Zadved троян

11 декабря 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщает о распространении вредоносной программы Trojan.Zadved.1, представляющей собой плагин к браузерам, который якобы должен защищать пользователя от вредоносных и потенциально опасных сайтов. На самом деле это приложение выполняет прямо противоположную функцию: троянец предназначен для подмены поисковой выдачи, перенаправления пользователя на сайты рекламодателей по щелчку мыши в окне браузера и демонстрации назойливой рекламы.

Первые образцы вредоносной программы Trojan.Zadved.1 были добавлены в вирусные базы «Доктор Веб» еще в начале ноября. Этот троянец распространяется в виде надстройки к браузерам под названием SafeWeb. Согласно сообщениям ее разработчиков данная надстройка предназначена для «обеспечения безопасности пользователя в Интернете». После загрузки и запуска приложения на экране появляется окно инсталлятора, устанавливающего расширение на компьютер потенциальной жертвы. Наиболее актуальная версия инсталлятора Trojan.Zadved.1 недавно появилась в раздаче вредоносной партнерской программы installmonster.ru (организованной создателями другой партнерской программы — zipmonster.ru, в рамках которой распространяются троянцы семейства Trojan.SmsSend). Следует отметить, что троянские приложения появляются в раздаче installmonster с завидной регулярностью.

По завершении установки плагин появляется в списке зарегистрированных расширений браузера и загружает с удаленных серверов несколько файлов сценариев, с помощью которых троянец и реализует свои вредоносные функции. Один из них подменяет в окне браузера выдачу поисковых систем, демонстрируя пользователю посторонние ссылки.

Другой сценарий выводит на экран поддельные всплывающие окна сообщений социальной сети «В Контакте». Причем, видимо, в целях повышения достоверности злоумышленники демонстрируют подобные сообщения только в том случае, если жертва просматривает веб-страницы на сайте vk.com. Кроме того, троянец заменяет тизерные рекламные модули социальной сети «В Контакте» своими собственными.

Еще один сценарий предназначен для реализации так называемой «кликандер»-рекламы: при щелчке мышью в произвольной точке веб-страницы скрипт открывает новое окно браузера, в котором загружается рекламируемый злоумышленниками сайт.

Trojan.Zadved.1 успешно детектируется и удаляется ПО Dr.Web, потому не представляет серьезной угрозы для пользователей антивируса. Тем не менее, специалисты компании «Доктор Веб» рекомендуют не загружать подозрительные программы с сомнительных сайтов и не устанавливать их на своем компьютере, а также выполнять регулярную проверку жесткого диска на наличие новых угроз.

Добавлен в вирусную базу Dr.Web: 2017-05-12
Описание добавлено: 2017-05-16
SHA1:
— Сетевой червь e889544aff85ffaf8b0d0da705105dee7c97fe26
— Дроппер энкодера: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
— Энкодер: 7d36a6aa8cb6b504ee9213c200c831eb8d4ef26b
— Авторский декодер: 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
Многокомпонентный сетевой червь, известный под именем WannaCry. Написан на языке C/C++, собран в среде разработки MS Visual Studio, не упакован. Содержит в собственном теле две динамические библиотеки. При запуске пытается отправить GET-запрос на удаленный сервер // www .iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com без кэширования результатов. Если получает ответ от сервера, завершает работу.
Запускается как системная служба Windows с именем «mssecsvc2.0» (видимое имя – «Microsoft Security Center (2.0) Service»). Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис «mssecsvc2.0» и настроить его на перезапуск в случае ошибки. После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.
Для собственного распространения червь инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.
Дроппер
Значительная часть дроппера представляет собой защищенный паролем ZIP-архив, в котором хранятся следующие файлы:
b.wnry — файл с обоями Рабочего стола Windows;
c.wnry — файл содержит адреса onion-серверов и адрес BTC-кошелька;
t.wnry — зашифрованный файл, содержащий троянца-энкодера. Ключ для расшифровки хранится в самом файле;
s.wnry – архив, содержащий ПО для работы с сетью Tor.
После запуска пытается установить себя в следующие папки:
%SYSDRIVE%\ProgramData (если папка существует)
%SYSDRIVE%\Intel
%SYSDRIVE%
%TEMP%
При установке создает соответствующую папку, а в ней – вложенную папку со случайным именем, затем создает в этой папке собственную копию с именем tasksche.exe.
Пытается запустить свою копию в виде системной службы со случайным именем. Если попытка не удается, создает системную службу, регистрирует в ней запуск собственной копии с использованием вызова командного интерпретатора («cmd.exe /c path») и запускает эту службу. В случае неудачи запускается как обычное приложение.
При запуске в режиме приложения дроппер пытается записать в ветви системного реестра HKLM\Software\WanaCrypt0r или HKCU\Software\WanaCrypt0r путь и имя своей текущей директории. Распаковывает содержимое архива в свою текущую папку, сохраняет в файл c.wncry один из трех возможных адресов BTC-кошельков. Открывает доступ к рабочему каталогу всем пользователем системы и устанавливает для него атрибут «скрытый». Затем извлекает из файла t.wnry троянца-энкодера, расшифровывает его и запускает на выполнение.
Троянец-шифровальщик
Энкодер хранится в отдельной динамической библиотеке. Он шифрует файлы с использованием алгоритма AES-128. С помощью функции CryptGenKey энкодер создает RSA-пару, публичная часть сохраняется в файле 00000000.pky, приватная – шифруется авторским публичным ключом и сохраняется в файле 00000000.eky. Ключ генерируется для каждого шифруемого файла с использованием функции CryptGenRandom.
В зашифрованном файле сохраняется:
маркер (8 байт): WANACRY!;
длина зашифрованного ключа (4 байта);
зашифрованный ключ (256 байт);
информация о типе шифрования (4 байта);
исходный размер файла (8 байт);
зашифрованные данные.
В процессе шифрования создается список файлов, которые могут быть расшифрованы в тестовом режиме. Он сохраняется в файле f.wnry. Сессионный AES-ключ для расшифровки тестовых файлов шифруется вторым RSA-ключом, приватная часть которого хранится в теле троянца.
Шифровальщик содержит авторский декодер, который выполняет следующие функции:
установка обоев рабочего стола из файла b.wnry;
удаление теневых копий;
отключение функции восстановления системы;
распаковка ПО для работы с Tor из файла s.wnry или скачивание его с сайта, адрес которого хранится в файле, зашитом в c.wnry.
Декодер способен воспринимать следующие параметры командной строки (без аргументов):
fi — извлекает ПО для работы с Tor, устанавливает соединение с портом 80 onion-серверов, указанных в конфигурации. Получает от них адрес кошелька BTC и сохраняет его в конфигурации;
co — читает из res-файла данные о начале шифрования и, предположительно, отправляет их на onion-сервер;
vs — удаляет теневые копии и отключает восстановление системы.
Для обмена данными с onion-серверами Trojan.Encoder.11432 использует собственный протокол. К сожалению, в настоящее время расшифровка поврежденных троянцем файлов не представляется возможной.
________________________________________

