chubrus.exe
F-Prot 4.4.4.56 W32/OnlineGames.A.gen!Eldorado
http://www.securelist.com/ru/viruses...virusid=135159
Технические детали
Вредоносная программа, относящаяся к семейству троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 52738 байт. Написана на Visual Basic.
Инсталляция
При запуске троянец копирует свой исполняемый файл под различными именами в корневой и системный каталоги Windows:
%System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe
Троянец изменяет значения ключей реестра на следующие:
[HKCR\.bfc\ShellNew]
"Command" = "%System%\rundll32.com
%System%\syncui.dll,Briefcase_Create %2!d! %1"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"
[HKCR\cplfile\shell\cplopen\command]
@ = "rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
[HKCR\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
[HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
[HKCR\Drive\shell\find\command]
@ = "%WinDir%\explorer.com"
[HKCR\ftp\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com\" %1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@ = "%Program Files%\Internet Explorer\iexplore.com"
[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"
[HKCR\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"
[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\Common Files\iexplore.pif -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"
[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\ command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKCR\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"
[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\common~1\iexplore.pif -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"
[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\ command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = "%WinDir%\WINLOGON.EXE"
[HKCR\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"
[HKLM\SOFTWARE\Classes\scrfile\shell\install\comman d]
@ = "finder.com desk.cpl,InstallScreenSaver %l"
[HKCR\scriptletfile\Shell\Generate Typelib\command]
@ = "%System%\finder.com %System%\scrobj.dll,GenerateTypeLib %1"
[HKCR\telnet\shell\open\command]
@ = "finder.com url.dll,TelnetProtocolHandler %l"
Таким образом, троянская программа будет запускаться каждый раз при попытке открытия пользователем файлов некоторых типов, запуске различных приложений, открытии логических дисков при помощи «Проводника» Windows, вызове интернет-ярлыков или веб-ссылок.
Деструктивная активность
В случае если на зараженном компьютере запущена онлайн-игра «World of Warcraft», троянец определяет, откуда был запущен процесс «wow.exe», и считывает содержимое следующих файлов в рабочей папке игрового клиента:
realmlist.wtf
update.ini
Также троянец следит за клавиатурным вводом пользователя на следующих интернет-страницах:
eu.logon.worldofwarcraft.com
tw.logon.worldofwarcraft.com
us.logon.worldofwarcraft.com
Троянец ищет в системе процесс с именем «woool.exe», определяет, откуда тот был запущен и считывает содержимое следующих файлов в рабочей папке программы:
\data\woool.dat
\data\game.ini
\data\*.update
update.lib.scf
\data\WOOOL88.DAT
\data\WOOOLe88.DAT
Собранную информацию троян отсылает на сайт злоумышленника.
Также троянская программа завершает процессы, которые содержат в своих именах следующие строки:
RAVMON
TROJDIE
KPOP
CCENTER
ASSISTSE
KPFW
AGENTSVR
KV
KREG
IEFIND
IPARMOR
SVI.EXE
UPHC
RULEWIZE
FYGT
RFWSRV
RFWMA
TROJAN
MMSK
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс (возможное имя процесса — «WINLOGON.EXE»).
