VirusHunter предупреждает всех пользователей ПК о распространении файлового вируса Win32.HLLP.Underscore, поражающего Win32-программы...


Детальное описание вируса Win32.HLLP.Underscore.

1. Источники попадания в машину.

Основным источником распространения данного вируса являются, как обычно, файло-обменные сети. Вирус может попадать в каталоги установленных на машинах программ файло-обмена как под видом "полезных" программ, так и просто в зараженных дистрибутивах программного софта, переданных Вам друзьями или знакомыми. К сожалению, большинство пользователей упорно игнорируют антивирусные программы или просто не обновляют антивирусные базы, в результате чего "просыпают" попадание вируса в свои машины. Как результат, инфицированные компьютеры становятся рассадниками вирусов для десятков или даже сотен других компьютеров. Потенциальную опасность также могут представлять CD/DVD-диски, записанные на таких "чистых" машинах, т.к. очевидно, что среди записанных на них (дисках) файлов окажутся и инфицированные. Не исключается также и возможность подхватить данный вирус в том случае, если Вы пользуетесь для переноса/хранения информации флэшками (USB Flash Memory Storage) или дискетами.


2. Инсталляция в систему.

Win32.HLLP.Underscore представляет собой нерезидентную Windows-программу (т.н. PE EXE-файл, содержащий в своем заголовке метку "PE"; к таковым относятся программы с 32-битным кодом, написанные на языках высокого уровня, таких как, например, C++ Builder, Borland Turbo Pascal (Delphi) и пр., создаваемые для работы в среде Windows). Дееспособен под всеми существующими на сегодняшний день ОС Windows. Написан на языке Microsoft Visual C (откомпилирован с использованием Microsoft Visual C версии 5.0) и имеет длину кода 36864 байта.
При активизации вирус ищет системный каталог (через функции %windir% или %systemroot%) и копирует в него свой файл mc42.exe (название файла всегда одно и то же) размером 36864 байта. После этого создает ключ в разделе автозапуска системного реестра для возможности своей активизации при каждом старте системы:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 "Mc42.exe"="%windir%\\mc42.exe"



3. Заражение Win32-программ.

Как уже было сказано выше, вирус не является резидентной программой и может находиться в памяти машины только короткий промежуток времени, соответствующий его рабочему циклу (от десятков секунд до нескольких минут в зависимости от количества логических дисков на винчестере, объема содержащейся на них информации и быстродействия компьютера). Активизируется только при старте системы и/или при запуске зараженной программы, осуществляя при этом следующие действия:

1. Проверяет наличие своего стартового ключа в системном реестре и компонента mc42.exe в системном каталоге Windows;

2. Определяет все доступные логические диски (C, D, E ... Y, Z), включая и сетевые, открытые на полный или частичный доступ для записи данных (если зараженная машина работает в локальной [офисной] сети), затем выбирает случайным образом один из таких дисков, сканирует его, выявляет порядка 10-ти PE EXE-файлов (выбираются только те, которые имеют размер не более примерно 2-3 Мб) и заражает их, после чего и заканчивает свой рабочий цикл. Следует также отметить, что при выборе потенциальных "жертв" вирус игнорирует и не заражает EXE-файлы, если последние расположены в следующих каталогах:

 - в системной директории активной ОС Windows и ее подкаталогах;
 - в корневом каталоге диска C;
 - в директориии C:\WINDOWS и ее подкаталогах (как в том случае, если активная ОС Windows установлена в данный каталог, так и в случае наличия на машине нескольких установленных Windows-систем).

При заражении файлов вирус обходит атрибут "только для чтения" ("read only") и использует метод, применяемый в свое время в старых файловых вирусах HLLP-семейства (Hight Language Lines Program): перезаписывает обнаруженный EXE-файл своим кодом, к которому дописывает в конец код оригинальной программы. Схематически это выглядит так:


Win32.HLLP.Underscore не заражает файлы повторно, определяя наличие в них копии своей программы путем сверки содержимого начальной части зараженного файла с вирусной копией в файле mc42.exe и в том случае, если совпадение найдено, то вирус считает файл уже инфицированным и не трогает его.
При первом запуске зараженной программы вирус создает в текущей директории Новый файл, в который копирует оригинальную программу из тела зараженной, после чего запускает его (файл) на выполнение (зараженная программа закрывается после окончания выполнения вышеописанного вирусного цикла). Новому файлу присваиваются: точно такое же имя, какое имеет зараженный файл, но только с добавлением символа "пробел" в качестве первого символа; текущее время, которое вирус определяет по системному таймеру; атрибуты "скрытый" ("hidden") и "системный" ("system"). Таким образом, данный файл с оринальной программой невидим для пользователя при обычных системных настройках Вида папок и файлов, т.к. по умолчанию Windows не показывает скрытые и системные файлы.
При повторных запусках зараженной программы вирус перезаписывает Новый файл заново.
Данный прием, используемый вирусом, имеет негативную сторону: при запуске зараженного файла с носителя, имеющим малый запас свободного места (например, флэшка или дискета), а также с носителя, на который невозможна поточная запись (например, CD-диск или флэшка/дискета с джампером, переключенным в положение "блокировка записи"), оригинальная программа просто не запустится.
Принципиальную схему открытия зараженной программы можно представить следующим образом:



4. Прочее.

В коде вируса присутствует строка-"копирайт"

Underscore

За нее вирус и получил свое название.


5. Детектирование вируса и лечение машины.

С января 2005 года номенклатурные названия вируса некоторыми из антивирусных компаний были заменены на следующие:

Антивирус Kaspersky AntiVirus: Virus.Win32.Undersor (лечит зараженные файлы)

Антивирус BitDefender Professional: Win32.HLLP.36864 (лечит зараженные файлы)

Антивирус DrWeb: Win32.HLLP.Underscore.36864 (лечит зараженные файлы)

Следует отметить, что некоторое количество вирусных копий может присутствовать в файлах с расширениями "CHK" (последние являются файлами, резервируемыми некоторыми версиями ОС Windows в случаях обнаружения сбойных кластеров на жестком диске системным приложением Scandisk).
В процессе лечения файл mc42.exe необходимо удалить. После процесса лечения можно удалить все созданные вирусом копии оригинальных программ (см. выше по тексту), которые в дальнейшем будут представлять собой не более чем программный мусор.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 08.01.2005
Дата внесения последних изменений: 27.05.2005
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.0022611618042