Сетевая активность
Для обмена информацией с удаленными серверами троянец использует собственный протокол. Можно выделить три типа сетевой активности:
отправка сообщений авторам троянца;
запрос имени BTC-кошелька;
проверка оплаты выкупа.
Перед началом сеанса связи троянец проверяет наличие соединения и выбирает адрес onion-сервера из записанных в конфигурации. Для проверки работоспособности сервера соединяется с ним по 80-му порту через сеть TOR и устанавливает сессионный ключ, после чего передается полезная информация.
Передаваемые пакеты данных шифруются.
При отправке сообщений авторам троянца текст размером менее 10 символов не отсылается, вредоносная программа возвращает ошибку «Too short message!». Сообщения длиннее 1000 символов урезаются до 1000. Декодер не позволяет отправлять сообщения слишком часто (эти ограничения реализованы в самом декодере).
При нажатии на кнопку проверки платежа декодер пытается прочитать файл, содержащий публичный ключ, и файл с приватным ключом. Если чтение прошло успешно, проверяет их соответствие путем шифрования и расшифровки тестового буфера. Если файла с приватным ключом нет или он не соответствует файлу, содержащему публичный ключ, троянец обращается к своим серверам.
Отправив данные на сервер, ожидает получения расшифрованного файла eky (приватная часть RSA-ключа).
Рекомендации Dr.Web по лечению WannaCry
Windows
— В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
— Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы или утилиту записи на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
— Если работа операционной системы заблокирована вредоносной программой семейства Trojan.Winlock, воспользуйтесь . Если подобрать код разблокировки не удалось, действуйте согласно инструкции, представленной в п.2.
OS X
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для OS X. Данный продукт можно загрузить с официального сайта .
Linux
На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта .
Android
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.

Для отправки запроса по продуктам Dr.Web заполните Форму «Отправить запрос».
— Консультация по программам Dr.Web;
— Стоимость Dr.Web ;
— Специальные цены Dr.Web.

Вступление

Попался мне в руки файл формата pif. Это ярлык к программе MS-DOS, как описывает его сама Windows. Название он имел такое же, как и название папки, в которой лежал. Поскольку папка была получена через Яндекс.диск от знакомого (у него, как и у меня антивирус на системе не установлен), я, ничего не заподозрив, а точнее — не успев разглядеть как следует этот объект файловой системы, случайно запустил его. Когда понял, что запустил, было уже поздно. Я запаковал эту папку в zip-архив и отправил на сканирование на VirusTotal. Вот результат.

Симптомы, вызываемые вирусом

  • 1. Создание в папках System32, Windows и пользовательской папки темпа (%tmp%) своих файлов;
  • 2. Запуск этих файлов;
  • 3. Создание в корнях всех имеющихся дисков своих файлов;
  • 4. Запрет на редактирование реестра;
  • 5. Запрет на отображение скрытых файлов и папок;
  • 6. Создание во всех сетевых папках всех компьютеров, которые он найдет по сети исполняемых файлов и rar-архивов с названием родительской папки;
  • 7. Непрерывный спам темповыми файлами (Имеющими расширение «tmp») в те же сетевые папки.

