Путеводитель по сайту

Знакомьтесь: червь SANJA – лже-csrss.exe + radic.exe

 

 

***

Знакомьтесь: червь SANJA – лже-csrss.exe + radic.exe

С марта 2010 г. автор статьи на многих флешках и ПК обнаруживает новый вирус – SANJA (csrss.exe, radic.exe).

Исследование показало, что вирус является сетевым червем, предназначенным для 32-битной платформы ОС Windows с процессором x86.

Вирус – резидентный, на заражённом ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти (даже в Безопасном режиме).

Распространяется червь посредством Глобальной, локальных и P2P-сетей, а также с помощью съёмных носителей.

На момент написания статьи ни один brand-name-антивирус не детектировал зловреда.

 

***

Деструктивные действия вируса

При заражении системы посредством локальной или Глобальной Сети вирус создает в каталоге %Temp%\ каталог E_4 (E_N4) с файлами com.run (270 336 байт); dp1.fne (114 688 байт); eAPI.fne (323 584 байт); internet.fne (184 320 байт); krnln.fnr (1 097 728 байт); RegEx.fnr (217 088 байт); shell.fne (40 960 байт); spec.fne (69 632 байта).

Это файлы трояна-дроппера, который устанавливает в папку \Documents and Settings\Имя_пользователя\ (Windows XP) – или в папку \Users\Имя_пользователя\ (Windows Vista и Windows 7) – исполняемый файл вируса csrss.exe (183 296 байт; имеет атрибуты Скрытый, Системный, Только чтение);

 

Знакомьтесь: червь SANJA – лже-csrss.exe + radic.exe

 

исполняемый файл вируса csrss.exe маскируется под системную службу Client Server Runtime Process / Процесс исполнения клиент-сервер (6 144 байта; дисковый адрес настоящего csrss.exe\Windows\System32\csrss.exe);

– также для маскировки (ведь расширения файлов по умолчанию не отображаются!) файл csrss.exe имеет стандартный значок, который обычно применяется для папок (то есть визуально исполняемый файл вируса отображается, как обычная папка. В этом заключена ещё одна ловушка: если пользователь попытается открыть («А что это за папка?») такую псевдопапку, то – не ведая того! – запустит исполняемый файл вируса!..;

– в папку \Windows\ устанавливается копия исполняемого файла вируса csrss.exe (183 296 байт; имеет атрибуты Скрытый, Системный, Только чтение);

– в папку \Windows\ устанавливается копия исполняемого файла вируса restore.exe (183 296 байт; имеет атрибуты Скрытый, Системный, Только чтение);

– в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] вирус создает строковый (REG_SZ) параметр Taskman со значением C:\Users\Имя_пользователя\csrss.exe (Windows Vista и Windows 7) или "C:\Documents and Settings\Имя_пользователя\csrss.exe" (Windows XP);

– в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] вирус создает строковый (REG_SZ) параметр Debugger со значением C:\WINDOWS\csrss.exe;

– вирус создает раздел

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSRSS];

в разделе Реестра

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices] вирус создает  строковый (REG_SZ) параметр explorer.exe со значением explorer.exe;

– при запуске операционной системы вирус внедряет свой исполняемый код в адресное пространство процесса explorer.exe (Проводник);

– при попытке выгрузить explorer.exe вирус запускается заново после перезапуска Проводника (иногда при попытке выгрузить explorer.exe, а также при попытке запустить утилиту AVZ «вылетает» BSOD с ошибкой 0x000000F4).

 

Если же вирус заражает систему посредством съёмных носителей, то на флешке присутствует папка SANJA (имеет атрибут Скрытый). В целях маскировки значком папки выбран стандартный значок, применяемый для системной Корзины:

 

Знакомьтесь: червь SANJA – лже-csrss.exe + radic.exe

 

В папке SANJA расположены 2 файла – desktop.ini (64 байта; в этом файле за папкой SANJA закреплен значок Корзины) и radic.exe (автором статьи обнаружены 2 разновидности этого файла – 183 296 байт и 183 293 байта) – исполняемый файл вируса, с помощью которого он устанавливается в систему.

В корневом каталоге съёмного носителя расположен файл autorun.inf (441 байт), обеспечивающий автозапуск файла radic.exe.

Примерное содержимое файла autorun.inf:

[autorun]

*dskadasдЊЛЉЧДКчњљдкЊЧмЧСѕмјфАСЛЧКфОЧЉk?DASKLF?

?PKQWFMWQL?ЛДЭЖАЫЬАыдьячюмьочясЖЛДлвЦЙвДЩЗХВЦВ

ДЩЛФЫвждфьоСАЫЖЛФОЩВшцйВОвщфыловтчялмьльфыдж

влцджлвазцщшхвзфыВДЫЭФьлацдщжОАЬЫЖЛвЖФВЩХЦЗЩ

ВДЦЙЛВЫФОСМТЯЖДМОФЫХАШЛЩЦЙЗДЩАцйзЛВАЦЙВДЛЗЭЦ

ЙВЛЦОтьаФЫЭАОФЛацй

open=SANJA/radic.exe

action=Open folder to view files using Windows Explorer

icon=SANJA/radic.exe

Shell\open\command=SANJA/radic.exe

shell\open\command=SANJA/radic.exe

USEAUTOPLAY=1

 

 

***

Как ликвидировать вирус и устранить последствия вирусной атаки

Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.

 

1. Отключите ПК от локальной и Глобальной сетей.

 

2. Поскольку вирус загружается и в Безопасном режиме (Safe Mode), для его удаления воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);

– запустите ERD Commander Explorer;

– в папке Temp удалите каталог E_4 (E_N4);

в папке \Windows\ удалите файл csrss.exe;

– в папке \Windows\ удалите фай restore.exe;

в папке \Documents and Settings\Имя_пользователя\ (Windows XP) – или в папке \Users\Имя_пользователя\ (Windows Vista и Windows 7) – удалите файл csrss.exe;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander RegistryEditor раскройте ветвь

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– раскройте ветвь

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– удалите строковый (REG_SZ) параметр Taskman со значением C:\Users\Имя_пользователя\csrss.exe (Windows Vista и Windows 7) или "C:\Documents and Settings\Имя_пользователя\csrss.exe" (Windows XP);

раскройте ветвь

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe];

удалите строковый (REG_SZ) параметр Debugger со значением C:\WINDOWS\csrss.exe;

– удалите раздел

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CSRSS];

раскройте ветвь

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices];

удалите строковый (REG_SZ) параметр explorer.exe со значением explorer.exe;

– закройте ERD Commander RegistryEditor;

– нажмите Start –> Log Off –> Restart –> OK.

 

3. Загрузите ПК в штатном режиме;

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– очистите кэш интернет-файлов;

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

 

 

 

Примечания

1. Будьте осторожны при манипуляциях с Реестром (см. Что такое Реестр Windows?)! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

4. Чтобы различать подозрительные файлы, «косящие» под папки, можно отключить опцию Скрывать расширения для зарегистрированных типов файлов:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры снимите флажок Скрывать расширения для зарегистрированных типов файлов –> OK.

5. Отключите автозапуск компакт-дисков, съёмных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съёмных дисков и флешек?).

6. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.