Описано исследование и удаление e5188982.exeЖил-был один терминал оплаты. Достался он определённым людям, с которыми я в некотором смысле работаю. На нём была Windows Embedded. Потом её сменили на обычную хрюшу (Windows XP Professional SP3). Потом с терминалом начал трахаться я. В процессе выяснилось, что несмотря на то, что система новая, там уже поселился вирус. Предположительно получен он был с десктопа, стоящего рядом (Windows XP Professional SP??). Я с ним немного поразбирался, но потом мне надоело, ибо симптомы не приносили беспокойств. Разбираться с ним по-настоящему пришлось, когда я его забыл вычистить с флешки, принёс домой и заразил свой собственный десктоп (Windows 2003 Server Enterprise SP2). Это было вчера и немного сегодня. Про этот вирус написали уже пару статей, напишу и я.
Предварительное пояснение
Предварительное пояснение
1. Напоминаю, что в соответствии с заданными настройками, explorer.exe (Проводник) может являться как одним, так и двумя процессами. Если процесса два, один обслуживает отображение папок, а другой -- панель задач. Панель задач создаётся и обслуживается Проводником. Если панель задач видна -- значит Проводник ещё запущен. Чтобы снять его окончательно, надо снять ОБА explorer.exe (или сколько найдётся). Далее под снятием проводника понимается как раз удаление из списка задач обоих проводников и исчезновение панели задач;
2. По причинам мазохизма и любопытства, я работаю от администратора и не использую антивирус.СимптоматикаСимптоматика (жирным -- наиболее характерные признаки; указано только то, что можно заметить стандартными средствами системы)
1. Каждая подключённая флешка получает в момент подключения скрытый файл autorun.inf размером 16-17 KiB. Содержит крякозябры. Не удаляется, пока работает Проводник;
2. Все папки на флешке делаются скрытыми (снять атрибут "скрытый" проводником не удаётся), зато создаются ярлыки с таким же названием, как у папок. В свойствах ярлыка видно, что при клике запускается следующее --
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e5188982.exe &&%windir%\explorer.exe %cd%DIRNAME , где DIRNAME совпадает с именем папки;
3. В папке (скрытой) RECYCLER на флешках лежит вышеуказанный файл размером около 120 KiB;
4. Если в момент заражения другая флешка была подключена -- пункты 1-3 с ней не происходят, флешка остаётся чистой;
5. В списке процессов начинают изредка фигурировать странные процессы вида 6.tmp, 9.tmp (висят недолго), aadrive32.exe, syitm.exe, zaberg.exe (висят всегда);
6. Внезапно пропадает доступ к сайту лаборатории Касперского. Через некоторое время после загрузки компьютера перестаёт работать DNS. Совсем. Но если известен айпишник -- можно подключиться;
7. В %USERNAME%\Application Data\ начинают валяться все эти 6.tmp, которые легко удаляются, но также легко создаются заново;
8. При снятии explorer.exe заражение подключённых флешек перестаёт производиться, но DNS не восстанавливается;
9. Иногда компьютер выпадает в синий экран;
10. В реестре появляются ссылки на указанные экзешники.
Анализ
Анализ
Номер пункта указывает, на основе какого из пунктов симптомов делаются заключения.
1. => Это авторан-вирус, использующий дыру в трактовке авторана (из-за крякозябр).
2. => Тут-то и происходит заражение. Пользователь, у которого отключён показ скрытых файлов видит вместо своих папок ярлыки (на это можно не обратить внимание), а при двойном клике по папке запускается экзешник из корзины+проводник с заданной папкой. Для пользователя это работает прозрачно, так что "папки стали ярлыками" -- единственный надёжный признак.
5. => Это-то и есть наши файлы вируса!
8. => Вирус подсаживается к проводнику и запускается вместе с ним.
10. => Ну, тут понятно, вирус запускается при старте системы при помощи ключей, в которых он указан.
Опыты
Опыты
Тут уже используется инструментарий кустарного вивисектора -- Process Explorer, Total Commander и из стандартных -- REGEDIT.EXE, CMD.EXE и прочая...
1. Запуск вируса происходит при двойном клике в проводнике по заражённой флешке, а также при выборе пунктов Explore, Open, AutoPlay в контекстном меню. Заражение не происходит при выборе флешки в дереве каталогов. Определено по задержке с песочным часами;
2. Запуск проводника приводит к цепочечному запуску syitm.exe, zaberg.exe, созданию разных *.tmp, которые удаляют себя после запуска. При этом *.tmp скрывают себя из списка задач (их видно только Process Explorer'ом), но продолжают висеть;
3. В корзине диска C: в подпапках при просмотре проводником ничего не видно, но при просмотре Total Commander видны наши родимые файлики -- desktop.ini, syitm.exe (zaberg.exe), INFO2 и ещё какая-то хрень. При удалении Total Commander-ом они пропадают, но сразу появляются в одной из подпапок (всегда в одной, какой-то из -- этой или соседней) под именами вида Dc%d.%e, где %d -- номер (номера при удалении увеличиваются), а %e -- старое расширение. Т.е. при удалении syitm.exe появляется Dc1.exe, при удалении последнего -- Dc2.exe и т.д. Причём при удалении aadrive32.exe из c:\windows\ он тоже переползает в корзину (в ту же самую папку). Файл INFO2 содержит указания на расположения остальных exe-шников; desktop.ini к вирусу не относится, почему же его постигла эта участь переименования?;
4. Антивирус Avira этот вирус не лечит;
5. Удаление всего чего можно к положительным результатам не приводит, т.к. оригиналы хранятся в корзине и переименовываются (просто так их удалить нельзя);
6. Снятие aadrive32.exe приводит ко временному отключению заражений флешек;
7. В примечаниях к процессу вируса указано, что процесс этот -- UltraIso Setup, а производитель -- разумеется, EZB Systems;
8. В файле hosts подозрительных записей нет.
