Весь мир последнее время будоражат сообщения о гигантской эпидемии нового вируса основанного на дырке в RPC(MS08-67), якобы масштабы эпидемии устрашающие и скоро настанет конец света. Мою сеть эта гадость вроде бы обошла стороной, хотя всеобщий шухер заставил поволноваться, тем более я не сталкивался с таким видом вирусов до текущего момента. После брожений по жж, мне предложили посмотреть 2 семпла этой заразы (Kido.bx и Kido.eo).
Сегодня я подготовил свою любимую связку машиин для таких вещей и с трепетом решил посмотреть чего боится весь мир.
В качестве семпла мне достались 2 архива с файлами.
1й архив
autorun.inf(59288b)
jwgkvsq.vmx(165025b)
2й архив
autorun.inf(59306b)
jwgkvsq.vmx(168509b)
Порадовал obfuscated autorun.inf — это уже что-то новенькое в плане вирусов, был приятно удивлён. В код вируса не полез(лень), просто посмотрел что делает снаружи. Механизм запуска до безобразия прост. По постоянному пути
RECYCLER\S-5-3-42-2819952290-8240759888-879315005-3665\jwgkvsq.vmx лежит исполняемая библиотека содержащая тело вируса. Из autorun.inf библиотека дергается при помощи строки
shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
без ключа ahaezedrn библиотеку вызвать невозможно(падает с ошибкой). Тело вируса не подвергается сокрытию при помощи специальных сервисов, всего-лишь производятся манипуляции с реестром которые отключают показ скрытых файлов. После запуска библиотеки в %system32% создается файлик nlvks.dll с аттрибутами архивный, системный, только для чтения и скрытый.
Для вычисления вирусной библиотеки идём в %system32% и из командной строки набираем dir /AH и видим список файлов у которых установлен атрибут Hidden.
C:\WINDOWS\system32
25.03.2008 12:05 488 logonui.exe.manifest
25.03.2008 12:05 749 ncpa.cpl.manifest
15.04.2008 14:00 168 509 nlvks.dll
25.03.2008 12:05 749 nwc.cpl.manifest
25.03.2008 12:05 749 sapi.cpl.manifest
25.03.2008 12:05 488 WindowsLogon.manifest
25.03.2008 12:05 749 wuaucpl.cpl.manifest
8 File(s) 173 230 bytes
1 Dir(s) 74 078 367 744 bytes free
Многие пользователи столкнулись с тем, что файл нельзя удалить даже после корректного лечения. Это происходит по причине смены прав вирусом на файл в Everyone(R).
C:\WINDOWS\system32\>cacls nlvks.dll
C:\WINDOWS\system32\nlvks.dll Everyone:(special access:)
READ_CONTROL
SYNCHRONIZE
FILE_GENERIC_READ
FILE_READ_DATA
FILE_READ_EA
FILE_READ_ATTRIBUTES
меняем права на файл при помощи следущей команды
C:\WINDOWS\system32>cacls nlvks.dll /G Everyone:F
Are you sure (Y/N)?y
processed file: C:\WINDOWS\system32\nlvks.dll
C:\WINDOWS\system32>cacls nlvks.dll
C:\WINDOWS\system32\nlvks.dll Everyone:F
Самый простой способ найти сервис отвечающий за вирус это запустить редактор реестра, зайти в ветку
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
и посмотреть значение ключа netsvcs, в самом конце значений будет имя сервиса который формируется вирусом, копируете полученное значение и удаляете его из списка SvcHost.
Далее в \HKLM\SYSTEM\CurrentControlSet\Services ищете указанное последним имя(скорее всего это просто набор букв). Вирус убирает права Администраторов для открытия/редактирования ветки реестра и оставляет права SYSTEM только на чтение. Правой кнопкой из меню «Разрешения/Permissions» добавляете Администратора на полный доступ и просто удаляете данный кусок реестра.
Следующий шаг — удаление autorun.inf
C:\>attrib autorun.inf
A SHR C:\autorun.inf
C:\>attrib -H -A -S -R autorun.inf
C:\>attrib autorun.inf
C:\autorun.inf
C:\>del autorun.inf
Тело вируса по прежнему живёт в памяти компутера.
Теперь можно перезагрузить машину.
После перезагрузки тело вируса из system32 можно легко удалить.
НО ! вирус гадит в реестр и отключает нормальную возможность управления папками(show hidden files). Антивирусные тулкиты не восстанавливают данные в реестре и Вы после лечения получаете полуживой GUI. Далее напишу что нужно сделать. Вот лог работы вируса с реестром при внедрении в систему:
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS B3 30 86 55 10 D5 A9 F3 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS CB 7A F3 9F CB 38 46 D2 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS 06 A7 15 FD F7 EA 90 D9 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS A1 2D 28 E4 79 78 C1 74 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS 6A EE 94 3A 6A 6F D9 40 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS B9 6F 4D 36 05 58 49 42 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS E4 A0 C5 56 8F C0 D5 5A …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS C3 B7 55 0B 2D EC 25 09 …
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\DisplayName SUCCESS Boot Image
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\Type SUCCESS 0x20
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\Start SUCCESS 0x2
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\ErrorControl SUCCESS 0x0
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\ImagePath SUCCESS %SystemRoot%\system32\svchost.exe -k netsvcs
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\ObjectName SUCCESS LocalSystem
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\Description SUCCESS Manages audio devices for Windows-based programs. HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\Parameters\ServiceDll SUCCESS C:\WINDOWS\system32\nlvks.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs SUCCESS 6to4…
HKLM\System\CurrentControlSet\Services\SR\Parameters\FirstRun SUCCESS 0x1
HKLM\System\CurrentControlSet\Services\tbpir\Type SUCCESS 0x1
HKLM\System\CurrentControlSet\Services\tbpir\Start SUCCESS 0x3
HKLM\System\CurrentControlSet\Services\tbpir\ErrorControl SUCCESS 0x0
HKLM\System\CurrentControlSet\Services\tbpir\ImagePath SUCCESS \??\C:\WINDOWS\system32\01.tmp
HKLM\System\CurrentControlSet\Services\tbpir\DisplayName SUCCESS tbpir
HKLM\System\CurrentControlSet\Services\tbpir\Security\Security SUCCESS 01 00 14 80 90 00 00 00 …
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\NextInstance SUCCESS 0x1
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\Control\*NewlyCreated* SUCCESS 0x0
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\Service SUCCESS tbpir
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\Legacy SUCCESS 0x1
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\ConfigFlags SUCCESS 0x0
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\Class SUCCESS LegacyDriver
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\ClassGUID SUCCESS {8ECC055D-047F-11D1-A537-0000F8753ED1}
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\DeviceDesc SUCCESS tbpir
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\0 SUCCESS Root\LEGACY_TBPIR\0000
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\Count SUCCESS 0x1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\NextInstance SUCCESS 0x1
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\Root\LEGACY_TBPIR\0000\Control\ActiveService SUCCESS tbpir
HKLM\System\CurrentControlSet\Services\tbpir\DeleteFlag SUCCESS 0x1
HKLM\System\CurrentControlSet\Services\tbpir\Start SUCCESS 0x4
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TBPIR\0000\Driver SUCCESS {8ECC055D-047F-11D1-A537-0000F8753ED1}\0000
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\Count SUCCESS 0x0
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\NextInstance SUCCESS 0x0
HKLM\System\CurrentControlSet\Services\wuauserv\Start SUCCESS 0x4
HKLM\System\CurrentControlSet\Services\BITS\Start SUCCESS 0x4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue SUCCESS 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState SUCCESS 24 00 00 00 32 08 00 00 …
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden SUCCESS 0x2
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowCompColor SUCCESS 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt SUCCESS 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\DontPrettyPath SUCCESS 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowInfoTip SUCCESS 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons SUCCESS 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\MapNetDrvBtn SUCCESS 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebView SUCCESS 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Filter SUCCESS 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden SUCCESS 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SeparateProcess SUCCESS 0x0
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS DE 52 E0 97 C5 F9 E4 4F …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS 82 71 9D 0F 90 4D 67 90 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS BE F5 5E B0 9D DA 52 1B …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS 00 AA 4C 7D 6C B7 DD 10 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS 40 C1 53 03 ED 69 30 11 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS FF 45 96 D9 84 2F 3D 55 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS 6A 20 70 BD 43 36 2B C9 …
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS 84 3D 58 7A ED 13 4C 90 …
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{65838386-eb83-11dd-ab47-806d6172696f}\BaseClass SUCCESS Drive
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{65838387-eb83-11dd-ab47-806d6172696f}\BaseClass SUCCESS Drive
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\NodeSlots SUCCESS 02 02 02 02 02 02 02 02 …
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx SUCCESS 00 00 00 00 04 00 00 00 …
HKCU\Software\Microsoft\Internet Explorer\Toolbar\Locked SUCCESS 0x1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\iexplore\Type SUCCESS 0x3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\iexplore\Count SUCCESS 0x15
