Путеводитель по сайту

Знакомьтесь: vpyljsj.dat, или Дело о странном «падении» веб-браузеров

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

 

·Статьи

·Статьи о ПК и PC

·Страничка Настроения

·Интересное и полезное в Инете и Рунете

·Компьютерные байки

 

Find us on Facebook·Find us on Facebook

 

Рассылки Subscribe.Ru
Страничка Настроения
Интересное и полезное в Инете и Рунете
Погода в Алдане

***

Веб-мастеру,

    обдумывающему

              веб-житье,

Решающему,

    свой веб-сайт

              разместить где,

Я скажу:

    «Размести его

              на PeterHost.ru!» –
И жалеть

    об этом

              не придется тебе!



 

 

English version

***

…Рабочий день близился к завершению.

И тут срочно одному проектировщику (операционная система – лицензионная регулярно обновляемая Windows Vista SP2; также в наличии –лицензионный регулярно обновляемый антивирус и межсетевой экран) понадобилось «нагуглить» один СНиП.

После перехода по одной из найденных в Топ-10 ссылок веб-браузер Mozilla Firefox аварийно завершил свою работу:

 

Знакомьтесь: vpyljsj.dat, или Дело о странном «падении» веб-браузеров

 

 

Следом завис и перезагрузился Проводник Windows (explorer.exe).

После перезапуска браузера – та же картина. Запускаем Internet Explorer – «падает». Та же «падучая» участь постигла веб-браузеры Google Chrome, Opera. Смог работать – и то с большими «тормозами»! – только один браузер – Apple Safari.

 

Как говорится, суду всё ясно: дело явно попахивает вирусно-хакерской атакой.

Начинаем искать «киллера» веб-браузеров.

Изучение журнала событий Windows показало, что браузер Mozilla Firefox «жалуется» на «сбойный» модуль mswsock.dll; Google Chrome (chrome.exe) – на kernel32.dll и WS2_32.dll; Internet Explorer (iexplore.exe) – на USER32.dll:

 

Знакомьтесь: vpyljsj.dat, или Дело о странном «падении» веб-браузеров

 

 

Дальнейшие изыскания выявили загадочного «киллера»: им оказался вроде бы безобидный файлик, на самом деле оказавшийся самым что ни на есть трояном.

Исполняемый файл вируса имеет имя vpyljsj.dat (220 160 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт 13-ти системных библиотек:

kernel32.dll (FileTimeToDosDateTime, GetExpandedNameA, GetFullPathNameW, QueryPerformanceFrequency, lstrcmpA, CreateMutexW, GetOEMCP, GetShortPathNameW, ExpandEnvironmentStringsA, CopyFileExW, CreateEventW, lstrlenA, lstrcmp, GetTimeFormatW, IsValidLocale, Sleep, MulDiv, GetEnvironmentStringsW, CompareStringW, GetTempPathW, FileTimeToLocalFileTime, CreateMailslotA, ReplaceFileA, Beep, SleepEx, GetVolumeInformationW, GetUserDefaultLCID, lstrcpyA, SetErrorMode, QueryPerformanceCounter, GetDateFormatW, GetCurrentDirectoryW, LoadLibraryW, GetModuleHandleW, GetModuleHandleA, ReadDirectoryChangesW, GetLastError, SearchPathW, GetCurrentProcess, GetProcAddress, GetStringTypeA);

user32.dll (SetWindowTextW, IsChild, ClientToScreen, FillRect, GetMenuInfo, ArrangeIconicWindows, GetMenuState, GetMessageW, GetForegroundWindow, LoadMenuIndirectW, InsertMenuA, DialogBoxParamA, EnumDesktopsW, RegisterClassA, SetCapture, MoveWindow, CreateDialogIndirectParamA, CreateDesktopW, SetParent, GetActiveWindow, SetDlgItemInt, GetDlgItemInt, CopyRect, EmptyClipboard, GetMenuItemInfoA, SetWindowPos, MessageBoxA, FindWindowW, DestroyIcon, IsWindowEnabled, SetWindowTextA, IsMenu, IsIconic, MonitorFromPoint, WinHelpW, ShowCursor, GetDlgItemTextA, CreateDialogParamW, FindWindowA);

GDI32.DLL (CreateCompatibleBitmap, LineTo, SetICMProfileA, PolyBezierTo, SetBitmapDimensionEx, SetMetaFileBitsEx, SetPixel, ScaleWindowExtEx, EnumFontFamiliesA, PlayEnhMetaFile, SetViewportExtEx, SwapBuffers, ColorMatchToTarget, GetOutlineTextMetricsW, CopyEnhMetaFileA, GetStockObject);

ADVAPI32.DLL (RegQueryValueA, RegOpenKeyExA, RegQueryValueExW, RegCloseKey, RegSaveKeyW, RegQueryMultipleValuesA, RegSaveKeyA, RegOpenKeyA);

COMDLG32.DLL (GetSaveFileNameW, GetSaveFileNameA, ReplaceTextA, PrintDlgExW, GetOpenFileNameA, ChooseFontW, PrintDlgW, PageSetupDlgW, ChooseFontA, GetFileTitleA);

OLE32.DLL (CreateFileMoniker, CoGetObject, BindMoniker, CoGetDefaultContext, OleCreateEx, CoInitializeEx, CoGetClassVersion, CoGetClassObject);

version.dll (VerQueryValueA, VerQueryValueW, VerFindFileW);

WS2_32.DLL (WSASend, WSASendTo, WSADuplicateSocketA, WSAGetLastError, WSAEventSelect, getpeername, WSAEnumProtocolsW);

