->

вторник, 6 марта 2012 г.

Изящная подмена hosts - развитие...

Cегодняшний пост будет по сути продолжением темы об изящной подмене hosts.
Решив проверить подлинность страницы из поста ... вновь полез по известному мне адресу. Зайдя на страницу незамедлительно полулчил свежий вирус.
Хочется сказать что вирусы умнеют не по дням а по часам.
Запустил вирус несколько раз, соответственно каждый раз получал получил файлы с разными названиями.
Каждый раз вирус копирует в папку TEMP следующий набор файлов:

вариант 1:
a.ico   - иконка следующего вида
bsl9j   - заготовка под hosts (без добавок)
gvtxj.vbs   - скрипт visual basic
yvhjm.bat  - исполняемый файл bat
zw9xq    - заготовка под hosts с вредными записями.

вариант 2:a.ico   - иконка следующего вида
a5hsx   - заготовка под hosts (без добавок)
vittq.vbs   - скрипт visual basic
dwfsr.bat  - исполняемый файл bat
7a3y8    - заготовка под hosts с вредными записями.

После копирования файлов вирус запускает скрипт, расположенный в файле с расширением VBS.
Скрипт добавляет в папку автозагрузки ярлык с названием AdLoader.lnk.

К ярлыку привязывается иконка a.ico, что придает правдоподобности загружаемому процессу.
Создав ярлык скрипт переходит в спящий режим, т.е. будет запущен вновь через некоторое время.
Дополнительно к сделанному скрипт пытается скачать файл qip.dll  (http://lxjte.dopitter.info/js/data/qip.dll). Чем занимается этот файл я к сожалению не смог пока разобраться.

После скрипта запускается исполняемый файл с расширением bat
При выполнении файла происходит следующее:
  •  в реестр добавляется ключ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout] "  "Scancode Map" со значением "000000000000000003000000000037e00000540000000000".
  • производится удаление файла скрипта с расширением vbs из папки Temp.
  • устанавливаетcя кодовой страницы (по умолчанию это сp866) на cp1251
  • из папки Temp копируется исковерканный (с дополнительными записями) hosts в папку C:\WINDOWS\system32\drivers\etc\hоsts. Благодаря измененной кодовой странице становится возможным нахождение в одном месте двух файлов с казалось бы одинаковым названием.
  • устанавливается кодовая страница cp866 (возвращаемся в нормальное состояние).
  • в политиках отключается запуск UAC (это важно для систем Windows Vista и Windows 7/ Система с отключенным UAC перестает задавать вопросы о запуске неизвестных файлов и вирусы таким образом работают незаметно).
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] ключ "EnableLUA" 
  • в реестр добавляется ключ hidden, который отключает видимость скрытых файлов.
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] ключ "Hidden"
  • удаляются следы работы скрипта vbs, удаляется файл скрипта, и файлы с известными расширениями. Заготовки под файл hosts остаются в папке Temp.

Неправильный hosts содержит следующие записи:
95.156.222.27 odnoklassniki.ru                     
95.156.222.27 www.facebook.com                         
95.156.222.27 www.twitter.com 
95.156.222.27 vkontakte.ru    
95.156.222.27 ru-ru.facebook.com       
95.156.222.27 www.odnoklassniki.ru          
95.156.222.27 vk.com             
95.156.222.27 www.vkontakte.ru                
95.156.222.27 www.vk.com                   
95.156.222.27 facebook.com                      
95.156.222.27 twitter.com

Как лечить эту беду?
Изначально необходимо удалить ВСЁ из папки TEMP.
Я рекомендую для этих целей использовать утилиту "ATF Cleaner" (утилита помогает очистить систему от лишних файлов при помощи нажатия одной кнопки).
В программе необходимо выбрать пункт "Select all" и нажать "Empty Selected".
Далее необходимоудалить ВСЕ ярлыки из папки "Автозагрузка".
Даже если у Вас есть реально действующие ярлыки от программ в этой папке, то поверьте, стоит удалить все имеющися ярлыки и создать новые.
Перезагружаем систему.
Удаляем файл hosts с набором дополнительных записей.
Удаляем файл qip.dll (пусть неизвестно что он делает, но наверняка ничего хорошего).
При помощи AVZ чистим все политики пользователя. Для этого выбираем следующие пункты меню: "Файл" -> "Восстановление системы"
В открывшемся окне выбираем пункты:
6. Удаление всех Policies (ограничений текущего пользователя).
8. Восстановление настроек проводника.
13. Очистка файла Hosts.
и нажимаем на кнопку "Выполнить отмеченные операции".
Последний пункт в принципе выбирать не обязательно :) , это скорее просто подстраховка.
Завершающим этапом ОБЯЗАТЕЛЬНО должна быть проверка системного диска при помощи бесплатной утилиты CureIt!.

Drweb: Trojan.Hosts.5727
Касперский: Trojan.Win32.Agent.roge