VirusHunter avertizează utilizatorii de calculatoare cu privire la răspândirea vierme distructive de masă Win32.Email-Worm.Wukill.A (alias Win32.Wukill) prin investiții în mesaje e-mail, precum și prin intermediul mass-media de stocare amovibil.
Unele definiții găsite în descriere.
VBS - Visual Basic Script. Limba de programare utilizată în sistemele bazate pe Windows. În această limbă sunt scrise scripturi de sistem, precum și rutine auxiliare pentru site-uri Internet.
VB - Visual Basic. Limba de programare utilizată în sistemele bazate pe Windows. Multe aplicații (programe) de sistem și de utilizatori sunt scrise în această limbă.
Applet este un script-program suplimentar, folosind așa-numitele. "scenarii de sistem active". De obicei, scris în VBS sau JS (Java Script). Astfel de programe sunt folosite pentru evenimente speciale. inserții atunci când proiectează pagini de internet (de exemplu, imagini în mișcare, o pagină cu design de sunet etc.).
Explorer - așa mai departe în text, voi apela Explorer "Explorer" Windows, care este folosit de majoritatea utilizatorilor pentru a lucra cu fișiere și foldere.
Rădăcina discului este toate fișierele din partea de jos a discului, excluzând toate folderele de pe acesta cu tot conținutul lor.
SNI - așa că voi abrevia sub textul "media amovibilă".
% windir% - directorul în care este instalat Windows.
% user% - director al utilizatorului curent în Windows 2K / XP.
2. Instalarea în sistem.
Programul de vierme este scris în Microsoft VB versiunea 6.0 și compilat în format PE a aplicației EXE (programul Windows). Fișierul are dimensiunea originală de 49152 octeți (niciun cod nu a fost procesat de nici un utilitar de criptare sau compresie), dar în unele cazuri poate fi mai mare (a se vedea punctul 6 din această descriere).
Pentru a folosi viermele în sistemul de operare Windows, trebuie instalată biblioteca tehnică msvbvm60.dll. Această componentă este necesară pentru funcționarea programelor specializate și personalizate scrise pe versiunea Microsoft VB 6th. În Windows 9X / ME este lipsește (despre Windows 2K nu va spune exact), dar pot fi împrumutate, de exemplu, de la Windows XP (el este acolo, exact) și înregistrate pentru 9X / ME în subdirectorul sistem de% windir% \ SYSTEM.
În cazul în care viermele la pornire nu găsește această componentă, se afișează eroarea de sistem standard de inițiere a infecției de program și de sistem nu se produce:
Când executați fișierul atașat rău intenționat dintr-un mesaj de e-mail (numele fișierului este întotdeauna același - MShelp.exe), viermele afiseaza un mesaj fals despre următorul „fișier deteriorat“ pentru a aduce în jos Stolk utilizator:
Apoi viermele se copiază în directorul sistem sub următoarele nume:
De asemenea, viermele citește numele discului curent, de unde a fost lansat atașamentul său de fișier (de obicei un disc de sistem), apoi încearcă să se copieze pe un disc sau un SNI, al cărui nume în lista de medii precede acest lucru, adică. de exemplu, atunci când pornim de la unitatea C: acesta va fi discul A. Și când pornim de la unitatea D: - unitatea C: etc. Dacă unitatea sau CDI-ul selectat este scris, viermele va scrie și copia lui MShelp.exe în rădăcina sa.
Fișierul Mstray.exe este fișierul de lucru al viermei și va primi automat controlul când sistemul pornește din nou. Pentru aceasta, în registrul de sistem se creează următoarea cheie de registry cu o valoare numită "RavTimeXP":
De asemenea, viermele modifică următoarele valori în următoarea cheie de registry:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avansat]
"Ascuns" = dword: 00000000
"HideFileExt" = dword: 00000001
În principiu, valorile acestor valori în toate sistemele Windows "în mod implicit" sunt de bază. Cu toate acestea, viermele le schimbă, pentru că utilizatorii cu experiență sunt de obicei înlocuite în valoare de valoare setările de sistem „ascunse“ de la „0“ la „1“, astfel încât atunci când se lucrează cu Explorer au fost fișierele și folderele disponibile care au fost atribuite „sistem“ și / sau ( „sistem“ „ascuns“ și "atributele ascunse "). În ceea ce privește instalarea viermelui peste valoarea standard de valoare „HideFileExt“ (adică, „1“), atunci este el are nevoie pentru a ascunde extensia „EXE“ fișier în Mstray.exe etc de copii pentru a lucra cu aceste fișiere Explorer arata ca foldere reale (a se vedea imaginea de mai sus).