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Установить необходимые значения следующих параметров ключей системного реестра (замены выделены жирным шрифтом):
[HKCR\.bfc\ShellNew]
"Command" = "%System%\rundll32.exe
%System%\syncui.dll,Briefcase_Create %2!d! %1"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "Yes"
[HKCR\cplfile\shell\cplopen\command]
@ = "rundll32.exe shell32.dll,Control_RunDLL \"%1\",%*"
[HKCR\dunfile\shell\open\command]
@ = "%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
[HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
@ = "%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
[HKCR\Drive\shell\find\command]
@ = "%WinDir%\explorer.exe"
[HKCR\ftp\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.exe\" %1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@ = "%Program Files%\Internet Explorer\iexplore.exe"
[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.exe -nohome"
[HKCR\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.exe -nohome"
[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\Common Files\iexplore.exe -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.exe %1"
[HKCR\InternetShortcut\shell\open\command]
@ = "rundll32.exe shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\ command]
@ = "rundll32.exe shdocvw.dll,OpenURL %l"
[HKCR\htmlfile\shell\print\command]
@ = "rundll32.exe %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command" = "rundll32.exe appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
@ = "%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.exe %1"
[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\common~1\iexplore.exe -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.exe %1"
[HKCR\InternetShortcut\shell\open\command]
@ = "rundll32.exe shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\ command]
@ = "rundll32.exe shdocvw.dll,OpenURL %l"
[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
@ = "rundll32.exe %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command" = "rundll32.exe appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@ = "%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.exe %1"
[HKCR\scrfile\shell\install\command]
@ = "rundll32.exe desk.cpl,InstallScreenSaver %l"
[HKLM\SOFTWARE\Classes\scrfile\shell\install\comman d]
@ = "rundll32.exe desk.cpl,InstallScreenSaver %l"
[HKCR\scriptletfile\Shell\Generate Typelib\command]
@ = "%System%\rundll32.exe %System%\scrobj.dll,GenerateTypeLib %1"
[HKCR\telnet\shell\open\command]
@ = "rundll32.exe url.dll,TelnetProtocolHandler %l"
Удалить параметр из ключа системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = "%WinDir%\WINLOGON.EXE"
Удалить файлы:
%System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe
Файл chubrus.xpi
Результаты проверки на Вирустотал :
- Я даже не Дед Мороз.
- Да и я не медведь ...
1) Файл http://chubrus.ourtoolbar.com//ie
Отчет virustotal.com для этого файла (2/40):
http://www.virustotal.com/analisis/e...4d1-1247007461
2) Файл http://mybestcommunity.ourtoolbar.com//ie, представляющий собой аналогичный тулбар, сооруженный мною лично по дефолту без какого-либо серьезного изменения опций на www.conduit.com
Отчет virustotal.com для этого файла (2/40):
http://www.virustotal.com/analisis/6...b4c-1247079153
Внутреннее содержимое архива chubrus.exe (после переименования его в *.zip):