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\iexplore\Time SUCCESS D9 07 01 00 01 00 1A 00 …
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\NodeSlots SUCCESS 02 02 02 02 02 02 02 02 …
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx SUCCESS 00 00 00 00 04 00 00 00 …
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\FolderType SUCCESS Documents
HKCU\SessionInformation\ProgramCount SUCCESS 0x3
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count\HRZR_PGYFRFFVBA SUCCESS DA FC 4B 0E 01 00 00 00
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\MinPos1024x768(1).x SUCCESS 0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\MinPos1024x768(1).y SUCCESS 0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\MaxPos1024x768(1).x SUCCESS 0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\MaxPos1024x768(1).y SUCCESS 0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WinPos1024x768(1).left SUCCESS 0x6E
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WinPos1024x768(1).top SUCCESS 0x6E
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WinPos1024x768(1).right SUCCESS 0x38E
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WinPos1024x768(1).bottom SUCCESS 0x2C6
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Rev SUCCESS 0x1
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WFlags SUCCESS 0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\ShowCmd SUCCESS 0x1
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\FFlags SUCCESS 0x1
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\HotKey SUCCESS 0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Buttons SUCCESS 0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Links SUCCESS 0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Address SUCCESS 0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Vid SUCCESS {0E1FA5E0-3573-11CF-AE69-08002B2E1262}
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Mode SUCCESS 0x3
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\ScrollPos1024x768(1).x SUCCESS 0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\ScrollPos1024x768(1).y SUCCESS 0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Sort SUCCESS 0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\SortDir SUCCESS 0x1
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Col SUCCESS 0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\ColInfo SUCCESS 00 00 00 00 00 00 00 00 …
HKCU\SessionInformation\ProgramCount SUCCESS 0x2
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache SUCCESS C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory SUCCESS C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Paths SUCCESS 0x4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path1\CachePath SUCCESS C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache1
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path2\CachePath SUCCESS C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache2
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path3\CachePath SUCCESS C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache3
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path4\CachePath SUCCESS C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path1\CacheLimit SUCCESS 0x950E4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path2\CacheLimit SUCCESS 0x950E4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path3\CacheLimit SUCCESS 0x950E4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path4\CacheLimit SUCCESS 0x950E4
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies SUCCESS C:\Documents and Settings\NetworkService\Cookies
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History SUCCESS C:\Documents and Settings\NetworkService\Local Settings\History
HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable SUCCESS 0x0
HKCC\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable SUCCESS 0x0
HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings SUCCESS 3C 00 00 00 03 00 00 00 …
Красным цветом обозначены наиболее важные для нас сейчас блоки реестра.
HKLM\System\CurrentControlSet\Services\wuauserv\Start SUCCESS 0x4
HKLM\System\CurrentControlSet\Services\BITS\Start SUCCESS 0x4
Эти строки выставляют сервисы «Automatic Updates» и «Background Intelligent Transfer Service» в состояние Disabled. Нужно зайти в настройку сервисов и поменять тип запуска на «Automatic».
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
Данный параметр отвечает за возможность показа «hidden» файлов, необходимо вернуть значение для ключа в 0x1 и через настройку вида папок включить отображение скрытых файлов.
Значения в ветке
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Лучше удалить, чтобы после перезагрузки данные были получены из профиля по умолчанию.
В разделе HKCU\Software\Microsoft\Windows\ShellNoRoam
лучше удалить блоки «Bags» и «BagMRU» которые отвечают за представление папок в системе. Они создадутся заново когда Вы будете настраивать вид папок.
Нижеидущие(по логу) настройки кешхранилища можно оставить как есть, но все временные файлы будут сохраняться в другой профиль.
Вирус создаёт правило исключения для Firewall, которое можно удалить из настроек Firewall.
Для блокировки распространения вируса и удобного лечения можно либо отключить машину от сети, либо дать машине адрес /32 без указания шлюза через DHCP. На общем шлюзе порт 445 желательно заблокировать на вход и на выход всем без исключения.
В общем я не сильно вдавался на грамотность написания кода данного вируса, но механизм защиты и распространения меня не сильно впечатлил. Возможно позже мы столкнёмся с более совершенными версиями данного семейства вирусов.
Возможно эта статья кому-то поможет в решении проблем в локальной сети и дома, другим может будет полезна с точки зрения общего образования.
Удачи Вам и спокойной работы.
(C)aborche
ЗЫ: забыл сказать. Вирус сам себе ставит подножки в виде установки атрибутов на реестр и файл исполняемой библиотеки и при попытке повторной инсталляции тупо падает :))