VirusHunter попереджає всіх користувачів ПК про масове поширення деструктивного хробака Win32.Email-Worm.Wukill.A (aka Win32.Wukill) через вкладення в поштових посланнях, а також через знімні носії інформації.
Деякі визначення, що зустрічаються в описі.
VBS - Visual Basic Script. Мова програмування, що використовується в Windows-системах. На даній мові пишуться системні скрипт-додатки, а також допоміжні підпрограми для Інтернет-сайтів.
VB - Visual Basic. Мова програмування, що використовується в Windows-системах. На даній мові пишуться багато системні і призначені для користувача програми (програми).
Аплет - додаткова скрипт-програма, яка використовує т.зв. "Активні системні сценарії". Зазвичай написана на VBS або JS (Java Script). Такі програми використовуються для спец. вставок при оформленні Інтернет-сторінок (наприклад, рухомі картинки, сторінка зі звуковим оформленням і т.п.).
Провідник - так далі по тексту я буду називати Провідник "Explorer" Windows, який використовується більшістю користувачів для роботи з файлами і папками.
Корінь диска - всі файли в підставі диска, виключаючи все знаходяться на ньому папки з усім їхнім вмістом.
ССМ - так далі по тексту я буду скорочено називати "знімні носії інформації".
% Windir% - каталог, в який встановлена ОС Windows.
% User% - каталог поточного користувача в ОС Windows 2K / XP.
2. Інсталяція в систему.
Програма хробака написана на мові Microsoft VB версії 6.0 і відкомпільована в формат PE EXE-додатки (Windows-програми). Файл має оригінальний розмір 49152 байта (ніякими утилітами криптування або компресії код не оброблений), проте в деяких випадках може мати більший розмір (см. П.6 даного опису).
Для працездатності хробака в ОС Windows повинна бути встановлена технічна бібліотека msvbvm60.dll. Цей компонент необхідний для роботи будь-яких спеціалізованих і призначених для користувача програм, написаних на Microsoft VB 6-й версії. У Windows 9X / ME він відсутній (про Windows 2K точно не скажу), але може бути запозичений, наприклад, з Windows XP (там він точно є) і записаний для 9X / ME в системний підкаталог% windir% \ SYSTEM.
Якщо черв'як при запуску не знаходить цей компонент, то на екран видається стандартне системне повідомлення про помилку запуску програми і зараження системи не відбувається:
При запуску шкідливого вкладення з поштового послання (назва файлу завжди одне і те ж - MShelp.exe) черв'як видає на екран наступне неправдиве повідомлення про "пошкодження файлу", щоб збити користувача столку:
Потім хробак копіює себе в системний каталог під такими назвами:
Також черв'як зчитує ім'я поточного диска, звідки його файл-вкладення був запущений (зазвичай системний диск), після чого намагається скопіювати себе на диск або ССМ, ім'я якого в списку носіїв передує даному, тобто наприклад, при запуску з диска C: таким буде диск А. а при запуску з диска D: - диск C: і т.п. Якщо обраний хробаком диск або ССМ доступний для запису, то черв'як також запише в його корінь свою копію MShelp.exe.
Файл Mstray.exe є робочим файлом черв'яка і при наступних запусках системи буде автоматично отримувати управління. Для цього в системному реєстрі створюється наступний ключ зі значенням під назвою "RavTimeXP":
Також черв'як змінює наступні значення в наведеному нижче ключі реєстру:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced]
"Hidden" = dword: 00000000
"HideFileExt" = dword: 00000001
В принципі, величини даних значень у всіх Windows-системах "за замовчуванням" є базовими. Однак черв'як змінює їх, тому що досвідчені користувачі зазвичай заміняють в настройках системи величину значення "Hidden" з "0" на "1", щоб при роботі з Провідником були доступні файли і папки, яким присвоєні атрибути "системний" і / або "прихований" ( "system" і " hidden "відповідно). Що ж стосується установки хробаком вищевказаної стандартної величини значення "HideFileExt" (тобто "1"), то це йому необхідно для приховування розширення "EXE" у файлу Mstray.exe тощо. Своїх копій, щоб при роботі з Провідником такі файли виглядали як реальні папки (див. картинку вище).
Крім того, черв'як замінює нової величиною і прийняте "за замовчуванням" в такому значенні наведеного нижче ключа реєстру:
Дана зміна черв'як виробляє для можливості здійснення спеціальної процедури, пов'язаної зі створенням своїх копій в відкриваються користувачем каталогах (див. П.3 даного опису).