Внутреннее содержимое архива My_Best_Community.exe (после переименования его в *.zip):Код:PKZIP(R) Version 2.50 FAST! Compression Utility for Windows 95/NT 4-15-1998 Copyright 1989-1998 PKWARE Inc. All Rights Reserved. Shareware Version PKZIP Reg. U.S. Pat. and Tm. Off. Patent No. 5,051,745 Viewing .ZIP: chubrus.zip - Windows Self-Installing Executable Length Method Size Ratio Date Time CRC-32 Attr Name ------ ------ ----- ----- ---- ---- -------- ---- ---- 165376 DeflatN 89107 46.2% 07.26.2002 5:02p bcd0905b --w---- WISE0001.DLL 12800 DeflatN 6384 50.2% 07.26.2002 5:04p fbbfc06e --w---- WEBINS32.DLL 479 DeflatN 292 39.1% 07.02.2009 10:37p 96df3180 --w---- FILE0003.DAT 10752 DeflatN 5174 51.9% 07.26.2002 5:02p 77ebcc97 --w---- W32INST.DLL 33564 DeflatN 26087 22.3% 07.02.2009 10:37p ebae57b7 --w---- FILE0001.DAT 125046 DeflatN 27355 78.2% 07.02.2009 10:37p 6963b969 --w---- FILE0002.DAT 153088 DeflatN 61622 59.8% 07.26.2002 5:02p 5be5019b --w---- UNWISE32.EXE 19 DeflatN 21 0.0% 07.01.2009 12:16p f9955ea3 --w---- TOOLBAR.CFG 38424 DeflatN 21715 43.5% 06.02.2009 10:12a 0fe2b9c6 --w---- TOOLBARHELPER.EXE 2215960 DeflatN 1037609 53.2% 07.02.2009 10:18a d75d5a52 --w---- TBEDRS.DLL 509976 DeflatN 253437 50.4% 06.22.2009 5:06p a9ee97ed --w---- ALERT.DLL ------ ------ ----- ---- 3265484 1528803 53.2% 11
Код:PKZIP(R) Version 2.50 FAST! Compression Utility for Windows 95/NT 4-15-1998 Copyright 1989-1998 PKWARE Inc. All Rights Reserved. Shareware Version PKZIP Reg. U.S. Pat. and Tm. Off. Patent No. 5,051,745 Viewing .ZIP: My_Best_Community.zip - Windows Self-Installing Executable Length Method Size Ratio Date Time CRC-32 Attr Name ------ ------ ----- ----- ---- ---- -------- ---- ---- 165376 DeflatN 89107 46.2% 07.26.2002 5:02p bcd0905b --w---- WISE0001.DLL 12800 DeflatN 6384 50.2% 07.26.2002 5:04p fbbfc06e --w---- WEBINS32.DLL 479 DeflatN 292 39.1% 07.04.2009 11:16p 96df3180 --w---- FILE0003.DAT 10752 DeflatN 5174 51.9% 07.26.2002 5:02p 77ebcc97 --w---- W32INST.DLL 33564 DeflatN 26087 22.3% 07.04.2009 11:16p ebae57b7 --w---- FILE0001.DAT 124172 DeflatN 28592 77.0% 07.04.2009 11:16p 364d2aa2 --w---- FILE0002.DAT 153088 DeflatN 61622 59.8% 07.26.2002 5:02p 5be5019b --w---- UNWISE32.EXE 29 DeflatN 31 0.0% 07.04.2009 10:23p b060c3f6 --w---- TOOLBAR.CFG 38424 DeflatN 21715 43.5% 06.02.2009 10:12a 0fe2b9c6 --w---- TOOLBARHELPER.EXE 2215960 DeflatN 1037609 53.2% 07.02.2009 10:18a d75d5a52 --w---- TBEDRS.DLL 509976 DeflatN 253437 50.4% 06.22.2009 5:06p a9ee97ed --w---- ALERT.DLL ------ ------ ----- ---- 3264620 1530050 53.2% 11Домашнее задание для пытливого ума: найти в архивах исполняемый файл размером 52738 байт. В случае успеха, попытаться определить, сколько из найденных файлов написано на VB.Имеет размер 52738 байт. Написана на Visual Basic.
Морали:
1) администратор chubrus.ru не добавлял своего исполняемого вредоносного кода в тулбар, в первую очередь по причине абсолютной невозможности такого добавления
2) тулбар от conduit.com, безусловно, делает странные вещи и ставить его не следует
3) F-prot и, вероятно, стыривший с него базы Authentium два тупых куска унылого говна.
Я абсолютно ничего не знаю про Microsoft VM, но под VMware Вы можете поставить любой, пусть даже и экстранеоригинальный дистрибутив Windows, пусть даже и не слишком лицензионный, лишь бы рабочий.
По вопросам законодательно-лицензионного характера это не ко мне. Тут и без меня масса специалистов, цитирующих по памяти УК РФ.
Лично по мне пофиг на вирусы. Но всякие тулбары просто «засирают» систему.
И в стиле ... «Ааа, лошара, угробил свой IE» =)
Тулбары, как и прочие "свистелки-перделки", в топку!
Я как вижу подобные выкрутасы на сайтах или в программах - СРАЗУ выключаю и никогда уже не возвращаюсь. Надеюсь, разработчики программ и владельцы сайтов поймут когда-нибудь, что существует много людей, которых это только отпугивает.
А мне нравится тулбар от Гугл!И даже понимание того,что я под бдительным оком второго,не заставит меня отказаться от первого.
- Я даже не Дед Мороз.
- Да и я не медведь ...
Эту тему просматривают: 2 (пользователей: 0 , гостей: 2)
|
18+ |