|
English version *** …Рабочий день близился к завершению. И тут срочно одному проектировщику (операционная система – лицензионная регулярно обновляемая Windows Vista SP2; также в наличии –лицензионный регулярно обновляемый антивирус и межсетевой экран) понадобилось «нагуглить» один СНиП. После перехода по одной из найденных в Топ-10 ссылок веб-браузер Mozilla Firefox аварийно завершил свою работу:
Следом завис и перезагрузился Проводник Windows (explorer.exe). После перезапуска браузера – та же картина. Запускаем Internet Explorer – «падает». Та же «падучая» участь постигла веб-браузеры Google Chrome, Opera. Смог работать – и то с большими «тормозами»! – только один браузер – Apple Safari.
Как говорится, суду всё ясно: дело явно попахивает вирусно-хакерской атакой. Начинаем искать «киллера» веб-браузеров. Изучение журнала событий Windows показало, что браузер Mozilla Firefox «жалуется» на «сбойный» модуль mswsock.dll; Google Chrome (chrome.exe) – на kernel32.dll и WS2_32.dll; Internet Explorer (iexplore.exe) – на USER32.dll:
Дальнейшие изыскания выявили загадочного «киллера»: им оказался вроде бы безобидный файлик, на самом деле оказавшийся самым что ни на есть трояном. Исполняемый файл вируса имеет имя vpyljsj.dat (220 160 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт 13-ти системных библиотек: – kernel32.dll (FileTimeToDosDateTime, GetExpandedNameA, GetFullPathNameW, QueryPerformanceFrequency, lstrcmpA, CreateMutexW, GetOEMCP, GetShortPathNameW, ExpandEnvironmentStringsA, CopyFileExW, CreateEventW, lstrlenA, lstrcmp, GetTimeFormatW, IsValidLocale, Sleep, MulDiv, GetEnvironmentStringsW, CompareStringW, GetTempPathW, FileTimeToLocalFileTime, CreateMailslotA, ReplaceFileA, Beep, SleepEx, GetVolumeInformationW, GetUserDefaultLCID, lstrcpyA, SetErrorMode, QueryPerformanceCounter, GetDateFormatW, GetCurrentDirectoryW, LoadLibraryW, GetModuleHandleW, GetModuleHandleA, ReadDirectoryChangesW, GetLastError, SearchPathW, GetCurrentProcess, GetProcAddress, GetStringTypeA); – user32.dll (SetWindowTextW, IsChild, ClientToScreen, FillRect, GetMenuInfo, ArrangeIconicWindows, GetMenuState, GetMessageW, GetForegroundWindow, LoadMenuIndirectW, InsertMenuA, DialogBoxParamA, EnumDesktopsW, RegisterClassA, SetCapture, MoveWindow, CreateDialogIndirectParamA, CreateDesktopW, SetParent, GetActiveWindow, SetDlgItemInt, GetDlgItemInt, CopyRect, EmptyClipboard, GetMenuItemInfoA, SetWindowPos, MessageBoxA, FindWindowW, DestroyIcon, IsWindowEnabled, SetWindowTextA, IsMenu, IsIconic, MonitorFromPoint, WinHelpW, ShowCursor, GetDlgItemTextA, CreateDialogParamW, FindWindowA); – GDI32.DLL (CreateCompatibleBitmap, LineTo, SetICMProfileA, PolyBezierTo, SetBitmapDimensionEx, SetMetaFileBitsEx, SetPixel, ScaleWindowExtEx, EnumFontFamiliesA, PlayEnhMetaFile, SetViewportExtEx, SwapBuffers, ColorMatchToTarget, GetOutlineTextMetricsW, CopyEnhMetaFileA, GetStockObject); – ADVAPI32.DLL (RegQueryValueA, RegOpenKeyExA, RegQueryValueExW, RegCloseKey, RegSaveKeyW, RegQueryMultipleValuesA, RegSaveKeyA, RegOpenKeyA); – COMDLG32.DLL (GetSaveFileNameW, GetSaveFileNameA, ReplaceTextA, PrintDlgExW, GetOpenFileNameA, ChooseFontW, PrintDlgW, PageSetupDlgW, ChooseFontA, GetFileTitleA); – OLE32.DLL (CreateFileMoniker, CoGetObject, BindMoniker, CoGetDefaultContext, OleCreateEx, CoInitializeEx, CoGetClassVersion, CoGetClassObject); – version.dll (VerQueryValueA, VerQueryValueW, VerFindFileW); – WS2_32.DLL (WSASend, WSASendTo, WSADuplicateSocketA, WSAGetLastError, WSAEventSelect, getpeername, WSAEnumProtocolsW); – URLMON.DLL (IsValidURL, GetMarkOfTheWeb, CopyStgMedium, IsLoggingEnabledA, WriteHitLogging, URLDownloadA, URLOpenStreamW, RegisterBindStatusCallback, CoInternetCombineUrl, HlinkGoForward); – winmm.dll (mixerClose, joy32Message, midiStreamPosition, waveInGetNumDevs, wod32Message, waveOutSetVolume, joyGetDevCapsW, mciGetDriverData, joyGetPos, mixerMessage, DriverCallback); – winspool.drv (GetPrintProcessorDirectoryW, SetPrinterDataW, DeleteFormW, SetPrinterDataExW, AddPrinterW, GetPrinterW, EnumPrinterKeyW, AddPrinterDriverW, DeletePrinterConnectionA, AddMonitorA); – OLEDLG.DLL (OleUIChangeSourceW, OleUIPromptUserW, OleUIPasteSpecialW, OleUIUpdateLinksW, OleUIPromptUserA, OleUIObjectPropertiesA, OleUIChangeSourceA, OleUIChangeIconA, OleUIConvertA, OleUIBusyA); – WSOCK32.DLL (WSAStartup).
