VirusHunter предупреждает всех пользователей ПК о распространении очень опасного файлового вируса Win32.Transcorder.A (aka Win32.Alman), поражающего Win32-программы, похищающего конфиденциальную пользовательскую информацию, а также загружающего множество др. вредоносных программ из сети Интернет в пораженные им компьютеры...


Некоторые определения, встречающиеся в описании.

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

%windir% - каталог, в который установлена ОС Windows.


Детальное описание вируса Win32.Transcorder.A.

1. Источники попадания в машину.

Основным источником распространения данного вируса являются, как обычно, файло-обменные сети. Вирус может попадать в каталоги установленных на машинах программ файло-обмена в зараженных дистрибутивах программного софта, переданных Вам друзьями или знакомыми. К сожалению, большинство пользователей упорно игнорируют антивирусные программы или просто не обновляют антивирусные базы, в результате чего "просыпают" попадание вируса в свои машины. Как результат, инфицированные компьютеры становятся рассадниками вирусов для десятков или даже сотен др. компьютеров. Потенциальную опасность также могут представлять CD/DVD-диски, записанные на таких "чистых" машинах, т.к. очевидно, что среди записанных на них (дисках) файлов окажутся и инфицированные.
Также данный вариант вируса способен распространять себя по локальной офисной сети или устанавливаться какой-либо ранее попавшей в компьютер вредоносной программой через сеть Интернет.


2. Инсталляция в систему и внедрение в процессы ядра ОС Windows.
Руткит-драйвер и сокрытие вредоносных компонентов от глаз пользователя.

Win32.Transcorder.A является резидентным, зашифрованным (полностью в инфицированных файлах и частично в компонентных модулях) вирусом, использующим для своего распространения тела Windows-приложений (т.н. PE-файлы, содержащие в своих заголовках метку "PE"; к таковым относятся программы с 32-битным кодом, написанные на языках высокого уровня, таких как, например, C++ Builder, Borland Turbo Pascal (Delphi) и пр., создаваемые для работы в среде Windows). Написан на Ассемблере (все компоненты). Способен существовать как самостоятельная программа (т.е. в виде рабочего файла, содержащего полный функциональный код вируса), причем может присутствовать в компьютере в нескольких объектных формах:

 - в теле файла с зараженной программой (формат PE EXE);
 - отдельно, в виде самостоятельно функционирующего DLL-модуля (динамической библиотеки Windows);
 - в виде дроппер-файла (программы, содержащей в себе DLL-модуль вируса и функционал извлечения и установки этого модуля в систему - своего рода программа-"мастер").

Если вирус был загружен в компьютер др. вредоносной программой через сеть Интернет или попал в виде "полезного" файла из файло-обменной сети, то такой дроппер будет иметь расширение файла "EXE", размер и имя которого могут варьироваться злоумышленниками, написавшими данный вирус. Одним из таких дропперов является файл размером 34304 байта, код которого сжат при помощи утилиты компрессии программных файлов "UPX" версии 1.24. При запуске (либо самим пользователем, либо вредоносной программой, которая загрузила его из сети Интернет) такой дроппер извлекает из своего тела и записывает в корневой каталог с установленной ОС Windows Основной компонент вируса - файл linkinfo.dll размером 53248 байт:

%windir%\linkinfo.dll

Файл носит атрибут "архивный" (archive), дата и время его модификации соответствуют моменту записи в системный каталог; код файла никакими утилитами компрессии или криптографии не обработан, но при этом частично зашифрован внутренними криптографическими алгоритмами (линейным и полиморфным). Следует также отметить, что и название данного файла, и цифровая подпись были позаимствованы авторами вируса у оригинального системного компонента ядра ОС Windows XP

