|
Антивирус Dr.Web защищает пиринговые сети
от опасного вируса Win32.Polipos
19 апреля 2006 года
Служба вирусного мониторинга компании «Доктор Веб» информирует
всех пользователей пиринговых сетей об опасном полиморфном
вирусе Win32.Polipos, который уже в течение целого месяца
распространяется по различным пиринговым сетям.
Началось распространение Win32.Polipos в марте этого года.
Тогда же (20 марта) он был добавлен в вирусную базу антивируса
Dr.Web и с этого момента для наших пользователей он не представлял
никакой угрозы. Помимо сложного полиморфного механизма, реализованного
в вирусе, в нем содержалась и опасная функция "нейтрализации"
целого ряда антивирусных программ и прочих средств безопасности.
С легкостью распространяясь по P2P-сетям, вирус проникает
на подключенные машины, и, будучи запущенным, скрытно делает
их участниками общедоступной P2P-сети.
Данный вирус заражает исполняемые файлы Windows, записывая
код полиморфного расшифровщика в неиспользуемые пространства
кодовых секций, как бы "покрывая тело файла-жертвы собственными
пятнами". При этом вирус создает новую секцию и размещает
в ней свой основной зашифрованный код, сдвигая секцию ресурсов
- при ее наличии - "вниз". При внедрении в файл
он не изменяет оригинальную точку входа, а подменяет адреса
вызовов API, выбранных случайным образом, стартовым адресом
вируса.
При запуске вирус внедряет свой код во все запущенные процессы.
Исключение составляют процессы со следующими именами:
savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll
smss, csrss, spoolsv, ctfmon, temp
Таким образом, в памяти оказываются несколько копий вируса,
каждая из которых отвечает за определенную деятельность, а
именно: поиск подходящих файлов для заражения, непосредственное
заражение файлов, функции работы с P2P на основе сетей Gnutella
и пр. Зараженные файлы становятся общедоступными для участников
этой сети.
Резидентные копии Win32.Polipos перехватывают следующие API
функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA,
SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW,
SearchPathW. При вызове вышеперечисленных функций происходит
заражение новых файлов. При передаче управления файлу-жертве
с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус
пытается создать оригинальную копию файла во временном каталоге
с именем ptf*.tmp, которую и запускает. Это делается для обхода
контроля целостности, используемого некоторыми инсталляторами.
Безусловно, распространение подобного вируса вызвало беспокойство
среди пользователей соответствующих P2P сетей. Однако обращает
на себя внимание довольно любопытное обстоятельство. Несмотря
на то, что присутствие в P2P-сетях Win32.Polipos не является
ни для кого новостью уже около месяца, антивирус Dr.Web до
последних дней был единственным, кто его детектировал. В самом
начале эпидемии пользователи Dr.Web сетовали на срабатывание
антивируса на якобы чистые файлы, но вирусные аналитики компании
«Доктор Веб» подтвердили факт существования именно нового
вируса. Успешное детектирование различных вариантов этого
сложного полиморфика возможно благодаря высокому технологическому
уровню антивирусного ядра Dr.Web.
В настоящее время Служба вирусного мониторинга компании «Доктор
Веб» разработала и процедуру лечения зараженных вирусом Win32.Polipos
файлов. Сделано это, в частности, по просьбам тех пользователей,
чьи антивирусные программы до сих пор не детектируют этот
вирус и позволяют ему беспрепятственно заражать файлы на,
казалось бы, защищенных компьютерах. Механизм лечения довольно
сложен, поскольку требует обработки сложного криптоалгоритма
XTEA, поэтому порой на дешифровку кода вируса может уходить
довольно значительное (по компьютерным меркам) время. Для
лечения зараженных файлов не требуется скачивания никаких
дополнительных утилит - все осуществляется средствами самого
антивируса Dr.Web при условии своевременного обновления вирусных
баз.
Win32.HLLM.Perf
(Email-Worm.Win32.Bagle.fw, Email-Worm.Win32.Scano.d, Email-Worm.Win32.Scano.e,
Email-Worm.Win32.Scano.f, Email-Worm.Win32.Scano.h, Email-Worm.Win32.Scano.j,
Hoax-LocalIFrame, I-Worm/Generic.IT, New Malware.aj, PSW.Ldpinch.AWF,
TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Agent.IE,
Trojan.Bagle.F, Trojan.Pinch.A@m, Trojan.Win32.Inject.z, WORM_ARESES.B,
Win32.Scano.E@mm.VBS, Win32.Scano.H@mm, Win32/Areses.D, Win32/Areses.D!Trojan,
Win32/Kipis!generic, Worm/Generic.NB, Worm/Generic.NK)
Описание
Win32.HLLM.Perf - почтовый червь массовой рассылки
Распространение
Распространяется по электронной почте в виде вложения. Подделывает
адрес отправителя.
Варианты тем для писем:
Привет,какие новости?
Ты сегодня ко мне приедешь?
Я тебя сегодня видела?
Варианты тел писем:
Приветик, как у тебя дела?... Ты сегодня в интернете будешь?
Напиши мне в аську, окей? Кстати документы которые тебе нужны
в архиве тебе выслала, пока)
Ксюха
Привет, я сегодня тебя жду
в гости, позвони мне перед тем как ехать...
Кстати, в архиве я запоковала необходимые тебе документы...
Там все сам поймешь, пока. Жду!
Привет, шла по улице и видела
тебя, а ты меня даже не заметил... ладно не обиделась...
Держи архив с документом, позвоним не сегодня, пока.
В качестве вложения создается .cab архив в котором находится
дроппер основного тела вируса. Имя файла в архиве начинается
на "new", "me","you","cool" или "Re" и имеет двойное расширение.
Первое из списка: ".doc", ".txt",".avi", ".mpeg", а второе
" .cpl".
Пример "me.doc .cpl" внутри архива me.cab
Запуск вируса.
Копирует себя в системную папку с именем %systemroot%\csrss.exe
(настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)
Свою автозагрузку при старте системы обеспечивает записью
в реестре:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
File Execution Options\explorer.exe
Debugger = "C:\WINDOWS\csrss.exe"
Запускает дополнительные процессы services.exe и svchost.exe.
В них он внедряет код который поддерживает запись автозагрузки
в реестре и целостность своего носителя csrss.exe.
Если тело вируса будет удалено, то тут же будет восстановлено
из копии, которая хранится в памяти инфицированного процесса
services.exe. При этом имитируется срабатывание "Защиты
файлов Windows"
Основная часть вируса в процессе svchost.exe сканирует все
доступные диски в поисках почтовых адресов для рассылки. Для
этого он использует файлы со следующими расширениями: .adb,
.asp, .cfg, .cgi .mra, .dbx, .dhtm, .eml, .htm, .html, .jsp,
.mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl,
.sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml,
.dhtml
Извлекаемые адреса не должны содержать подстрок:
Извлекаемые адреса не должны содержать подстрок:
"@example." "Mailer-Daemon@" "-0"
"2003" "@subscribe" ".00"
"2004" "kasp" "@."
"2005" "admin" "---"
"2006" "icrosoft" "abuse"
"@hotmail" "support" "panda"
"@msn" "ntivi" "cafee"
"@microsoft" "unix" "spam"
"rating@" "bsd" "pgp"
"f-secur" "linux" "@avp."
"news" "listserv" "noreply"
"update" "certific" "local"
".qmail" "torvalds@" "root@"
".gif" "sopho" "postmaster@"
"anyone@" "@foo" ".0"
"bugs@" "@iana" ".1"
"contract@" "free-av" ".2"
"feste" "@messagelab" ".3"
"gold-certs@" "winzip" ".4"
"help@" "google" ".5"
"info@" "winrar" ".6"
"nobody@" "samples" ".7"
"noone@" "spm111@" ".8"
"0000" ".." ".9"
Действия.
При старте пытается скачать и исполнить непосредственно .exe
файл
http: // 85.249.23.43 / 0.exe
или получить зашифрованный список адресов для дальнейшего
скачивания:
http: // 85.249.23.35/m2/ g.php
http: // 207.46.250.119/g/ m.php
http: // 84.22.161.192/s/ f.php
В случае обнаружения виртуальной машины вирус открывает сайт
www.na<censored>uy.com и завершает свою работу.
|
