->

пятница, 10 февраля 2012 г.

Изящная подмена hosts

7 февраля мне попался великолепный экземпляр вируса.
А великолепен он полетом мысли!!!
Суть его работы тривиальна, подменяет hosts, но как он это делает, просто загляденье!!
Попался мне этот вирус на сервисе ответов от майл.ру. Что еще раз доказывает - даже на известном и очень знакомом ресурсе можно подхватить всякую пакость.



При запуске вирус создает в папке Temp следующие файлы:
  • 2.ico
  • ex.vbs
  • h1
  • h2
  • x1.bat
Содержимое файлов-скриптов я давать не буду, а то найдутся желающие попользоваться...
В процессе выполнения скрипта в автозагрузке создается ярлык "AdobeUpdater.lnk" при запуске которого из папки Temp копируется липовый файл hosts (в данном случае это файл h1).
Липовый файл делается скрытым.
Проведя подмену hosts скрипт уходит в спящий режим на некоторый период.
В чем изящество? А в том что вируса по сути нет, есть ярлык, который периодически запускается, и все изменения в системе выполняются при помощи самой системы (используется командная строка "cmd.exe"), а не с помощью сторонней программы-вируса.

Липовый hosts содержит следующие записи:
95.156.222.4 odnoklassniki.ru
95.156.222.4 www.facebook.com 
95.156.222.4 www.twitter.com 
95.156.222.4 vkontakte.ru 
95.156.222.4 ru-ru.facebook.com 
95.156.222.4 www.odnoklassniki.ru 
95.156.222.4 vk.com 
95.156.222.4 www.vkontakte.ru 
95.156.222.4 www.vk.com 
95.156.222.4 facebook.com
95.156.222.4 twitter.com

При выполнении x1.bat в реестр вносятся следующие записи:
1. "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" 
ключ "Hidden"=0

2. "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" 
ключ "EnableLUA"=0

3. "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" 
ключ "Scancode Map"="000000000000000003000000000037e00000540000000000"

Поясню, что делается в реестре:
  1. Отключается отображение скрытых файлов
  2. Отключается запрос от системы пользователю, на запуск программы с правами админа. То есть такие программы теперь будут запускаться втихую.
  3. Производится ремаппинг клавиш на клавиатуре (подмена).

Как лечить:
Перезагрузиться в безопасный режим.
Почистить реестр в указанных ключах.
Почистить папку Temp.
Почистить папку "Автозагрузка".
Почистить hosts от лишних записей.

DrWeb: Trojan.Hosts.5579
Касперский: Trojan.Win32.Qhost.abpe

P.S. присмотрелся внимательнее к странице, имитирующей сервис от mail.ru. Прав был комментатор Vesly, адрес ложной страницы  - http://lioma.ru/goldline/.
Страница действует и продолжает снабжать меня новыми вариантами вирусов.