.2474
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.PWS.Wsgame.10149

Антивирус BitDefender Professional:
файл autorun.inf: не обнаруживает
файл olhrwef.exe, w.com: Trojan.PWS.OnlineGames.KCBF
файл nmdfgds0.dll, nmdfgds1.dll, nmdfgds2.dll: Trojan.PWS.OnlineGames.KCBF
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.PWS.OnlineGames.KBRT

Все файлы, которые установленный в Вашем компьютере антивирус инициализирует под любым из вышеприведенных номенклатурных названий, необходимо просто удалить.
С учетом серьезной опасности и плачевных последствий в результате деятельности червя, для пользователей Windows XP была создана специальная утилита, удаляющая вирус и его компоненты из компьютера (включая и руткит-драйвер), а также восстанавливающая поврежденные вирусом записи в ключах реестра.
Итак, пользователи Windows XP могут пролечить свои компьютеры следующим образом:

1. Скачать с нашего сайта архив с утилитами от VirusHunter'а, который находится здесь;

2. Отключить компьютер от сети Интернет, распаковать содержимое архива и запустить утилиту №16 (важно: перед использованием утилиты настоятельно рекомендуется отключить проактивную антивирусную защиту, дабы избежать негативных казусов и ошибок лечения). В ходе процедуры лечения утилита осуществит следующие действия:

 - удалит вредоносный файл olhrwef.exe, а затем в течении 40 секунд (время одинаково для любых компьютеров независимо от их быстродействия и количества информации на жестком диске) и все копии вируса в корнях логических, сетевых и съемных дисков, подключенных к компьютеру;
 - выгрузит из памяти путем перезагрузки Explorer Shell и удалит вредоносные файлы nmdfgds%X.dll;
 - удалит ссылку реестра на вредоносный файл olhrwef.exe, а также восстановит все измененные/заблокированные вирусом системные настройки, связанные с просмотром скрытых/системных файлов в Проводнике, а также с функционалом антивирусных продуктов ЛК;
 - удалит из системы записи вредоносного сервиса AVPsys;
 - удалит вредоносный файл C:\autorun.inf.

При этом в процедуру очистки не были включены файлы autorun.inf, расположенные в корнях дисков, отличных от C:.
Поскольку основной функционал утилиты построен на использовании двух внутренних ошибок, содержащихся в коде вируса, то процесс лечения возможен лишь при запуске утилиты под зараженной системой и при наличии активной копии вируса в памяти;

3. Запустить утилиту №6 из набора VirusHunter'а для блокировки чтения системой вредоносных файлов autorun.inf (если в дальнейшем Вы не хотите более использовать данную утилиту, то запустите ее еще раз - инсталлированная в систему функция блокировки чтения данных из autorun.inf будет удалена; для текущего сеанса работы в Windows функция блокировки останется в силе);

4. Удалить из корней всех дисков, отличных от C:, оставшиеся после вируса файлы-компоненты autorun.inf, т.к. в противном случае ни через меню "Мой компьютер", ни посредством Проводника доступ к данным на таких дисках получить в дальнейшем не удастся (кроме, как через командную строку или сторонний файловый менеджер типа Total Commander или Far Manager), а на экране будет выведено меню следующего вида:


5. Если после лечения наблюдается нестабильность в работе ОС, то это можно легко исправить, просто перезагрузив компьютер.

Пользователи антивирусных продуктов ЛК, у которых в компьютере был удален вирусом оригинальный файл klif.sys, могут восстановить его из резервной копии, хранимой в одном из подкаталогов папок, в которые были установлены компоненты защитного продукта ЛК. Самый простой способ найти резервный klif.sys - через системный сервис "Поиск файлов и папок".

Утилита №16 не предусматривает исправление повреждений реестра в тех случаях, когда вирус и его компоненты были уничтожены каким-либо антивирусом (в данную утилиту такой функционал не был добавлен по некоторым конструктивным соображениям).
Дополнительную информацию касательно работы утилиты №16 можно прочитать в прилагаемом к набору от VirusHunter'а руководстве пользователя.

Пользователям, антивирусные продукты которых отказываются после удаления вируса выполнять процедуру обновления сигнатурных баз и программных модулей, рекомендуется произвести полную переустановку антивируса с предварительным удалением последнего через Меню удаления программ. Также придется заново скачивать обновление антивирусной базы и программных модулей (если вы не сделали предварительно резервной копии последних), а также заново вводить настройки параметров программы.

Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Win32.Worm.GameSpy.93,95,a-hg
Win32.Worm.GameSpy.xa-xc
Win32.Worm.GameSpy.ya-yc


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 23.10.2009
Дата внесения последних изменений: 23.10.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00279998779297