Вполне возможно, что здесь приведён неполный список симптомов. Если вы знаете ещё, пожалуйста, дополняйте в комментариях.

Уничтожение вируса

Перед началом этой части статьи хотел бы обратить внимание на то, что все дальнейшие действия по удалению файлов и завершению процессов вы совершаете абсолютно на свой страх и риск. Убедительная просьба: если вы не уверены в том, подозрительный ли это файл, поищите сперва его название в поисковой системе, чтобы случайно не удалить системный файл, такой как «ctfmon.exe», «csrss.exe» или «lsass.exe».
Хоть опыт по удалению такого вируса у меня уже имелся (знакомый заразил им свой компьютер чуть ранее), все же я пошёл в Яндекс, чтобы посмотреть, как уничтожает его народ. Названий у этого вируса оказалось, как всегда, очень много. Вот как называют его самые известные антивирусы:
Остальные названия вы сможете увидеть, перейдя по ссылке на VirusTotal, указанной в первой части статьи. Введя в поиске Яндекса поочерёдно то одно, то другое название и просматривая результаты поиска, я так и не нашел описания нормального способа избавления от этого вируса, поэтому решил написать эту статью.

Перейдём к делу.

Для начала откроем диспетчер задач и отыщем в процессах файлы этого вируса. Файлы его имеют бесподобные названия, состоящие из некоторого количества букв английского алфавита, расположенных в абсолютно случайном порядке. Например: «aekswdk.exe», «ufqwfvjecot.exe», «zmbsfvlbtndtaojc.exe» и так далее. Понятно, что стандартно в операционной системе нет так странно названных файлов, и вряд ли какая нормальная программа будет такие файлы создавать. Таких подозрительных процессов может быть два, а может быть и три. Они мониторят друг за другом, то есть, при завершении одного — второй тут же его обратно запускает; при завершении второго — его молниеносно запускает первый — и так далее. Следовательно, передо мной стала задача одновременно завершить все эти зловредные процессы, чтобы они не запускали друг друга и дали себя нормально удалить. В этом мне помогла утилита «KillProc» от, к сожалению, неизвестного автора. Взять её можно или при желании и умении программировать написать самостоятельно. Она состоит всего из двух файлов: исполняемого и текстового. В текстовом на каждой строке отдельно прописывается название процесса, а исполняемый при запуске завершает все эти процессы в порядке их следования в текстовом файле. Я прописал каждый процесс на всякий случай раза по три, расположив названия в случайном порядке и запустил утилиту. Поскольку утилита работает довольно быстро, процессы были мигом завершены, не успев запустить друг друга. После чего, казалось бы, надо почистить автозагрузку, но не тут-то было. Поскольку редактирование реестра этот зловред нам запретил, мы должны сперва его разрешить. Для этого заходим в пуск и выбираем команду «Выполнить» или нажимаем сочетание клавиш Windows+r, где набираем «gpedit.msc» и нажимаем энтер. Мы находимся в окне редактирования групповой политики. Там открываем последовательно конфигурацию пользователя, административные шаблоны, пункт «Система» и в списке параметров находим пункт «Сделать недоступными средства редактирования реестра». Жмём правую кнопку мыши и выбираем «Свойства», после чего меняем положение радиокнопки на «Отключить» и применяем сделанные изменения. Далее совершенно спокойно открываем реестр (Жмём Windows+r и вводим «regedit» без ковычек), в нем перемещаемся по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и в списке параметров также ищем файлы с названием, состоящим из непонятного набора английских букв. Подозрительные подвергаем удалению. После того, как почистили автозагрузку, восстанавливаем показ в системе скрытых файлов и папок. Для этого идем в реестре по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced и ищем в списке параметр «Hidden». Делаем на нем правый клик, жмём пункт «Изменить» и прописываем единицу. Далее идем по ещё одному пути реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL и находим параметр «CheckedValue», значение которого тоже меняем на единицу. После редактор реестра можем закрывать свободно и идти в панель управления и параметры папок, где на вкладке «вид» отмечаем показ скрытых файлов и папок, а также защищённых системных файлов. Далее прочищаем корни всех своих дисков от файлов «autorun.inf» и bat-файлов с названиями вроде «ralyhtfrfvht.bat», «rcpepdrfvnbpug.bat» и так далее. (Внимание: не удалите случайно «AUTOEXEC.BAT»). Также нужно прочистить папку темп, открыть которую можно введя в уже знакомом нам окне «Выполнить» «%tmp%» и удалить в папках Windows и System32 те файлы, пути к которым вы удаляли из автозагрузки и те, процессы которых вы завершали.

Используемые источники

  • wecrasoft.narod.ru/soft/KillProc.zip — Маленькая, но полезная утилита KillProc;
  • vindavoz.ru/win_obwee/409-vosstanovit-pokazyvat-skrytye-fayly-i-papki.html — О том, как восстановить показ скрытых файлов и папок;
  • roadvictory.ru/blockreestr.html — О том, как восстановить редактирование реестра, если оно запрещено администратором системы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *