Описания вирусов!

Очень опасный резидентный зашифрованный стелс-вирус. Перехватывает INT 21h, 25h и записывается в начало COM- и EXE-файлов при их запуске, открытии или закрытии. Если длина COM-файла после заражения превышает 64K, то вирус конвертирует файл в EXE-формат. Если при инсталляции в системную память происходит ошибка, то вирус выводит текст и возвращает управление DOS:

Swap file creation error at 0FAD:2DEC.

Program aborted.

Вирус содержит код, записывающий в .PAS- и .CPP-файлы текст:

There is nothing in the world that I ever wanted more than to never feel

breaking apart all my programs again. The spiderman is always hungry

однако этот код не вызывается. В январе вирус портит данные на винчестере, имитирует на экране падающий снег и выводит текст (вместо "000000000" могут стоять произвольные цифры):

Happy New Year !

Ghost 1.0 is terminating it`s work now. Please wait...

Write down this number : 0000000000 and pray for your data rescue.

Вирус также содержит строки:

COMMAND.COM

.COM.EXE.PAS.CPP

I feel so tired.

The way the rain comes down how it`s how I feel inside.

I`ve been living so long with my pictures of you

Remembering you standing quiet in the rain

теперь ваша очередь!

Beethove.com

Очень опасный резидентный самошифрующийся вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от своиего внутреннего счетчика и значения системного таймера вирус записывает в файлы и MBR винчестера троянскую программу, которая при запуске выводит сообщение и проигрывает мелодию:

Beethoven is here.... And now, enjoy the music...

AdWare.WinTool

Rootkit: Нет

Синонимы: TrojanDownloader.Win32.WinTool

AdWare WinTool состоит собственно из AdWare.WinTool, и TrojanDownloader.Win32.WinTool, который его устанавливает.

Размещается этот AdWare в папке Program Files/Common Files/WinTools. В папке можно найти три основных программных модуля:

WSup.exe (имеет набор атрибутов "скрытый", "системный"),

WToolsA.exe,

WToolsB.dll.

Иконка у WSup.exe и WToolsA.exe аналогична иконке Internet Explorer.

В памяти от него обычно наблюдается два процесса (по поведению он похож на WinAd) - WToolsA.exe и WSup.exe. Процессы следят друг за другом и при убиении одного второй его немедленно перезапускает (что приводит к эффекту "неубиваемости").

В реестре WinTool создает ключ HKEY_LOCAL_MACHINE\Software\WinTools для хранения неких данных и душевно прописывает себя на автозапуск (сразу в три ключа - Run, RunServices, RunServicesOnce - все разделы содержат ключ WinTools, ссылающийся на WToolsA.exe, причем из ключа RunServicesOnce он запускается с параметром /boot)

В процессе работы этот AdWare скрытно загружает другого SpyWare, которого он размещает в папке Program Files/ToolBar (этот SpyWare еще изучается, известно, что это BHO от некоего поисковика).

Лечение

AVZ детектирует WinTool и уничтожает все его компоненты (для полного лечения потребуется перезагрузка). Однако следует отметить, что существует масса разновидностей AdWare.WinTool, которые в частности отличаются размещением файлов. При обнаружении посторонних процессов с похожими именами рекомендуется прислать их для проверки.

Trojan-PSW.Win32.Hapday

Rootkit: Нет

Этот троян обнаружен на ПК одного из учасников конференции virusinfo.

Троян состоит из одного файла svchost.exe размером 17408 байт, упакован UPX, импортирует статически WSOCK32.DLL, видимого ярлыка и данных о программе не имеет.

При запуске создает ключ реестра для автозагрузки (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ svchost=C:\WINDOWS\svchost.exe) и копирует себя в папку Windows и Windows\System под именем svchost.exe. В момент запуска пробует определить IP адрес сервера mail.ru через DNS.

Программа видна в списке процессов Windows98 под именем svchost. Видимого проявления не имеет.

В ходе работы программа наручивает счетчик какого-то сайта - запросом вида "GET counter.rambler.ru/top100.cnt?XXXXX" и "GET top.list.ru/counter?id=XXXXX;t=242;js=13;r=...."