%windir%\System32\linkinfo.dll

, только номер версии вирусного файла в поддельной цифровой подписи более поздний - 5.1.2600.2751.
После извлечения дроппер запускает DLL-файл на выполнение, а затем удаляет себя. Для этого он извлекает из своего тела в текущий каталог вспомогательный файл размером 46 байт с названием unxxx.bat, написанный на языке Batch-скрипт (язык логических системных команд), который в бесконечном цикле пытается удалить завершивший свою работу файл дроппера (название своего файла дроппер передает в виде переменной), а когда это удалось, то выходит из цикла и также удаляет себя.
Если же на выполнение запускается зараженный файл, то его запуск происходит без каких-либо видимых задержек, при этом вредоносный модуль linkinfo.dll извлекается из тела зараженной программы и устанавливается в вышеуказанный системный каталог посредством специального механизма, встроенного вирусом в инфицированный файл.
Получив управление, вредоносный linkinfo.dll подключается к интерфейсу системы - процессу Explorer.exe и устанавливает программные перехватчики на определенные системные события (запуск программных файлов, подключение к локальной и глобальной сети и т.п.). Затем вирус извлекает из своего тела вспомогательный компонент - руткит-драйвер размером 15872 байта, который записывает в систему как

%windir%\System32\drivers\cdralw.sys

Файлу также присваивается атрибут "архивный", а дата и время его модификации соответствуют моменту записи на диск. Название файла выбрано сходным с одним из добавочных системных драйверов от компании "Sonic Solution", расположенным обычно в вышеуказанном каталоге в виде файла с названием

%windir%\System32\drivers\cdralw2k.sys

У руткита поддельная цифровая подпись полностью совпадает с этим системным драйвером.
Будучи запущенным вирусом, руткит реализует невидимость записей и процессов, связанных с уже существующими и предполагаемыми для создания в будущем сервисами различных вредоносных программ, загрузка которых будет произведена из сети Интернет:

 - сокрытие записей в ключах реестра, создаваемых вирусом для пока что ещё несуществующего вредоносного сервиса, названного для маскировки "NVIDIA Compatible Windows Miniport Driver" (якобы сервис, связанный с графическим адаптером производителя NVidia):

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdralw\]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="system32\\DRIVERS\\nvmini.sys"
"DisplayName"="NVIDIA Compatible Windows Miniport Driver"
"Tag"=dword:00000007
"Group"="Pointer Port"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdralw\Security\]
"Security"=hex:01,00,14,80,90,00,00,00,9C,00,00,00,14,00,00,00,30,00,00,00,02,00,1C,00,01,00,\
  00,00,02,80,14,00,FF,01,0F,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,\
  00,04,00,00,00,00,00,14,00,FD,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,\
  00,00,18,00,FF,01,0F,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,\
  00,14,00,8D,01,02,00,01,01,00,00,00,00,00,05,0B,00,00,00,00,00,18,00,FD,01,\
  02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdralw\Enum\]
"0"="Root\\LEGACY_CDRALW\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
"INITSTARTFAILED"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet0%x\Services\cdralw\]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="system32\\DRIVERS\\nvmini.sys"
"DisplayName"="NVIDIA Compatible Windows Miniport Driver"
"Tag"=dword:00000007
"Group"="Pointer Port"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet0%x\Services\cdralw\Security\]
"Security"=hex:01,00,14,80,90,00,00,00,9C,00,00,00,14,00,00,00,30,00,00,00,02,00,1C,00,01,00,\
  00,00,02,80,14,00,FF,01,0F,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,\
  00,04,00,00,00,00,00,14,00,FD,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,\
  00,00,18,00,FF,01,0F,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,\
  00,14,00,8D,01,02,00,01,01,00,00,00,00,00,05,0B,00,00,00,00,00,18,00,FD,01,\
  02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet0%x\Services\cdralw\Enum\]
"0"="Root\\LEGACY_CDRALW\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
"INITSTARTFAILED"=dword:00000001


, где %x - номер подсервисов в записях ключей реестра (обычно от 01 до 10);  - сокрытие на дисках файлов, а в памяти компьютера активности соответствующих процессов, имена которых соответствуют следующему списку (судя по всему, регистр литерных символов учитывается руткитом):

ISPUBDRV
ISDRV1
RKREVEAL
PROCEXP
SAFEMON
RKHDRV10
NPF
IRIS
UPXDHND.DLL
CMDBCS.DLL
WSVBS.DLL
MDDDSCCRT.DLL
RUND11.DLL
LGSYM.DLL
RDSHOST.DLL
RDFHOST.DLL
RDIHOST.DLL
RPCS.DLL
NOTEPAD.DLL
DLLHOSTS.DLL
WINDHCP.DLL
RICHDLL.DLL
WININFO.RXK
DLLWM.DLL


Процедура сокрытия должна распространяться на указанные имена только в том случае, если таковые будут расположены в одном из следующих системных каталогов:

\COMMON FILES\
\WINDOWS\
\WINNT\
\SYSTEM32\
\QQ

 - сокрытие на всех доступных дисках файлов со следующими названиями:

boot.exe
autorun.inf
linkinfo.dll
cdralw.sys


Однако по причине какой-то ошибки данная "маска" будет скрывать файлы уже только при соответствии имен файлов, т.е.:

boot
autorun
linkinfo
cdralw


Сокрытие достигается путем блокирования обращений к соответствующим файлам/процессам/записям с целью их инициализации и распознавания системной службой services.exe. В результате таких действий сокрытыми окажутся, например, и оригинальные системные файлы linkinfo.dll.
Вирус содержит некую ошибку, по причине которой процедура сокрытия файлов, записей и процессов работает лишь до первой перезагрузки компьютера; при последующих стартах системы все вышеперечисленные объекты более не скрываются.
Для запуска при каждом последующем старте ОС вирусу не нужно создавать никаких записей в ключах реестра, поскольку Основной модуль носит название linkinfo.dll, содержит идентичную системному компоненту цифровую подпись и располагается в корневом каталоге системы: при старте ОС процесс Explorer.exe автоматически подхватывает вредоносный %windir%\linkinfo.dll вместо оригинального %windir%\System32\linkinfo.dll (в соответствии с порядком просмотра системных путей) и загружает его как свой модульный компонент. Поэтому вредоносный linkinfo.dll уже самостоятельно подгружает в память оригинальный системный модуль. При этом, если вирус по каким-либо причинам "забыл" или не успел загрузить оригинальный linkinfo.dll в оболочку Explorer.exe во время загрузки компьютера, система может уйти в "Синий экран смерти" или же просто аварийно перезагрузить компьютер.
Чтобы как-то инициализировать свое активное присутствие в системе, вирус создает в памяти уникальную метку-идентификатор

__DLU_INF__


3. Заражение PE EXE-файлов на локальном компьютере.

Сразу же после своего запуска вирус реализует процедуру поиска файлов для заражения, который ведется поэтапно, начиная с диска C:, однако системный раздел пропускается. Т.е., если Windows установлена на диск C:, то заражение производится, начиная с диска D: и кончая Z:, а файлы на системном разделе C: будут заражены в последнюю очередь. При этом алгоритм обхода каталогов на текущем диске следующий: сначала вирус ищет и заражает файлы в папках с нижеследующими названиями, но которые при этом не прописаны в путях как системные и служебные каталоги:

\program files\
\system\
\com\
\winnt\
\windows\

Заразив часть файлов в этих каталогах, вирус переходит на следующие, обходя их в алфавитном порядке, а уже только потом переходит к заражению следующего логического диска.
При обнаружении подходящего для заражения файла вирус проверяет некоторые условия, связанные с внутренней структурой последнего, его формат (PE EXE), а также инфицирован ли он уже или еще нет. Если файл не загружен на выполнение и не инфицирован, то вирус считывает и запоминает его (файла) параметры - дату и время модификации, а также атрибуты, после чего приступает к редактированию файла (при этом вирус обходит ограничение редактирования при наличии у файла атрибута "read only" - только для чтения). При заражении вирус дописывает свое зашифрованное тело в конец файла. Для этого linkinfo.dll выделяет полный вирусный код из своего тела, затем удлиняет последнюю секцию заражаемого файла и записывает в неё этот код, производя его полиморфное шифрование, дабы сигнатурная структура вирусного кода в разных зараженных файлах была отличной друг от друга (для усложнения его визуального обнаружения). Далее вирус корректирует заголовок файла: изменяет "точку входа" (место в коде заголовка файла, с которого производится считывание стартового адреса программы и начинается ее выполнение), заменяя оригинальный стартовый адрес (предварительно запоминает его) ссылкой на стартовый адрес своего полиморфик-расшифровщика, который располагается примерно в нескольких сотнях байт от начала вирусного тела в заражаемом файле. Затем вирус считывает фрагмент кода оригинального файла, который располагается в начальной части первой логической секции программы. Этот фрагмент, размером примерно около 5 кб, вирус переносит в конец файла, дописывая к своему коду, и шифруя полиморфик-крипт-алгоритмом, а на его место записывает служебную информацию в отношении модификаций, произведенных в структуре файла, а также информацию об оригинальном стартовом адресе инфицированной программы. При этом, в тех случаях, когда длина записываемого вирусом фрагмента превышает длину оригинального, зловред производит дополнительное смещение первой логической секции файла в сторону заголовка инфицируемой программы, используя для этого присутствующее свободное пространство между заголовком и модифицируемой секцией файла (одну из т.н. "программных дырок", остающееся после компиляции программы). Затем вирус запоминает измененный файл и присваивает ему назад исходные атрибуты, дату и время модификации. При этом результирующее увеличение размера инфицированной программы по отношению к исходному составляет 36352 байта, однако в некоторых случаях может быть немного больше.
С учетом всех вышеописанных манипуляций, производимых вирусом с заражаемым файлом, схематически структура зараженной программы будет выглядеть примерно так (на схеме не учитываются пропорции между участками с фрагментами программного кода):

Файл до заражения (слева) и после (справа):


В дальнейшем, при обращении к зараженному файлу его запуск происходит по алгоритму, показанному в общих чертах на нижеследующей схеме:


Сначала управление получает вирусный стартер-код, который проверяет некоторые технические условия внутри файла, системные параметры и наличие установленного в систему вредоносного модуля linkinfo.dll, затем расшифровывает "на лету" и восстанавливает в исходное состояние модифицированный код зараженной программы, после чего передает управление на стартовый адрес уже восстановленной программы. При этом вирус не изменяет запущенный зараженный файл непосредственно на диске, а загружает его восстановленный код из образа, который записывает в специально выделенный для этого участок виртуальной памяти компьютера. При создании такого образа вирус подсчитывает его размер и проверяет количество доступной виртуальной памяти. Если количество последней достаточно для размещения образа, то вирус производит запись и передает управление этой виртуальной копии программы.
Вирус очень корректно реализует механизм заражения файлов, о чем свидетельствует тот факт, что тестовые запуски десятков инфицированных файлов не выявили ни одного сбоя в работе соответствующих программ. Однако в системе может наблюдаться весьма ощутимое торможение при одновременном запуске большого количества инфицированных файлов или же в период реализации вирусом процедур поиска объектов для заражения.
Вирус не заражает файлы, названия которых совпадают со следующими (учитывается регистр литерных символов; некоторые имена записаны в коде вируса нечитабельными символами - иероглифы?):

launcher.exe
repair.exe
wow.exe
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
_у>°ОчУО.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

Чтобы избежать повторного заражения уже инфицированных файлов, вирус проверят в хвостовой части файла некую сигнатурную последовательность кода, наличие которой является для зловреда свидетельством зараженности текущего объекта.
Чтобы как-то инициализировать активность процедуры поиска файлов, дабы избежать ее дубляжа, вирус создает в памяти уникальную метку-идентификатор

PNP#DMUTEX#1#DLU


4. Поиск и заражение файлов на сетевых компьютерах.