«Визитная» карточка вируса (sigcheck): FileDescription: WebToolBar component LegalCopyright: © 1997-2010 Kaspersky Lab ZAO. InternalName: klwtbws ProductName: Kaspersky Anti-Virus CompanyName: Kaspersky Lab ZAO Kaspersky™ Anti-Virus ® is registered trademark of Kaspersky Lab ZAO. FileVersion: 9.1.7.3 ProductVersion: 1.4.8.7
То есть вирус прикрывается торговой маркой антивируса Касперского!..
Тело исполняемого файла вируса содержит так называемый манифест: <?xml version="1.0" encoding="UTF-8"standalone="yes"?> <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> <assemblyIdentity type="win32" name="CodeGear RAD Studio" version="12.0.3210.17555" processorArchitecture="*"/> <dependency> <dependentAssembly> <assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" publicKeyToken="6595b64144ccf1df" language="*" processorArchitecture="*"/> </dependentAssembly> </dependency> <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"> <security> <requestedPrivileges> <requestedExecutionLevel level="asInvoker" uiAccess="false"/> </requestedPrivileges> </security> </trustInfo> </assembly>
В теле вируса прошито .bmp-изображение размером 200x279 пикселей:
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти (в том числе в Безопасном режиме). На момент написания статьи ни один антивирус не детектировал зловреда…
*** Деструктивные действия вируса – при внедрении в систему вирус аварийно завершает работу веб-браузеров, Проводника Windows и Диспетчера окна рабочего стола (Desktop Window Manager); – копирует свой исполняемый файл vpyljsj.dat (220 160 байт) в каталог \Windows\apppatch\;
– для обеспечения автоматического запуска вируса (в том числе в Безопасном режиме) и внедрения его в системные процессы в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] модифицируется строковый (REG_SZ) параметр Userinit, значением второй части которого является путь к исполняемому файлу вируса, например, C:\Windows\system32\userinit.exe,C:\Windows\apppatch\vpyljsj.dat,;
– при запуске Windows вирус внедряется в адресное пространство процессов userinit.exe, winlogon.exe, svchost.exe, explorer.exe; – отслеживает и завершает работу антивирусов и межсетевых экранов; – отслеживает и завершает работу большинства веб-браузеров (Mozilla Firefox, Internet Explorer, Google Chrome, Opera); – отслеживает и завершает работу многих программ (например, программы учета трафика DUMeter, архиватора WinRAR, файлового менеджера Total Commander); – …
*** Как уничтожить вирус и устранить деструктивные последствия Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра. Отключите ПК от локальной и Глобальной сетей; – поскольку вирус загружается и в Безопасном режиме (Safe Mode), для его удаления воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander; – вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка; – в появившемся меню Мастер восстановления выберите Загрузка ERD Commander –> Enter; – внизу появится строка состояния Starting Winternals ERD Commander; – после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration; – в окне Welcome to ERD Commander выберите ОС –> OK; – когда загрузится Рабочий Стол, дважды щелкните значок My Computer; – в каталоге \Windows\apppatch\ удалите исполняемый файл вируса vpyljsj.dat; – закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit; – в окне ERD Commander RegistryEditor раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; – измените значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,); – проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe; – закройте ERD Commander RegistryEditor; – нажмите Start –> Log Off –> Restart –> OK. – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information); – при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер; – очистите кэш интернет-файлов; – при необходимости измените стартовую страницу веб-браузера на первоначальную; – при необходимости восстановите оригинальный hosts-файл;
– перезагрузите ПК; – включите восстановление системы; – просканируйте систему антивирусом со свежими базами.
Примечания 1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?). 5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!..
Валерий Сидоров
*** • Что делать, если появляется сообщение «Диспетчер задач отключен администратором»? • Что делать, если недоступен пункт меню «Свойства папки»? • Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»? • Что делать, если после лечения от вирусов не открывается флешка? • Как устранить последствия вирусной атаки? • Windows: что делать, если не запускается Утилита настройки системы msconfig? • Windows: как отобразить скрытые файлы и папки? English version
|
|
© 2011. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!