Распакованный размер программы составляет 40960 байт. Экспресс-анализ показывает, что написан троян на MS Visual C, основной цикл программы состоит собственно из операций двух типов - "спячки" на разные интервалы времени (порядка 30 сек) и собственно выполнения троянских действий.

Из троянских действий сразу бросается вглаза факт, что в трояне прошит набор возможных папок с программой ICQ (типа c:\program files\icq\2002\) и ключ реестра SOFTWARE\Mirabilis\ICQ\NewOwners\ ... - из них он собирает информацию об ICQ для отправки письма (в коде трояна есть процедура поиска файлов "*.dat", в которых ICQ хранит настройки.

Троян содержит открытым текстом строку "Happy St.Valentine',27h,'s day!!!" и массу адресов вида katya@mail.ru, svetik@mail.ru, hacker@mail.ru ...

Троян при старте не проверяет, запущен ли он - в результате в памяти может находиться несколько его экземпляров.

В теле трояна есть адрес, по которому размещается текущая версия трояна. Этот адрес судя про всему применяется трояном для обновления (в ходе испытаний обновиться он не пожелал, равно как и не захотел передавать пароли для ICQ, т.к. на тестовом ПК ICQ просто нет).

Hoax.Win32.Renos.fl

Rootkit: Нет

Видимые проявления: Иконка в трее

Посторонний исполняемый файл winstall.exe в корне диска

Исполняемый файл, размер 15872 байта, сжат UPX. В случае запуска скрытно выполняет следующие операции:

1 .Создает копию своего исполняемого файла в корне диска под именем winstall.exe

2. Регистрирует файл winstall.exe в автозапуске стандартным образом, ключ SOFTWARE\Microsoft\Windows\CurrentVersion\Run, параметр Windows installer

3. Проверяет наличие файла Program Files\SpySheriff\SpySheriff.exe

После запуска данная Hoax программа отображает в трее иконку в виде красного перечеркнутого круга и выводит всплывающие сообщения о том, что компьютер заражен Spyware и рекомендуется использовать специализированный «антишпион» - как несложно догадаться, тот самый SpySheriff.

Hoax.Win32.Renos.a-b

Rootkit: Нет

Видимые проявления: Изменяются обои рабочего стола

Блокируется меню настройки рабочего стола

Файл данного Hoax именуется winlogon.exe, размер - 24064 байта, ничем не сжат.

В момент запуска проводит скрытный обен с сервером 69.50.166.196-custblock.intercage.com, откуда качает и инсталлирует программу SpywareNo объемом около 900 кб и прописывает ее в автозапуск.

После этого Hoax.Win32.Renos.a портит обои на рабочем столе, подменяя их картинкой с текстом:

"Windows Error. System has detected spyware activity. Some system functions are blocked out. Windows recommends you to clean your PC with a spyware removal tool. This has to be done as soon as possible to prevent loss of data.",

после чего делает недоступным меню смены обоев. Подмена обоев достаточна оригинальна - это собственно не обои, а HTML файл с именем desktop.html, помещаемый в папку Windows и прописанный в реестре в настройках рабочего стола (Policies\System\Wallpaper). Этот файл детектируется как Trojan-Clicker.Win32.Spywad.b, и содержит скрипты для подавления типичного для HTML меню и мигания надписью.

Программа SpywareNo, в свою очередь, показывает в трее иконку, при наведении на которую выдается сообщение "No protection" с указанием в скобках, что это черезвычайно опасно.

Щелчок по оконке открывает окно SpywareNo, в котором видны результаты сканирования - на эталонной лицензионной XP он нашел 15 троянов (несколько кейлоггеров, пару дропперов, флудеров, ...) - против всех пометка о том, что есть огромный риск от их наличия на ПК. Правда, есть тонкость - он не показывает путь и имена найденных файлов. Для лечения необходим лицензионный ключ - годичная лицензия стоит 38 евро.... При получении бесплатного ключа на три дня данная программа вылечивает выдуманные ей вирусы и устраняет подмену картинки рабочего стола, создавая видимость лечения.

Программа SpywareNo.exe детектируется KAV как Hoax.Win32.Renos.b

Рекомендации по лечению:

1. Удалить с диска winlogon.exe и созданные им файлы

2. Сбросить настройки рабочего стола (AVZ/Восстановление системы)