Вирус пытается распространить себя на все доступные компьютеры локальной сети. При этом он ищет все доступные сетевые диски, на которые возможна запись, выявляет там PE EXE-файлы и заражает их. При этом не заражаются файлы, названия которых совпадают со следующими (опять же, учитывается регистр буквенных символов):

realschd.exe
cmdbcs.exe
wsvbs.exe
msdccrt.exe
run1132.exe
sysload3.exe
tempicon.exe
sysbmw.exe
rpcs.exe
msvce32.exe
rundl132.exe
svhost32.exe
smss.exe
lsass.exe
internat.exe
explorer.exe
ctmontv.exe
iexplore.exe
ncscv32.exe
spo0lsv.exe
wdfmgr32.exe
upxdnd.exe
ssopure.exe
iexpl0re.exe
c0nime.exe
svch0st.exe
nvscv32.exe
spoclsv.exe
fuckjacks.exe
logo_1.exe
logo1_.exe
lying.exe
sxs.exe

Если доступ к сетевому диску (или папке на сетевом диске) закрыт паролем, то вирус пытается получить его путем подключения под учетной записью Administrator с одним из паролей, последовательно подбираемым из следующего списка:

password1
monkey
password
abc123
qwerty
letmein
root
mypass123
owner
test123
love
admin123
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456789
12345
aaa
123
111
1
admin


Также вирус ищет на сетевом диске подкаталог \drivers\, куда копирует свой руткит-драйвер cdralw.sys.
Процесс инфицирования файлов на сетевых дисках производится параллельно с заражением файлов на локальном компьютере.


5. Действия вируса во время работы в сети Интернет.
Похищение конфиденциальных пользовательских данных.

Вирус следит за активностью подключения инфицированного компьютера к сети Интернет, и, как только происходит соединение с глобальной сетью, DLL-модуль проверяет наличие в системных папках следующих вредоносных файлов:

%windir%\AppPatch\AcPlugin.dll
%windir%\System32\drivers\IsDrv122.sys
%windir%\System32\drivers\RsBoot.sys

Затем, если такие файлы имеются, проверяет по содержащимся в них цифровым подписям версии последних, после чего связывается с каким-то сервером, запрашивает на нем номера версий указанных файлов и в том случае, если обнаруживает там более свежие, то загружает их в вышеуказанные папки.

Файл AcPlugin.dll - частично зашифрован, имеет размер 27136 байт и является вариантом описываемого вируса, в котором отсутствуют функции саморазмножения и заражения файлов, но при этом присутствует функционал, связанный с загрузкой своих собственных обновлений и дополнительных вредоносных модулей. На данный момент было выявлено 2 варианта этой вредоносной программы с идентичным функционалом, но немного отличные по коду (детально не изучались);

Файл IsDrv122.sys - какой-то руткит (не был обнаружен на инфицированных компьютерах, подключенных к сети Интернет);

Файл RsBoot.sys - какой-то руткит (не был обнаружен на инфицированных компьютерах, подключенных к сети Интернет).

Скаченные файлы вирус сохраняет в указанные папки, перезаписывая ими более ранние версии, после чего запускает на выполнение.
Помимо загрузки др. вредоносных программ, вирус похищает с зараженного компьютера конфиденциальные системные и пользовательские данные, которые отправляются на сайт злоумышленников в виде строки с HTTP-запросом. В запросе передаются следующие вещи:

 - кол-во свободного места на жестком диске;

 - версия ОС Windows;

 - версия веб-браузера Internet Explorer;

 - список комплектных драйверов от установленных в системе антивирусных программ.

Также вирус скачивает какие-то файлы по нижеследующим двум ссылкам, содержащимся в его теле в открытом и зашифрованном виде:

http://dat.goodnetads.org:53/dat.asp (ссылка незашифрована)
http://log.goodnetads.org:53/log.gif (ссылка зашифрована со смещением XOR 66h)

К моменту разработки данного описания обе ссылки были уже нерабочими.
Кроме того, в машину скачивается обновление вируса в виде файла-дроппера, который сохраняется на диск как

C:\setup.exe
, а также копируется вирусом в корни всех доступных сетевых дисков локальной сети (ни на одной из инфицированных машин данный объект обнаружен не был).
Чтобы как-то инициализировать активность процедуры похищения данных и закачки файлов из глобальной сети, дабы избежать ее дубляжа, вирус создает в памяти уникальную метку-идентификатор

PNP#NETMUTEX#1#DLU


6. Детектирование вируса и лечение машины.

