Путеводитель по сайту

Знакомьтесь: mdhevw.exe – троянец с признаками руткита и сетевого червя

Netler.ru - Слово о ПК и PC, или Хроника рефлексирующего сисадмина

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

·Статьи

·О ПК и PC

·Страничка Настроения

 

Find us on Facebook·Find us on Facebook

·ВКонтакте

 

·SAPE.RU – покупка и продажа ссылок

 

·Аксессуары для сотовых телефонов




Твиты пользователя @oldnetler

 

 

English version

Распечатать

 

Знакомьтесь: mdhevw.exe – троянец с признаками руткита и сетевого червя

 

 

***

В сентябре 2010 г. при лечении очередного ПК автор статьи обнаружил новый вирус, обладающий характерными признаками и руткита, и трояна, и сетевого червя.

Исследование показало, что вирус предназначен для самой распространенной операционной системы – 32-битной платформы ОС Windows с процессором x86 (тип файла – Portable Executable, PE).

Основные средства распространения вируса – Интернет, локальная сеть, flash-носители.

Родина вируса – Россия.

 

Вирус представлен тремя файлами:

mdhevw.exe (572 928 байт). Имеет атрибуты Скрытый, Системный, Только чтение. Осуществляет импорт системной библиотеки kernel32.dll (LoadLibraryA, GetProcAddress);

 

sdata.dll (23 552 байт). Упакован UPX. Имеет атрибуты Скрытый, Системный, Только чтение. Осуществляет импорт системных библиотек: KERNEL32.DLL (LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree), advapi32.dll (RegCloseKey), ntdll.dll (ZwOpenProcess), oleaut32.dll (SysFreeString), user32.dll (CharNextA);

 

aUtoRuN.iNF (194 байт). Имеет атрибуты Скрытый, Только чтение.

Содержимое файла aUtoRuN.iNF:

[AutoRun]

Open=mdhevw.exe -flash

UseAutoPlay=1

Action=Открыть папку для просмотра файлов

shell\open\Command=mdhevw.exe -flash

shell\open\Default=1

shell\explore\Command=mdhevw.exe -flash

 

 

***

Деструктивные действия

– при внедрении вируса в папке \Documents and Settings\All Users\Application Data\ (Windows XP) или \Users\All Users\ (Windows Vista и Windows 7) создается каталог srtserv;

– в каталог srtserv копируются файлы mdhevw.exe и sdata.dll;

– файлы mdhevw.exe и aUtoRuN.iNF копируются в корневые директории всех локальных и съемных дисков;

 

Знакомьтесь: mdhevw.exe – троянец с признаками руткита и сетевого червя

 

– файлы mdhevw.exe и aUtoRuN.iNF копируются в корневые директории всех вновь подключаемых съемных дисков;

– для обеспечения автоматического запуска вируса в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] создается строковый (REG_SZ) параметр srtserv со значением

C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe Windows Vista и Windows 7 C:\Users\All Users\srtserv\mdhevw.exe);

 

Знакомьтесь: mdhevw.exe – троянец с признаками руткита и сетевого червя

 

– для предотвращения загрузки операционной системы в Безопасном режиме удаляются соответствующие ключи Реестра;

– вирус препятствует отключению съемных дисков (например, с помощью значка Безопасное извлечение устройства в области уведомлений Панели задач);

– …

 

***

Маскировка вируса

Следует отметить, что еще совсем недавно для маскировки своего присутствия в системе вирусы запрещали запуск Диспетчера задач и отображение диалогового окна Свойства папки.

Современные вирусы используют более изощренные способы: например, они внедряются в адресное пространство системных процессов.

 

Аналогично маскируется и описываемый вирус:

– при загрузке Windows вирус запускает экземпляр системного процесса svchost.exe и внедряет в его адресное пространство исполняемый код файла mdhevw.exe;

– при загрузке Windows библиотека вируса sdata.dll автоматически подгружается в адресное пространство процесса explorer.exe.

 

 

***

Как уничтожить вирус и устранить деструктивные последствия

Для лечения воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander;

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в папке \Documents and Settings\All Users\Application Data\ (Windows XP) или \Users\All Users\ (Windows Vista и Windows 7) удалите каталог srtserv (вместе с файлами mdhevw.exe и sdata.dll);

в корневых директориях всех локальных дисков удалите файлы mdhevw.exe и aUtoRuN.iNF;

– закройте окно ERD Commander Explorer;

 

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander RegistryEditor раскройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run];

– удалите строковый (REG_SZ) параметр srtserv со значением

C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe Windows Vista и Windows 7 C:\Users\All Users\srtserv\mdhevw.exe);

– раскройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– закройте ERD Commander RegistryEditor;

– нажмите Start –> Log Off –> Restart –> OK.

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

 

– загрузите Windows в обычном режиме;

– если после перезагрузки появится сообщение, что профиль пользователя ПК не найден, нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– раскройте ветвь

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run];

– удалите строковый (REG_SZ) параметр srtserv со значением C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe Windows Vista и Windows 7 C:\Users\All Users\srtserv\mdhevw.exe);

– закройте Редактор реестра;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– очистите кэш интернет-файлов;

с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

 

Примечания

1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).

5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!

 

Валерий Сидоров

 

 

***

Статьи о ПК и PC

Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?

Что делать, если недоступен пункт меню «Свойства папки»?

Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?

Что делать, если после лечения от вирусов не открывается флешка?

Как устранить последствия вирусной атаки?

Windows: что делать, если не запускается Утилита настройки системы msconfig?

Windows: как отобразить скрытые файлы и папки?

Вирусы vs. антивирусы

Раскрывая тайны Windows…

Дело о…

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту


18+

© 2014. All rights reserved.

При использовании материалов сайта «Слово» прошу указывать источник информации!