În plus, viermele înlocuiește noua valoare și valoarea "implicită" a următoarei valori a următoarei chei de registry:
Viermele face această schimbare pentru posibilitatea de a implementa o procedură specială referitoare la crearea propriilor copii în directoarele deschise de utilizatori (a se vedea paragraful 3 al acestei descrieri).
Când rulează pe o mașină curată un fișier vierme numit winfile.exe direct de la SNI sau hard disk, procedura de instalare în sistem și modificări la cheile de registry corespunzătoare sunt aproape identice cu cele descrise mai sus. Singura diferență este că atunci când a fost lansat, viermele nu afișează mesaje (deoarece numele fișierului este diferit de MShelp.exe) și, de asemenea, nu creează fișiere decât ca o copie de lucru a Mstray.exe.
După toate acțiunile de mai sus, viermele iese și rămâne inactiv până la repornirea sistemului următor.
3. Reproducerea prin intermediul mass-media. Actiuni distructive.
Când sistemul este repornit pentru prima dată, fișierul Mstray.exe este lansat și rămâne rezident în memoria Windows până la finalizarea operațiunii. Fereastra de lucru a virusului nu este vizibilă pentru utilizator, deoarece este situat în afara zonei inferioare a ecranului.
După ce a primit de control, scanează roțile vierme A. și C. D: și E: (atât interne, cât și de rețea dacă aparatul infectat este conectat la alte calculatoare ale rețelei locale, iar roțile respective sunt deschise pentru înregistrare.) Și creează în rădăcinile lor următoarele fișiere :
- desktop.ini mărimea de 72 de octeți;
- comment.httset 697 octeți.
Viermele atribuie, de asemenea, atributele "ascuns" și "sistem" la celelalte fișiere, ca urmare a faptului că fișierele nu sunt vizibile pentru utilizator atunci când lucrează cu Explorer.
Când accesați prin orice Explorer la o unitate, vierul scrie copia sa sub numele winfile.exe la root. și creează, de asemenea, cele două fișiere de mai sus. În acest caz, sistemul citește în mod automat din dosarul Desktop.ini rutine de execuție de comandă în fișierul VBS-comment.htt. Această subrutină este Applet, care este procesată de o secțiune specială a registrului. Procedura din aceasta permite viermului să se copieze în orice folder pe care utilizatorul îl va conecta utilizând Explorer. Procedura este după cum urmează: atunci când utilizatorul deschide un dosar, copiile vierme fișierul numit winfile.exe acest dosar. exemple:
Program Files \ Program Files.exe
Documentele mele \ My Documents.exe
și altele asemenea.
Pentru ca utilizatorul Explorer să nu observe nimic, viermele atribuie atributul "ascuns" fișierului creat.
Dacă în dosarul în care a fost introdus utilizatorul există un fișier original EXE cu un nume identic cu numele său (dosarul), apoi viermele "rulă loturi":
- Nu creați o copie proprie în acest dosar;
- creează o copie cu numele folderului, schimbând mai întâi un caracter în numele fișierului original EXE cu același nume, de exemplu: Win amp.exe -> Wiz amp.exe;
- creează o copie proprie cu numele acestui dosar, suprascriind fișierul original EXE corespunzător cu copia sa, cu toate consecințele negative care rezultă.
Sub Windows 2K / XP, viermele poate crea, de asemenea, la întâmplare copii ale fișierelor desktop.ini. comment.htt și winfile.exe în următorul director sub următoarele nume:
Documente și setări \% user% \ %%. Esktop.ini
Documente și setări \% user% \ %%% comment.htt
Documente și setări \% user% \ %%% WINFILE.EXE
în cazul în care %%% - o combinație aleatorie a celor trei personaje, împrumutate de la începutul numelui unui fișier sau dosar selectat aleatoriu într-unul dintre drive-urile unui calculator infectat. exemple:
Documente și setări \% user% \ typedesktop.ini
Documente și setări \% user% \ Typecomment.htt
Documente și setări \% user% \ TypeWINFILE.EXE
Documente și setări \% user% \ Zntdesktop.ini
Documente și setări \% user% \ Zntcomment.htt
Documente și setări \% user% \ ZntWINFILE.EXE
Numai o copie activă a viermei poate fi prezentă în memoria aparatului.
% windir% \ sistem \% nume% .exe
% windir% \ web \% nume% .exe
% windir% \ fonturi \% nume% .exe
% windir% \ temp \ nume nume% .exe
% windir% \ ajutor \% nume% .exe
Ca noul nume "% name%" al fișierului activ, viermele poate folosi o combinație arbitrară de capital lat. litere de la unu la cinci. Exemple de astfel de nume:
HFFC.exe
SQQNO.exe
E.exe
KI.exe
QOO.exe
DBBXY.exe
ZX.exe
RPPM.exe
T.exe
VVT.exe și așa mai departe.