URLMON.DLL (IsValidURL, GetMarkOfTheWeb, CopyStgMedium, IsLoggingEnabledA, WriteHitLogging, URLDownloadA, URLOpenStreamW, RegisterBindStatusCallback, CoInternetCombineUrl, HlinkGoForward);

winmm.dll (mixerClose, joy32Message, midiStreamPosition, waveInGetNumDevs, wod32Message, waveOutSetVolume, joyGetDevCapsW, mciGetDriverData, joyGetPos, mixerMessage, DriverCallback);

winspool.drv (GetPrintProcessorDirectoryW, SetPrinterDataW, DeleteFormW, SetPrinterDataExW, AddPrinterW, GetPrinterW, EnumPrinterKeyW, AddPrinterDriverW, DeletePrinterConnectionA, AddMonitorA);

OLEDLG.DLL (OleUIChangeSourceW, OleUIPromptUserW, OleUIPasteSpecialW, OleUIUpdateLinksW, OleUIPromptUserA, OleUIObjectPropertiesA, OleUIChangeSourceA, OleUIChangeIconA, OleUIConvertA, OleUIBusyA);

WSOCK32.DLL (WSAStartup).

 

«Визитная» карточка вируса (sigcheck):

FileDescription: WebToolBar component

LegalCopyright: © 1997-2010 Kaspersky Lab ZAO.

InternalName: klwtbws

ProductName: Kaspersky Anti-Virus

CompanyName: Kaspersky Lab ZAO Kaspersky™ Anti-Virus ® is registered trademark of Kaspersky Lab ZAO.

FileVersion: 9.1.7.3

ProductVersion: 1.4.8.7

 

То есть вирус прикрывается торговой маркой антивируса Касперского!..

 

Тело исполняемого файла вируса содержит так называемый манифест:

<?xml version="1.0" encoding="UTF-8"standalone="yes"?>

  <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">

       <assemblyIdentity

            type="win32"

            name="CodeGear RAD Studio"

            version="12.0.3210.17555"

            processorArchitecture="*"/>

       <dependency>

           <dependentAssembly>

               <assemblyIdentity

                    type="win32"

                    name="Microsoft.Windows.Common-Controls"

                    version="6.0.0.0"

                    publicKeyToken="6595b64144ccf1df"

                    language="*"

                    processorArchitecture="*"/>

           </dependentAssembly>

       </dependency>

       <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">

           <security>

               <requestedPrivileges>

                   <requestedExecutionLevel

                        level="asInvoker"

                        uiAccess="false"/>

                   </requestedPrivileges>

           </security>

       </trustInfo>

   </assembly>

 

В теле вируса прошито .bmp-изображение размером 200x279 пикселей:

 

Знакомьтесь: vpyljsj.dat, или Дело о странном «падении» веб-браузеров

 

 

Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти (в том числе в Безопасном режиме).

На момент написания статьи ни один антивирус не детектировал зловреда…

 

 

***

Деструктивные действия вируса

– при внедрении в систему вирус аварийно завершает работу веб-браузеров, Проводника Windows и Диспетчера окна рабочего стола (Desktop Window Manager);

– копирует свой исполняемый файл vpyljsj.dat (220 160 байт) в каталог \Windows\apppatch\;

 

Знакомьтесь: vpyljsj.dat, или Дело о странном «падении» веб-браузеров

 

 

– для обеспечения автоматического запуска вируса (в том числе в Безопасном режиме) и внедрения его в системные процессы в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] модифицируется строковый (REG_SZ) параметр Userinit, значением второй части которого является путь к исполняемому файлу вируса, например, C:\Windows\system32\userinit.exe,C:\Windows\apppatch\vpyljsj.dat,;

 

Знакомьтесь: vpyljsj.dat, или Дело о странном «падении» веб-браузеров

 

 

– при запуске Windows вирус внедряется в адресное пространство процессов userinit.exe, winlogon.exe, svchost.exe, explorer.exe;

– отслеживает и завершает работу антивирусов и межсетевых экранов;

– отслеживает и завершает работу большинства веб-браузеров (Mozilla Firefox, Internet Explorer, Google Chrome, Opera);

– отслеживает и завершает работу многих программ (например, программы учета трафика DUMeter, архиватора WinRAR, файлового менеджера Total Commander);

– …

 

 

***

Как уничтожить вирус и устранить деструктивные последствия

Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.

Отключите ПК от локальной и Глобальной сетей;

– поскольку вирус загружается и в Безопасном режиме (Safe Mode), для его удаления воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander;

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в каталоге \Windows\apppatch\ удалите исполняемый файл вируса vpyljsj.dat;

– закройте окно ERD Commander Explorer;

 

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander RegistryEditor раскройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– измените значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– проверьте значение строкового (REG_SZ) параметра Shell, – должно быть Explorer.exe;

– закройте ERD Commander RegistryEditor;

– нажмите Start –> Log Off –> Restart –> OK.

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

 

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;

очистите историю посещений;

– очистите кэш интернет-файлов;

– при необходимости измените стартовую страницу веб-браузера на первоначальную;

– при необходимости восстановите оригинальный hosts-файл;

 

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

Примечания

1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

4. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).

5. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!..

 

Валерий Сидоров

 

 

***

Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?

Что делать, если недоступен пункт меню «Свойства папки»?

Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?

Что делать, если после лечения от вирусов не открывается флешка?

Как устранить последствия вирусной атаки?

Windows: что делать, если не запускается Утилита настройки системы msconfig?

Windows: как отобразить скрытые файлы и папки?

English version

 

 

 

• Аксессуары для сотовых телефонов


SAPE.RU – покупка и продажа ссылок

 


• Классика

• Фантастика

• Популярные фильмы


 

Путеводитель по сайту


© 2011. All rights reserved.

При использовании материалов сайта «Слово» прошу указывать источник информации!