Процедура лечения флешек
Процедура лечения флешек
По сравнению с лечением компьютера, это очень просто. Снимаем (через Task Manager) Проводник, далее удаляем лишние файлы с флешки (autorun.inf, экзешник из корзины; ярлыки можно не удалять, они безвредны, если удалён экзешник). Удалить можно Total Commander'ом или из командной строки. На самом деле, желательно перед удалением снять при помощи Process Explorer'а ВСЕ файлы, относящиеся к вирусу, а не только Проводник.
Процедура лечения компа
Процедура лечения компа
Тут всё гораздо сложнее. Я решил эту проблему следующим образом.
Шаг 1. Снятие Проводника и удаление лишних процессов;
Шаг 2. В редакторе реестра устанавливаем запрет (Deny) на создание и изменений значений (Set Value, Create Subkey) в следующих разделах:
HKLM\Microsoft\Windows\CurrentVersion\Run\
HKCU\Microsoft\Windows\CurrentVersion\Run\
HKLM\Microsoft\Windows\CurrentVersion\policies\Explorer\ ;
Шаг 3. Удаляем все упоминания о файлах aadrive32.exe, syitm.exe, zaberg.exe из реестра (ищем поиском), а также всё подозрительное из вышеуказанных трёх разделов;
Шаг 4. Устанавливаем в редакторе ACL запрет на создание файлов (Create Files) в папках %USERNAME%\Application Data\, \RECYCLER\S-*\. При этом на первую папку следует наложить разрешение, действующее на "This Folder only", чтобы нормальные программы могли продолжать хранить свои данные;
Шаг 5. Удаляем все экзешники и *.tmp непосредственно из %USERNAME%\Application Data\ (из подпапок не надо), удаляем aadrive32.exe из c:\windows, удаляем всё из корзины;
Шаг 6. Перезагружаемся.
Примечание 1. У меня ушло больше одной перезагрузки, пока я выяснил, что делать и выработал эту стратегию. С нуля она не проверялась и может оказаться нерабочей, но принцип действия именно такой.
Примечание 2. Только что выяснилось, что в реестре есть ещё одна запись --
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение Taskman должно быть "taskmgr" или вообще отсутствовать. Другими словами, значение этого параметра надо удалить или заменить. У меня там был всё тот же zaberg.exe. ZAKENA!Побочные эффекты (потенциальные)
Побочные эффекты (потенциальные)
Т.к. мы запретили доступ на запись в ряд папок и разделов реестра, у вас может перестать работать следующее --
1. Не будут ставиться новые программы;
2. Файлы не будут удаляться в корзину;
3. Новые программы с автозапуском при старте системы могут ставиться, но не запускаться автоматически; либо попытки поставить автозапуск к уже установленным программам не увенчаются успехом;
4. Может перестать запускаться Task Manager при нажатии Ctrl+Shift+Esc (если вы удалили, а не заменили то значение).
5. Возможны проблемы с IME. Да-да, правда с подобным я сталкивался, когда боролся с другим вирусом.
Что с этим делать -- понятно: надо опять разрешить доступ на запись в те разделы и папки. Если вирус действительно удалён из всех мест, где он был, заново он не появится (но могут появиться другие).Ошмётки
Ошмётки
1. Пока не удалось сделать папки на флешке опять видимыми; Удалось.
2. Не разобрался в механизмом блокирования DNS;
3. Не разобрался с механизмом переименования файлов в корзине;
4. Даже после этих процедур, нашёлся ещё 1 экзешник в Application Data, который был успешно удалён;
5. Только после второй перезагрузки (не считая пяти бесполезных, когда я подбирал стратегию), удалось удалить содержимое корзины -- но с 1-го раза я не смог правильно установить разрешения на неё -- возможно из-за этого...Благодарности/ссылки
Благодарности/ссылки
Инфа по теме (можно выловить зерно истины) --
http://safezone.cc/forum/archive/index.php/t-15253.html
Выражаю благодарность автору этой статьи --
http://jenyay.net/blog/2011/05/24/pro-virus-aadrive32-exe/
Также выражаю благодарность автору вируса, это было интересно.
UPD. Запись обновлена (пункт "Ошмётки")>>
17.04.2012 в 17:24
17.04.2012 в 17:32
а) ваше описание довольно сумбурно, хотя я его разобрал. не могу его проверить, т.к. не имею желания заново запускать это безобразие (лежит в вивисектарии).
б) может и написана она идиотом, но почему тогда от неё так тяжело избавиться?
в) скрываться необязательно. Многие пользователи вообще не подозревают, что у них в процессах висит.
г) а сейф мод-то зачем?
д) я не знаю, для чего он предназначен, но вырубание днс -- это серьёзно. согласен, что возможно я лечил сразу от двух вирусов -- от дропеера и от того, что он скачал.
31.01.2013 в 01:44
Заметил что действует через explorer.exe так что в реестре запретил его загрузку . Гад зашевилился и создал в aplication date свой экзешник , о чем мне своевременно сообщил фаервол , потому что тот пытался прописатся в автозагрузку . До всех этих событий я сделал снимок системы , а затем и после . Разницу удалил . Собственно больше я его не видел и компьютер повеселел .
Удача в том что ничего кроме моего стандартного набора устанавливать не пришлось . Так же как и шерстить по реестру .
Это такая упрощенная версия вашего способа , я думаю . А вобще много индивидуальных признаков .
31.01.2013 в 08:43
04.04.2024 в 00:07