Dacă, de exemplu, noul nume al fișierului vierme este VVT.exe și a fost plasat în subdirectorul / FONTS, valoarea "RavTimeXP" din cheia de pornire va fi corectată în funcție de următoarele:
5. Stocarea datelor temporare și tehnice.
Pentru a nu încărca memoria sistemului cu date inutile, viermele stochează o parte semnificativă a codului său nu în memoria RAM, ci direct pe hard disk ca un fișier temporar TMP. De asemenea, virusul creează subdirectoare temporare speciale, în care are fișiere temporare suplimentare. Toate aceste obiecte sunt create de vierme fie în directorul temporar al fișierelor (Windows 9X / ME), fie în directorul fișierelor temporare ale utilizatorului curent (Windows 2K / XP):
pentru Windows 9X / ME:
Aici "%%" este o combinație arbitrară de două caractere (numere și / sau litere latine de capital), "%" este o majusculă arbitrară. litera "% name%" - numele fișierului vierme activ activ, "%%%%" este o combinație arbitrară de patru caractere (numere și / sau litere latine). De exemplu:
pentru Windows Server 2K / 2K / XP:
Documente și setări \% user% \ Setări locale \ Temp \
Sub orice sistem de operare Windows, viermele accesează în mod constant fișierul
df %%%% .mpmp. În Windows 9X / ME, dimensiunea vizibilă a acestui fișier este de 1536 octeți (este ascunsă de vierme), dar în realitate este de 11776 octeți; sub Windows 2K / XP dimensiunea fișierului este reală și este de 16384 octeți.
Subiectul scrisorii. [gunoaie de caractere] MS-DOS [gunoiul de caractere]
Textul scrisorii. dispărut
Atașamentul. fisierul MShelp.exe (copia viermelui)
7. Altele.
Dacă s-au produs erori interne în timpul funcționării viermilor, acesta poate afișa următorul text:
Corpul viermelui conține o secțiune de informații în care sunt înregistrate următoarele date:
CompanyName gy
Nume produs Xgtray
FileVersion 1.00
ProductVersion 1.00
InterneName wukill
OriginalFilename wukill.exe
D: \ Fișiere program \ Microsoft Visual Studio \ VB98 \ lhw \ XDD \ XDD \ Xgtray.vbp
8. Detectați și scoateți viermele din mașină.
La momentul scrierii acestei descrieri, Win32.Email-Worm.Wukill.A și componentele antivirus pe care le creează sunt detectate după cum urmează:
Kaspersky Anti-Virus pentru serverele Windows:
fișier winfile.exe (alias MShelp.exe Mstray.exe, etc): Exploit.HTML.Agent.am (detectate anterior ca un e-mail-Worm.Win32.Rays)
fișier comment.htt. Trojan.VBS.Starter.a
Antivirus DrWeb:
fișier winfile.exe (alias MShelp.exe Mstray.exe, etc): Win32.HLLM.Wukill
fișier comment.htt. Trojan.AppActXComp
BitDefender Professional Antivirus:
fișierul winfile.exe (alias MShelp.exe.Mstray.exe, etc.): Win32.Wukill.E@mm
fișier comment.htt. Trojan.VBS.Starter.G
Pentru a elimina viermele din mașină, se recomandă utilizatorului mediu să facă următoarele:
- verificați aparatul infectat instalat pe el un program antivirus, fiind de acord cu eliminarea tuturor fișierelor care sunt detectate ca virusurile cu numele de identificare de mai sus. În cazul în care aparatul este conectat cu celelalte. Calculatoare LAN, este necesar ca în timpul tratamentului să se deconecteze de la rețea. De asemenea, trebuie să verificați alte computere din rețea.
- pentru a configura afișarea fișierelor și a folderelor ascunse / de sistem în viitoarea lucrare din Explorer, pentru care puteți utiliza utilitarul de la dispozitivul special. set de la VirusHunter'a, care poate fi descărcat aici. Înainte de a utiliza utilitarul, vă recomandăm să citiți manualul de utilizare livrat împreună cu kitul.
Pentru detectarea, în viitor, atât cunoscute și necunoscute încă variante de script troieni pentru a rula automat cod malitios la accesarea Explorer pentru partiția primară a hard disk, puteți utiliza utilitatea unui VirusHunter'a set №9 - STSS (Stealth Trojan Script Searcher) .
În prezent, pe site-ul nostru au fost dezvoltate și publicate următoarele versiuni ale acestui virus:
Win32.Email-Worm.Wukill.B
Win32.Email-Worm.Wukill.C
Win32.Email-Worm.Wukill.D (descrierea nu a fost dezvoltată)
Win32.Email-Worm.Wukill.E (descrierea nu a fost dezvoltată)
Articole similare
Trimiteți-le prietenilor: