Знакомьтесь: Feast + Ival = Feast.exe

С октября 2008 г. автор статьи на многих флешках и ПК обнаруживает вирус Feast (Feast.exe, GNR1OMYNdvN.exe).

Исследование показало, что вирус является трояном с характерными признаками сетевого червя. Вирус предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: MSVBVM60.DLL (MethCallEngine, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, vbaExceptHandler, ProcCallEngine), kernel32, USER32.DLL, GDI32.DLL, ADVAPI32.dll, ole32.dll, OLEAUT32.dll.

«Визитная» карточка вируса:

Version language: Английский (США)

CompanyName: Rdjbkm5th1

FileVersion: 1.06.0014

InternalName: GNR1OMYNdvN

OriginalFilename: GNR1OMYNdvN.exe

ProductName: S5WKrn31LTkBcnfsqLn0H

ProductVersion: 1.06.0014

Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Распространяется вирус посредством Глобальной, локальных и P2P-сетей, а также с помощью съемных носителей (в том числе – флешек и карт памяти цифровых фотоаппаратов и плееров).

***

Деструктивные действия вируса

При заражении системы в корневой директории диска C:\ создается каталог Feast (имеет атрибуты Скрытый, Системный, Только чтение)

– каталог Feast содержит каталог Ival (имеет атрибуты Скрытый, Системный, Только чтение). В целях маскировки значком каталога выбран значок, применяемый для системной папки Корзина

– в Проводнике Windows (с включенными опциями Отображать содержимое системных папок и Показывать скрытые файлы и папки) папка Ival выглядит пустой

но если открыть ее в Total Commander, видно, что она содержит два файла – исполняемый файл вируса Feast.exe (90 112 байт; имеет атрибуты Скрытый, Системный, Только чтение) и desKtOp.InI (62 байта; имеет атрибуты Скрытый, Системный)

– содержимое файла desKtOp.InI:

[.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E}

– в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD6M8-1MAD-81AD-MAD6-32OP5G1234521}] вирус создает строковый (REG_SZ) параметр StubPath со значением c:\Feast\Ival\Feast.exe;

– при запуске операционной системы вирус внедряет свой исполняемый код в адресное пространство процесса svchost.exe;

– при подключении к ПК съемных носителей вирус создает свою копию в корневом каталоге съемных носителей;

– …

***

Как ликвидировать вирус и устранить последствия вирусной атаки

Вирус не грузится в Безопасном режиме, поэтому самая оптимальная методика лечения такова (если ПК не загружается в Безопасном режиме, для удаления вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander):

– отключитесь от Интернета и от локальной сети;

– перезагрузите ПК в Безопасный режим;

– удалите каталог c:\Feast\;

– запустите Редактор реестра Windows:

• Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK;

• Windows Vista: нажмите Пуск, в текстовое поле Начать поиск (в Windows 7 – Найти программы и файлы) введите regedit;

– в появившемся перечне нажмите правой кнопкой мыши regedit.exe;

– из контекстного меню выберите Запуск от имени администратора;

– введите пароль, если появится соответствующий запрос;

– в открывшемся окне Редактор реестра откройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD6M8-1MAD-81AD-MAD6-32OP5G1234521}];

– удалите строковый (REG_SZ) параметр StubPath со значением c:\Feast\Ival\Feast.exe;

– закройте Редактор реестра;

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;

– очистите историю посещений;

– очистите кэш интернет-файлов;

– при необходимости измените стартовую страницу веб-браузера на первоначальную;

– при необходимости восстановите оригинальный hosts-файл;

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.