Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;
Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;
СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";
%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;
%windir% - каталог, в который установлена ОС Windows.
Пока что известным источником распространения Win32.Worm.GameSpy.crypt.za, появившемся примерно в середине мая 2009 года, являются инфицированные СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.). Однако не исключено, что они могут быть распространены злоумышленниками и в Интернет-сети - наиболее вероятным из возможных путей распространения вируса, на мой взгляд, являются, как обычно, файло-обменные сети, где червь может быть подсунут пользователям как "полезная" программа среди прочего софта. При этом весьма очевидно, что вредоносный файл будет иметь различные названия.
Данная модификация червя является многокомпонентной Windows-программой (PE EXE-файлом), написанной на Ассемблере. Основной файл представляет собой "матрешку", которая извлекает из своего тела и записывает на диск остальные компоненты. Код компонентов вируса сжат при помощи утилиты компрессии "UPX" версии 2.03 (включая и Основной файл), а поверх этого зашифрован несколькими мощными крипт-алгоритмами: сначала реализуется внутренний алгоритм шифрования отдельных участков, а поверх этого (и, соответственно, поверх UPX-сжатия) применен алгоритм криптации с использованием новейшей версии утилиты "EXECryptor", модифицированной под шифрование и PE DLL-файлов (программных библиотек Windows).
В корне инфицированного носителя присутствуют следующие файлы (Основной и вспомогательный):
%drivename%\autorun.inf (размер 49 байт)
%drivename%\w.com (размер 107267 байт)
Остальная часть этого раздела практически полностью идентична соответствующему разделу описания Win32.Worm.GameSpy.crypt.ya-yc. Отличия заключаются лишь в следующих деталях:
1. У данного варианта червя название копии Основного файла, устанавливаемой в системный подкаталог, изменено на
%windir%\System32\olhrwef.exe
2. Название компонента, извлекаемого файлом olhrwef.exe из своего тела, изменено на
%windir%\System32\nmdfgds%X.dll
, размер которого составляет 92672 байта;
3. Запись в ключах автозапуска системного реестра заменена на следующую:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"="%windir%\\system32\\olhrwef.exe"
Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Worm.GameSpy.crypt.ya-yc (отличия заключаются лишь в вышеприведенных названиях компонентных файлов вируса).
Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Worm.GameSpy.crypt.ya-yc (отличия заключаются лишь в вышеприведенных названиях компонентных файлов вируса).
Этот раздел практически полностью идентичен приведенному в описании вариантов Win32.Worm.GameSpy.crypt.93,95,a-hg.
Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Worm.GameSpy.crypt.ya-yc. Отличия заключаются в следующих вещах:
1. По причине какой-то внутренней ошибки вирус не извлекает из своего тела файл руткита и, соответственно, не перезаписывает им системный драйвер;
2. Список блокируемых компонентов антивирусных программ увеличился:
LIVESRV.EXE
*.dll(MOVE)
*.exe(MOVE)
VCRMON.EXE
Update.exe
CCSVCHST.EXE
ALUSCHEDULERSVC.EXE
luall.exe
ASHDISP.EXE
avast.setup
setup.ovr
AVP.EXE
prupdate.ppl
AYAGENT.AYE
AYUpdate.aye
UFSEAGNT.EXE
SfFnUp.exe
UfUpdUi.exe
AVGNT.EXE
preupd.exe
update.exe
VSTSKMGR.EXE
vsupdate.dll
mcupdate.exe
AVGRSX.exe
avgupdate.exe
Кроме того, вирус пытается препятствовать загрузке файлов *.vcd (виртуальные образы компакт-дисков, загружаемые в память программой VirtualCD);
3. Процедура блокировки загрузки обновлений антивирусных модулей и сигнатурных баз, срабатывающая, как и в более ранних модификациях вирусах, только в случае наличия в памяти хотя бы одного из вышеперечисленных процессов, работает более жестко: после того, как работоспособность процедуры обновления была нарушена, восстановить ее можно исключительно путем полной переустановкой антивирусной программы с предварительным удалением последней с диска через Меню деинсталляции программ. На данный момент механизм такого глобального повреждения антивирусного ПО, включая и Антивирус Касперского с включенным механизмом самозащиты модулей и настроек, не удается определить.
В некоторых случаях, пытаясь препятствовать запуску компонентов антивирусного ПО, вирус может вызвать торможение или даже полный ступор системы, в результате чего все поточные несохраненные данные и документы будут утеряны, а компьютер придется перезагрузить при помощи кнопки Reset на корпусе системного блока ПК.