При запуску на чистій машині файлу хробака під назвою winfile.exe безпосередньо з ССМ або жорсткого диска процедура інсталяції в систему і зміни відповідних ключів реєстру практично повністю ідентичні вищеописаним речей. Відмінності полягають лише в наступному: при запуску хробак не видає на екран ніяких повідомлень (оскільки назва файлу відмінно від MShelp.exe), а також не створює ніяких файлів крім як робочої копії Mstray.exe.
Після всіх вищеописаних дій черв'як завершує свою роботу і до наступного перезапуску системи залишається неактивним.
3. Розмноження через носії інформації. Деструктивні дії.
При першому перезапуску системи файл хробака Mstray.exe запускається на виконання і залишається резидентно в пам'яті Windows аж до завершення її роботи. Робоче вікно вірусу не видно користувачеві, тому що розташовується за межами нижньої області екрану.
Отримавши управління, черв'як сканує диски A. а також C. D: і E: (як внутрішні, так і мережеві, якщо заражена машина з'єднана з ін. Комп'ютерами локальної мережею і їх відповідні диски відкриті для запису) і створює в їх коренях наступні файли :
- desktop.iniразмером 72 байта;
- comment.httразмером 697 байт.
І тим, і ін. Файлів черв'як привласнює крім інших атрибути "прихований" і "системний", в результаті чого файли не видно користувачеві при роботі з Провідником.
При зверненні через Провідник до будь-якого диску черв'як записує в його корінь свою копію під назвою winfile.exe. а також створює і 2 вищевказаних файлу. При цьому система автоматично зчитує з файлу desktop.ini команду виконання VBS-підпрограми з файлу comment.htt. Ця підпрограма є Applet'ом, який обробляється спеціальним розділом реєстру -. Виконувана в ній процедура дозволяє хробакові копіювати себе в будь-яку папку, в яку увійде користувач за допомогою Провідника. Дана процедура виглядає наступним чином: при відкритті користувачем будь-якої папки черв'як копіює в неї файл winfile.exe під ім'ям цієї папки. приклади:
Program Files \ Program Files.exe
Мої документи \ Мої документи.exe
і т.п.
Щоб користувач Провідника нічого не помітив, черв'як привласнює створюваному файлу атрибут "прихований".
Якщо в папці, в яку увійшов користувач, є оригінальний EXE-файл з ім'ям, ідентичним її (папки) імені, то черв'як "кидає жереб":
- не створює своєї копії в цій папці;
- створює свою копію з ім'ям папки, попередньо змінивши який-небудь один символ в імені однойменного оригінального EXE-файлу, наприклад: Win amp.exe -> Wiz amp.exe;
- створює свою копію з ім'ям даної папки, переписуючи при цьому відповідний оригінальний EXE-файл своєю копією з усіма наслідками, що випливають звідси негативними наслідками.
Під Windows 2K / XP черв'як також може випадковим чином створювати копії своїх файлів desktop.ini. comment.htt і winfile.exe в наведеному нижче каталозі під такими назвами:
Documents and Settings \% user% \ %%. Esktop.ini
Documents and Settings \% user% \ %%% comment.htt
Documents and Settings \% user% \ %%% WINFILE.EXE
де %%% - випадкова комбінація трьох символів, запозичена від початку імені довільно обраної папки або файлу на одному з дисків інфікованого комп'ютера. приклади:
Documents and Settings \% user% \ Тіпdesktop.ini
Documents and Settings \% user% \ Тіпcomment.htt
Documents and Settings \% user% \ ТіпWINFILE.EXE
Documents and Settings \% user% \ Zntdesktop.ini
Documents and Settings \% user% \ Zntcomment.htt
Documents and Settings \% user% \ ZntWINFILE.EXE
В пам'яті машини може бути присутнім тільки одна активна копія хробака.
% Windir% \ system \% name% .exe
% Windir% \ web \% name% .exe
% Windir% \ fonts \% name% .exe
% Windir% \ temp \% name% .exe
% Windir% \ help \% name% .exe
В якості нового імені "% name%" активного файлу черв'як може використовувати довільну комбінацію заголовних лат. букв в кількості від однієї до п'яти. Приклади таких назв:
HFFC.exe
SQQNO.exe
E.exe
KI.exe
QOO.exe
DBBXY.exe
ZX.exe
RPPM.exe
T.exe
VVT.exe і т.д.
Якщо, наприклад, нову назву файлу хробака VVT.exe і він виявився вміщеним в підкаталог / FONTS, то значення "RavTimeXP" свого стартового ключа черв'як відповідно виправить на наступне:
5. Зберігання тимчасових і технічних даних.
Щоб не завантажувати системну пам'ять зайвими рідко використовуються даними, черв'як зберігає значну частину свого коду не в оперативці, а прямо на жорсткому диску, у вигляді тимчасового TMP-файлу. Також вірус створює спеціальні тимчасові підкаталоги, в яких має в своєму розпорядженні додаткові тимчасові файли. Всі ці об'єкти створюються хробаком або в каталозі тимчасових файлів системи (Windows 9X / ME), або в каталозі тимчасових файлів поточного користувача (Windows 2K / XP):
для Windows 9X / ME:
Тут "%%" - довільна комбінація двох символів (цифр і / або заголовних лат. Букв), "%" - довільна заголовна лат. буква, "% name%" - ім'я поточного активного файлу хробака, "%%%%" - довільна комбінація з чотирьох символів (цифр і / або лат. букв). наприклад:
для Windows 2K / 2K Server / XP:
Documents and Settings \% user% \ Local Settings \ Temp \
Під будь-який з ОС Windows черв'як постійно звертається до файлу
df %%%%. tmp. При цьому в Windows 9X / ME видимий розмір даного файлу тисяча п'ятсот тридцять шість байт (ховається хробаком), але в реальності він становить 11776 байт; під Windows 2K / XP розмір файлу реальний і становить 16384 байта.
Тема листа. [Символьний сміття] MS-DOS. [Символьний сміття]
Текст листа. Відсутнє
Вкладення. файл MShelp.exe (копія хробака)
7. Інше.
Якщо в ході роботи хробака відбулися якісь внутрішні помилки, то він може виводити на екран наступний текст:
У тілі хробака міститься інформаційна секція, в якій записані такі дані:
CompanyName gy
ProductName Xgtray
FileVersion 1.00
ProductVersion 1.00
InternalName wukill
OriginalFilename wukill.exe
D: \ Program Files \ Microsoft Visual Studio \ VB98 \ lhw \ XDD \ XDD \ Xgtray.vbp
8. Детектирование і видалення хробака з машини.
На момент створення даного опису Win32.Email-Worm.Wukill.A і створювані їм допоміжні компоненти антивіруси детектируют так:
Антивірус Kaspersky AntiVirus:
файл winfile.exe (він же MShelp.exe. Mstray.exe і т.д.): Exploit.HTML.Agent.am (раніше детектувався як Email-Worm.Win32.Rays)
файл comment.htt. Trojan.VBS.Starter.a
Антивірус DrWeb:
файл winfile.exe (він же MShelp.exe. Mstray.exe і т.д.): Win32.HLLM.Wukill
файл comment.htt. Trojan.AppActXComp
Антивірус BitDefender Professional:
файл winfile.exe (він же MShelp.exe. Mstray.exe і т.д.): Win32.Wukill.E@mm
файл comment.htt. Trojan.VBS.Starter.G
Для видалення хробака з машини пересічному користувачеві рекомендується виконати наступне:
- перевірити заражений комп'ютер встановленої на ньому антивірусною програмою, погоджуючись з видаленням всіх файлів, які будуть детектуватиметься як віруси з вищепереліченими ідентифікаційними назвами. Якщо машина пов'язана з ін. Комп'ютерами локальної мережею, то її необхідно на час лікування відключити від сітки. Також необхідно перевірити і інші комп'ютери мережі.
- налаштувати показ прихованих / системних фалів і папок при подальшій роботі в Провіднику, для чого можете скористатися утилітою з спец. набору від VirusHunter'а, який можна завантажити тут. Перед використанням утиліти настійно рекомендую прочитати додається до набору керівництво користувача.
Для виявлення в майбутньому як відомих, так і ще невідомих варіантів скрипт-троянців, що дозволяють автоматично запускати шкідливий код при зверненні Провідника до основного розділу жорсткого диска комп'ютера, Ви можете скористатися утилітою №9 з набору VirusHunter'а - STSS (Stealth Trojan Script Searcher) .
На даний момент розроблені і викладені на нашому сайті опису наступних варіантів даного вірусу:
Win32.Email-Worm.Wukill.B
Win32.Email-Worm.Wukill.C
Win32.Email-Worm.Wukill.D (опис лише розроблялося)
Win32.Email-Worm.Wukill.E (опис лише розроблялося)