VirusHunter предупреждает всех пользователей ПК о распространении очень опасного файлового вируса Win32.Transcorder.B (aka Win32.Alman), поражающего Win32-программы, похищающего конфиденциальную пользовательскую информацию, а также загружающего множество др. вредоносных программ из сети Интернет в пораженные им компьютеры...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%windir% - каталог, в который установлена ОС Windows.


Детальное описание вируса Win32.Transcorder.B.

1. Источники попадания в машину.

Вирус начал свое распространение примерно в январе-марте 2008 года. Основным источником его распространения являются, как обычно, файло-обменные сети. Вирус может попадать в каталоги установленных на машинах программ файло-обмена в зараженных дистрибутивах программного софта, переданных Вам друзьями или знакомыми. К сожалению, большинство пользователей упорно игнорируют антивирусные программы или просто не обновляют антивирусные базы, в результате чего "просыпают" попадание вируса в свои машины. Как результат, инфицированные компьютеры становятся рассадниками вирусов для десятков или даже сотен др. компьютеров. Потенциальную опасность также могут представлять CD/DVD-диски, записанные на таких "чистых" машинах, т.к. очевидно, что среди записанных на них (дисках) файлов окажутся и инфицированные.
Кроме того, данный вариант вируса способен распространять себя по локальной офисной сети или устанавливаться какой-либо ранее попавшей в компьютер вредоносной программой через сеть Интернет, а также путем копирования инфицированных файлов на СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.), используя технологию активации при помощи вредоносных файлов autorun.inf.


2. Инсталляция в систему и внедрение в процессы ядра ОС Windows.
Руткит-драйвер и сокрытие вредоносных компонентов от глаз пользователя.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Transcorder.A. Отличия заключаются в следующем:

 - вредоносный linkinfo.dll имеет размер 46592 байта;

 - устанавливаемый в систему руткит имеет размер 17152 байта и называется IsDrv118.sys. У руткита поддельная цифровая подпись, передранная с системного драйвера nv4_mini.sys (отличатся только номером версии) для поддержки видеокарт от производителя "NVidia Corporation";

 - в записях ключей реестра, связанных с сервисом руткита, имя cdralw заменено на nvmini (т.е. в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvmini\ и др.);

 - изменен список файлов, предполагаемых для сокрытия на дисках:

ISPUBDRV
ISDRV1
RKREVEAL
PROCEXP
SAFEMON
RKHDRV10
NPF
IRIS
NPPTNT
DUMP_WMIMMC
SPLITTER
EAGLENT
UPXDHND.DLL
CMDBCS.DLL
WSVBS.DLL
MDDDSCCRT.DLL
RUND11.DLL
LGSYM.DLL
RDSHOST.DLL
RDFHOST.DLL
RDIHOST.DLL
RPCS.DLL
NOTEPAD.DLL
DLLHOSTS.DLL
WINDHCP.DLL
RICHDLL.DLL
WININFO.RXK
DLLWM.DLL


 - данный вариант вируса не содержит той ошибки, которая присутствовала в его предыдущей модификации, т.е. процедура сокрытия компонентов зловреда всегда работает корректно.


3. Заражение PE EXE-файлов на локальном компьютере.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Transcorder.A. Отличия заключаются в следующем:

 - результирующее увеличение размера инфицированной программы по отношению к исходному составляет 38912 байт, однако в некоторых случаях может быть немного больше;

 - из списка названий файлов, которые не подлежат заражению, убраны первые 3: launcher.exe, repair.exe и wow.exe.


4. Поиск и заражение файлов на сетевых компьютерах.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Transcorder.A. Отличия заключаются в следующем:

 - вирус ищет на сетевом диске подкаталог \drivers\, куда копирует свой руткит-драйвер, присваивая ему название ltkglg.sys.


4.1. Заражение СНИ. Потенциальная опасность потери пользовательских данных.

Если к инфицированному компьютеру подключается флэшка, карта памяти или какое-либо иное съемное устройство для записи информации посредством USB-порта, то вирус заражает устройство, записывая в его корень 2 следующих файла:

%drivename%\boot.exe - компрессированная и зашифрованная программа-"мастер" (размер 40960 байт), предназначенная для инсталляции вируса в систему;

%drivename%\Autorun.inf - вредоносный файл-дроппер (размер 143 байта), используемый для автозапуска компонента boot.exe при обращении к инфицированному СНИ через Проводник.

Обоим файлам присвоены для маскировки атрибуты "скрытый" и "системный", а также "только для чтения" и "архивный" ("hidden", "system", "read only" и "archive" соответственно). Первые 2 из перечисленных атрибутов делают компоненты вируса невидимыми для визуального просмотра в том случае, если юзер использует для работы с файлами и папками Проводник или программу-менеджер папок и файлов Total Commnader, у которых в настройках "по умолчанию" отключен показ объектов с данными атрибутами.
Принцип неконтролируемого запуска вируса при обращении к файлу autorun.inf через Проводник основан на свойстве Windows автоматически считывать и выполнять инструкции из файлов определенного формата и с определенными именами при чтении данных с СНИ, представляющих собой автозагрузочные диски для работы под оболочкой Windows. Детально о назначении autorun.inf и неконтролируемом запуске вредоносного кода посредством данного файла я писал в статье о троянской программе Trojan.LittleWorm (aka Win32.Worm.Small).
Дата и время модификации данных файлов соответствует реальному моменту времени, когда вирус произвел их запись на носитель.
Следует сразу отметить, что в процедуре заражения СНИ присутствуют 2 ошибки - простая и опасная. Простая заключается в том, что вирус воспринимает некоторые съемные носители как дополнительное аппаратное устройство, а не носитель информации, поэтому не заражает их. Опасная заключается в том, что вирус скрывает на СНИ, который заразил (заражение производится сразу после подключения устройства к USB-порту), не только вредоносные файлы boot.exe и %\Autorun.inf, но и полностью все содержимое, записанное на носитель. В результате, на инфицированном компьютере невозможно получить доступ или просто увидеть файлы и папки, содержащиеся на инфицированном СНИ; также с него будут "пропадать" прямо на глазах файлы, которые пользователь попытается туда скопировать. В реальности записанная на СНИ информация остается в полной сохранности, только увидеть ее и получить доступ невозможно, пока вирус присутствует в памяти компьютера. В том, что на СНИ есть невидимая информация легко убедиться, если посмотреть в его свойствах и сравнить величины общей емкости и количества свободного места на носителе - они, естественно, будут отличаться. Но при этом многие пользователи бросаются форматировать носитель, опасаясь, что произошло повреждение его формата, в результате чего вся полезная информация на таком носителе таки оказывается полностью утерянной.


5. Действия вируса во время работы в сети Интернет.
Похищение конфиденциальных пользовательских данных.

Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Transcorder.A. Отличия заключаются в следующем:

 - название скачиваемого руткита заменено с IsDrv122.sys на IsDrv118.sys;

 - в зависимости от некоторых условий, вирус может модифицировать содержимое системного файла %windir%\System32\drivers\etc\hosts, который предназначен для размещения таблицы соответствий IP-адресов именам компьютеров локальной сети или доменным именам сайтов в сети Интернет;

 - ссылки, по которым вирус скачивает файлы из сети, имеют следующий вид:

http://info.sb941.com/xxx.asp (ссылка незашифрована)
http://k.sb941.com/k.dat (ссылка зашифрована со смещением XOR 66h)


6. Детектирование вируса и лечение машины.

На момент разработки данного описания антивирусные программы уже обнаруживали вирус Win32.Transcorder.B и его компоненты под нижеприведенными номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл Autorun.inf: Worm.Win32.AutoRun.vcz
файл boot.exe: Trojan-Dropper.Win32.Small.axz
файл linkinfo.dll: Trojan-Downloader.Win32.Agent.bsi
файл IsDrv118.sys: Rootkit.Win32.Agent.ga
файл AcPlugin.dll (оба варианта): Trojan-Spy.Win32.FtpSend.b
в зараженных файлах: Virus.Win32.Alman.b (лечит файлы от вируса)

Антивирус BitDefender Professional:
файл Autorun.inf: Trojan.Autorun.LT
файл boot.exe: Win32.Almanahe.B
файл linkinfo.dll: Win32.Almanahe.B
файл IsDrv118.sys: Win32.Almanahe.B
файл AcPlugin.dll (оба варианта): Win32.Almanahe.F
в зараженных файлах: Win32.Almanahe.D (лечит файлы от вируса, оставляя их размер в неизменном виде)

Антивирус DrWeb:
файл Autorun.inf: Win32.HLLW.Autoruner
файл boot.exe: Win32.Alman
файл linkinfo.dll: Win32.Alman
файл IsDrv118.sys: Win32.Alman
файл AcPlugin.dll (оба варианта): Win32.Alman.4
в зараженных файлах: Win32.Alman.1 (лечит файлы от вируса)

В принципе, самостоятельно осуществить процесс лечения от вируса для рядового пользователя просто нереально, если учесть все вышеизложенные приемы, которые использует вирус. Поэтому наиболее оптимальным решением вирусной проблемы, на мой взгляд, является перенос винчестера на др. неинфицированную машину, его подключение к ней, как второстепенного, с последующим пролечиванием всей находящейся на нем информации. В процессе лечения все файлы, неподдающиеся лечению и детектируемые под вышеуказанными номенклатурными названиями, необходимо просто удалить. После лечения некоторые программы могут оказаться нерабочими - причиной является встроенная в такие программы процедура проверки оригинальности их кода, которая заключается в подсчете т.н. CRC-значения (контрольной суммы) определенных участков кода файлов и сопоставлении полученных значений с оригинальными. К таким программам относится, например, Nero Burning ROM (программа для записи СD- и DVD-дисков). Учитывая тот факт, что вылеченные файлы содержат в своих заголовках некоторое количество измененных вирусом байт, вышеуказанная программа и ей подобные при своем запуске сразу же выдают соответствующее сообщение о расхождении значений контрольной суммы с оригинальным и завершают свою работу. Такие файлы также следует заменить.
Следует отметить, что некоторое количество вирусных копий может присутствовать в файлах с расширениями "CHK" (последние являются файлами, резервируемыми некоторыми версиями ОС Windows в случаях обнаружения сбойных кластеров на жестком диске системным приложением Scandisk).

Отдельно хотелось бы обратить Ваше внимание на следующую немаловажную вещь: не увлекайтесь чрезмерно борьбой с файлами под названием linkinfo.dll, которые являются невредоносными, а именно:

%windir%\System32\linkinfo.dll
%windir%\System32\dllcache\linkinfo.dll
%windir%\ServicePackFiles\i386\linkinfo.dll
%windir%\$NtServicePackUninstall$\linkinfo.dll

Все эти объекты являются резервными или более ранними копиями основного компонента ядра ОС Windows 2K/XP/2K3. Удачная попытка удалить указанные файлы несомненно приведет к полному краху и дальнейшей неработоспособности ОС Windows - с такими плачевными ситуациями, учиненными пользователями, я уже сталкивался несколько раз. Кроме того, в случае сокрытия вирусом данных файлов на дисках компьютера, все сокрытые файлы, даже невредоносные, будут инициализироваться некоторыми антивирусами как новая угроза Hidden.Object (неизвестная модификация). Так что учтите этот факт при лечении.

Кроме того, с учетом потенциальной опасности, которую несет неконтролируемое считывание системой данных из вредоносных файлов autorun.inf, для пользователей Windows XP была разработана специальная утилита №6, выгружающая из системной памяти потоки данных, связанные со считыванием и выполнением инструкций из файлов autorun.inf. Данная утилита также содержится в наборе от VirusHunter'а, вместе с руководством пользователя.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 04.11.2009
Дата внесения последних изменений: 04.11.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00250697135925