Антивирусы детектируют компоненты вируса под следующими номенклатурными названиями:
Антивирус Kaspersky AntiVirus:
файл autorun.inf: не обнаруживает
файл olhrwef.exe, w.com: Trojan-GameThief.Win32.Magania.bbqw
файл nmdfgds0.dll, nmdfgds1.dll, nmdfgds2.dll: Trojan-GameThief.Win32.Magania.bbwg
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.Win32.AVKill.cv
Антивирус DrWeb:
файл autorun.inf: не обнаруживает
файл olhrwef.exe, w.com: Trojan.MulDrop.31605
файл nmdfgds0.dll, nmdfgds1.dll, nmdfgds2.dll: Trojan.Packed.2474
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.PWS.Wsgame.10149
Антивирус BitDefender Professional:
файл autorun.inf: не обнаруживает
файл olhrwef.exe, w.com: Trojan.PWS.OnlineGames.KCBF
файл nmdfgds0.dll, nmdfgds1.dll, nmdfgds2.dll: Trojan.PWS.OnlineGames.KCBF
руткит cdaudio.sys: образец файла отсутствует
внутренний компонент antivm.dll: Trojan.PWS.OnlineGames.KBRT
Все файлы, которые установленный в Вашем компьютере антивирус инициализирует под любым из вышеприведенных номенклатурных названий, необходимо просто удалить.
С учетом серьезной опасности и плачевных последствий в результате деятельности червя, для пользователей Windows XP была создана специальная утилита, удаляющая вирус и его компоненты из компьютера (включая и руткит-драйвер), а также восстанавливающая поврежденные вирусом записи в ключах реестра.
Итак, пользователи Windows XP могут пролечить свои компьютеры следующим образом:
1. Скачать с нашего сайта архив с утилитами от VirusHunter'а, который находится здесь;
2. Отключить компьютер от сети Интернет, распаковать содержимое архива и запустить утилиту №16 (важно: перед использованием утилиты настоятельно рекомендуется отключить проактивную антивирусную защиту, дабы избежать негативных казусов и ошибок лечения). В ходе процедуры лечения утилита осуществит следующие действия:
- удалит вредоносный файл olhrwef.exe, а затем в течении 40 секунд (время одинаково для любых компьютеров независимо от их быстродействия и количества информации на жестком диске) и все копии вируса в корнях логических, сетевых и съемных дисков, подключенных к компьютеру;
- выгрузит из памяти путем перезагрузки Explorer Shell и удалит вредоносные файлы nmdfgds%X.dll;
- удалит ссылку реестра на вредоносный файл olhrwef.exe, а также восстановит все измененные/заблокированные вирусом системные настройки, связанные с просмотром скрытых/системных файлов в Проводнике, а также с функционалом антивирусных продуктов ЛК;
- удалит из системы записи вредоносного сервиса AVPsys;
- удалит вредоносный файл C:\autorun.inf.
При этом в процедуру очистки не были включены файлы autorun.inf, расположенные в корнях дисков, отличных от C:.
Поскольку основной функционал утилиты построен на использовании двух внутренних ошибок, содержащихся в коде вируса, то процесс лечения возможен лишь при запуске утилиты под зараженной системой и при наличии активной копии вируса в памяти;
3. Запустить утилиту №6 из набора VirusHunter'а для блокировки чтения системой вредоносных файлов autorun.inf (если в дальнейшем Вы не хотите более использовать данную утилиту, то запустите ее еще раз - инсталлированная в систему функция блокировки чтения данных из autorun.inf будет удалена; для текущего сеанса работы в Windows функция блокировки останется в силе);
4. Удалить из корней всех дисков, отличных от C:, оставшиеся после вируса файлы-компоненты autorun.inf, т.к. в противном случае ни через меню "Мой компьютер", ни посредством Проводника доступ к данным на таких дисках получить в дальнейшем не удастся (кроме, как через командную строку или сторонний файловый менеджер типа Total Commander или Far Manager), а на экране будет выведено меню следующего вида:
5. Если после лечения наблюдается нестабильность в работе ОС, то это можно легко исправить, просто перезагрузив компьютер.
Пользователи антивирусных продуктов ЛК, у которых в компьютере был удален вирусом оригинальный файл klif.sys, могут восстановить его из резервной копии, хранимой в одном из подкаталогов папок, в которые были установлены компоненты защитного продукта ЛК. Самый простой способ найти резервный klif.sys - через системный сервис "Поиск файлов и папок".
Утилита №16 не предусматривает исправление повреждений реестра в тех случаях, когда вирус и его компоненты были уничтожены каким-либо антивирусом (в данную утилиту такой функционал не был добавлен по некоторым конструктивным соображениям).
Дополнительную информацию касательно работы утилиты №16 можно прочитать в прилагаемом к набору от VirusHunter'а руководстве пользователя.
Пользователям, антивирусные продукты которых отказываются после удаления вируса выполнять процедуру обновления сигнатурных баз и программных модулей, рекомендуется произвести полную переустановку антивируса с предварительным удалением последнего через Меню удаления программ. Также придется заново скачивать обновление антивирусной базы и программных модулей (если вы не сделали предварительно резервной копии последних), а также заново вводить настройки параметров программы.
Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).
На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:
Win32.Worm.GameSpy.93,95,a-hg
Win32.Worm.GameSpy.xa-xc
Win32.Worm.GameSpy.ya-yc
Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 23.10.2009
Дата внесения последних изменений: 23.10.2009
Автор описания: Бройде Герман (aka VirusHunter)
