Артем Герасимович © 2002 editor@computerforpeople.info при отличной помощи Лаборатории Касперского www.kaspersky.com
Мой компьютер на прошлой неделе не работал 4 дня из 5 рабочих. Восстановить его мне стоило двух бессонных ночей.
Что случилось: по почте пришло письмо от знакомых с приаттаченным файлом с расширением scr. В теле письма был текст о каком-то драйвере принтера. При попытке посмотреть свойства файла scr система сильно задумалась.
После этого исчез загруженный монитор Касперского. Просто так - с диска исчез исполняемый файл. И это случалось с большинством исполняемых файлов, которые я загружал.
В каталоге windows появился файл winkl.exe. Только в SafeMode его удалось удалить.
После перезагрузки в каталоге windows появился файл winkm.exe.
Это продолжалось до бесконечности - неизменно в каталоге появлялся файл с именем, начинающимся на wink.
На следующий день, озлобленный и грустный, я с работы посетил сайт лаборатории Касперского - и увидел там описание симптомов вируса, который поразил мой компьютер.
Скачав маленькую утилитку clav.com, я смог удалить вирус. Однако после удаления система перестала запускаться. Пришлось переустанавливать Windows.
Безжалостно уничтожать все письма, адресант которых вам неизвестен.
Уничтожать письма даже из знакомых источников, если в теле письма нет текста, а есть приложенные файлы с непонятным расширением и небольшим (до 70Kb) размером.
Ни в коем случае не запускать приложенные EXE-файлы, если о них не говорится в тексте письма.
Чем грозит заражение вирусом: уничтожение всех исполняемых файлов, расположенных на локальных или удаленных дисках. Уничтожение операционной системы. Несколько дней простоя компьютера - для излечения требуется прилично времени.
Что же делать?
1) отключите зараженный компьютер от локальной сети (если он в сети)
2) запустите утилиту clrav.com
Если утилита говорит "nothing to clean" (нечего удалять), запустите её в режиме сканирования командных файлов: clav.com /scanfiles
4) перегрузите машину в режиме Safe Mode (нажать F5 при перезагрузке)
5) запустите утилиту clrav.com еще раз
6) переустановите антивирусный пакет и обновите антивирусные базы
7) запустите антивирусный сканер и проверьте все диски
Все машины в локальной сети следует пролечить отдельно.
Описание вируса
Вирус-червь, имеет размер от 57K до 65K
Для запуска из заражённых сообщений червь использует брешь в защите Internet Explorer (IFRAME-брешь), что может привести к автоматической активизации червя при обычном просмотре сообщения.
Запуск вируса
При запуске зараженного файла червь копирует себя в системную папку Windows с именем krn132.exe. Затем он записывает в реестр следующий ключ, чтобы стартовать автоматически при запуске Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Krn132=%System%\Krn132.exe
где %System% является именем системного каталога Windows.
Затем вирус ищет активные приложения и пытается выгрузить их командой Windows "TerminateProcess":
Распространение: e-mail
Тема отсылаемых червём сообщений случайно выбирается из списка:
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a strangerТело сообщения следующее:
I'm sorry to do so, but it's helpless to say sorry.
I want a good job, I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names, I have no hostility.
Can you help me?
Присоединённый файл: Win32 PE EXE - файл со случайным именем и расширением ".exe" или с двойным расширением:
name.ext.exe
Для выбора имени приложенного файла вирус сканирует все доступные диски, ищет на них файлы с расширениями:
.txt .htm .doc .jpg .bmp .xls .cpp .shtml .mpg .mpeg
и берет имя найденного файла (name.ext) как "базу" имени вложения, затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п.
В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес.
Интересной особенностью червя является то, что при рассылке писем он записывает в свой EXE-файл список найденных адресов электронной почты.
Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде.
Червь перебирает все локальные диски, сетевые диски с правом доступа и копируется туда под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах как системные приложения-сервисы.
Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например "Winkad.exe".
Заражение
Червь ищет ссылки на EXE-файлы в следующем ключе реестра:
Software\Microsoft\Windows\CurrentVersion\App Paths
Затем червь пытается заразить найденные приложения. При заражении EXE-файла червь создаёт файл с оригинальным именем файла и случайным расширением, а также атрибутами скрытый+системный+только чтение. Этот файл используется червём для запуска оригинального (заражённого) файла. При запуске заражённого файла червь записывает оригинальное приложение во временный файл с тем же именем + "MP8" и запускает его.
Червь заражает RAR-архивы, записывая в них свои копии со случайным именем. Имя файла выбирается из списка:
setup
install
demo
snoopy
picacu
kitty
play
rock
К имени файла вирус добавляет два или одно расширения, последнее из которых ".exe", ".scr", ".pif" или ".bat".
Тема отсылаемых червём сообщений выбирается из следующего списка или генерируется случайно:
Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
Червь также может сгенерировать тему сообщения, используя строки из списка:
Undeliverable mail-%%Где %% выбирается из списка:
Returned mail-%%
a %% %% game
a %% %% tool
a %% %% website
a %% %% patch
%% removal tools
new
funny nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez
Присоединённый файл: EXE-файл со случайным именем и расширением ".exe" или с двойным расширением.
Червь использует брешь в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений. Ошибке подвержены только пользователи Outlook. Пользователи TheBat! могут заразиться через почту только по собственному недосмотру или жадности.
Червь уничтожает активные файлы, похожие на антивирусные модули.