На момент разработки данного описания антивирусные программы уже обнаруживали вирус Win32.Transcorder.A и его компоненты под нижеприведенными номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл-дроппер *.exe: Virus.Win32.Alman.a
файл linkinfo.dll: Virus.Win32.Agent.bu
файл cdralw.sys: Virus.Win32.Alman.b
файл AcPlugin.dll (оба варианта): Trojan-Spy.Win32.FtpSend.b
в зараженных файлах: Virus.Win32.Alman.b (лечит файлы от вируса)

Антивирус BitDefender Professional:
файл-дроппер *.exe: Trojan.Camcone.A
файл linkinfo.dll: Win32.Almanahe.H
файл cdralw.sys: Win32.Almanahe.H
файл AcPlugin.dll (оба варианта): Win32.Almanahe.F
в зараженных файлах: Win32.Almanahe.D (лечит файлы от вируса, оставляя их размер в неизменном виде)

Антивирус DrWeb:
файл-дроппер *.exe: Trojan.DownLoader.28268
файл linkinfo.dll: Trojan.DownLoader.38116
файл cdralw.sys: Win32.Alman.4
файл AcPlugin.dll (оба варианта): Win32.Alman.4
в зараженных файлах: Win32.Alman.1 (лечит файлы от вируса)

В принципе, самостоятельно осуществить процесс лечения от вируса для рядового пользователя просто нереально, если учесть все вышеизложенные приемы, которые использует вирус. Поэтому наиболее оптимальным решением вирусной проблемы, на мой взгляд, является перенос винчестера на др. неинфицированную машину, его подключение к ней, как второстепенного, с последующим пролечиванием всей находящейся на нем информации. В процессе лечения все файлы, неподдающиеся лечению и детектируемые под вышеуказанными номенклатурными названиями, необходимо просто удалить. После лечения некоторые программы могут оказаться нерабочими - причиной является встроенная в такие программы процедура проверки оригинальности их кода, которая заключается в подсчете т.н. CRC-значения (контрольной суммы) определенных участков кода файлов и сопоставлении полученных значений с оригинальными. К таким программам относится, например, Nero Burning ROM (программа для записи СD- и DVD-дисков). Учитывая тот факт, что вылеченные файлы содержат в своих заголовках некоторое количество измененных вирусом байт, вышеуказанная программа и ей подобные при своем запуске сразу же выдают соответствующее сообщение о расхождении значений контрольной суммы с оригинальным и завершают свою работу. Такие файлы также следует заменить.
Следует отметить, что некоторое количество вирусных копий может присутствовать в файлах с расширениями "CHK" (последние являются файлами, резервируемыми некоторыми версиями ОС Windows в случаях обнаружения сбойных кластеров на жестком диске системным приложением Scandisk).

Отдельно хотелось бы обратить Ваше внимание на следующую немаловажную вещь: не увлекайтесь чрезмерно борьбой с файлами под названием linkinfo.dll, которые являются невредоносными, а именно:

%windir%\System32\linkinfo.dll
%windir%\System32\dllcache\linkinfo.dll
%windir%\ServicePackFiles\i386\linkinfo.dll
%windir%\$NtServicePackUninstall$\linkinfo.dll

Все эти объекты являются резервными или более ранними копиями основного компонента ядра ОС Windows 2K/XP/2K3. Удачная попытка удалить указанные файлы несомненно приведет к полному краху и дальнейшей неработоспособности ОС Windows - с такими плачевными ситуациями, учиненными пользователями, я уже сталкивался несколько раз. Кроме того, в случае сокрытия вирусом данных файлов на дисках компьютера, все сокрытые файлы, даже невредоносные, будут инициализироваться некоторыми антивирусами как новая угроза Hidden.Object (неизвестная модификация). Так что учтите этот факт при лечении.

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Win32.Transcorder.B


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 04.11.2009
Дата внесения последних изменений: 04.11.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00393009185791