В данной заметке я рассмотрю один из вариаций баннера-блокера, в большом количестве гуляющих сейчас по сети. И это именно заметка, так как написана более чем в свободной форме, да и размерами на статью не тянет.
Также прошу сразу меня простить за возможные опечатки и ошибки, так писалась заметка целиком и полностью с дешевенького android-смартфона.
Итак,– баннер-блокер. Данный экземпляр распространяется под видом обновления flash-плеера. Выдает сразу после приветствия вот такое окно с сообщением, которое написано с ошибками, с требованием пополнение счета абонента 8-989-722-70-77:
Блокирует explorer.exe (рабочий стол, панель задач и пр.) и taskmgr.exe. В безопасном режиме картина повторяется. Вообщем, всем известный блокер. Начинаем подчищать, и находим в реестре ключ shell, в котором прописан «xxxvideo.avi.exe» полным путем. Попадает этот файл на компьютером username`а таким простым способом:
1. На name-сайте пользователю предлагается обновить его flash player, чтобы указанное веб-приложение\видео «заработало»
2. Пользователю, для большей надежности, предоставляется инструкция (со ссылками)
3. С указанной ссылки загружается файл install_flashplayer10_mssa_aih.exe
4. Запускается install_flashplayer10_mssa_aih.exe. Скрыто загружается файл xxxvideo.avi.exe, прописываются ключи shell в реестре
5. Якобы для завершения установки, требует перезагрузить компьютер
Ну а после перезагрузки начинается то, что описано в начале. Итого, у нас фигурируют два бинарных файла - install_flashplayer10_mssa_aih.exe и xxxvideo.avi.exe. Теперь разберем их поочередно
install_flashplayer10_mssa_aih.exe
Бинарный файл, 731 424 байта, md5: 6a3d1fb144102cdf2bfd1294d0a5de9b. Имеет подпись (Сертификат выдан VeriSign Class 3 Code Signing 2010 CA для Adobe Systems Incorporated). Но файл оказывается запароленным самораспаковывающимся архивом (ZIP SFX). Внутри лежат несколько js-скриптов и xml-файлов. После запуска идет обращение (в моем случае) к url’ам housevideo1.ru и httppornhouse4.ru. Оттуда в silent-режиме, скажем так, качается наш второй бинарный файл xxxvideo.avi.exe и прописывается ключ shell в реестре, указывающий, после изменений, на этот самый скаченный файл.
Вот какую информацию о файле install_flashplayer10_mssa_aih.exe выдает программа PEiD (v0.95)
Ничего нового, вообщем-то. И вот что рассказывает нам редактор ресурсов:
Собственно, с этим файлом ничего интересного. Конечно, для «чистоты» проверки перебрал пароль к архиву, но как и ожидалось, успехом это не увенчалось. Позже я расскажу, как избавиться от внесенных изменений и вернуть работоспособность Windows, а пока рассмотрим второй файл - xxxvideo.avi.exe
xxxvideo.avi.exe
Бинарный файл, 1 639 936 байт, md5: e9ceceee6cdc86aa52fd54484b7eecce.
Собственно, он то и выдает сообщение, показанное в начале заметки.
И именно этот файл запускается вместо explorer.exe, а также, как установил sandoxie, вроде он же и регулярно проверяет этот злополучный ключ shell в реестре.
Собственно, информация об исполняемом файле:
Написано это дело на Дельфях:
Тут даже поработали криптером:
И вот такое имеется дерево зависимостей:
Больше, собственно, и сказать нечего.
Теперь о том, как избавиться от этой напасти в уже зараженной системе. По крайней мере, так делал я. Загружаемся с какого-либо Live-CD, открываем для редактирования реестр системы локальной машины, идем в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и там в ключе shell находим полный путь до файла xxxvideo.avi.exe. Идем по указанному пути, удаляем файл, а ключ реестра исправляем на привычный explorer.exe
После этого можно для надежности воспользоваться утилитой avz и провести восстановление ключа запуска(файл->восстановление системы). После всего этого перезагружаемся. Все должно работать как до заражения.
Также прошу сразу меня простить за возможные опечатки и ошибки, так писалась заметка целиком и полностью с дешевенького android-смартфона.
Итак,– баннер-блокер. Данный экземпляр распространяется под видом обновления flash-плеера. Выдает сразу после приветствия вот такое окно с сообщением, которое написано с ошибками, с требованием пополнение счета абонента 8-989-722-70-77:
Блокирует explorer.exe (рабочий стол, панель задач и пр.) и taskmgr.exe. В безопасном режиме картина повторяется. Вообщем, всем известный блокер. Начинаем подчищать, и находим в реестре ключ shell, в котором прописан «xxxvideo.avi.exe» полным путем. Попадает этот файл на компьютером username`а таким простым способом:
1. На name-сайте пользователю предлагается обновить его flash player, чтобы указанное веб-приложение\видео «заработало»
2. Пользователю, для большей надежности, предоставляется инструкция (со ссылками)
3. С указанной ссылки загружается файл install_flashplayer10_mssa_aih.exe
4. Запускается install_flashplayer10_mssa_aih.exe. Скрыто загружается файл xxxvideo.avi.exe, прописываются ключи shell в реестре
5. Якобы для завершения установки, требует перезагрузить компьютер
Ну а после перезагрузки начинается то, что описано в начале. Итого, у нас фигурируют два бинарных файла - install_flashplayer10_mssa_aih.exe и xxxvideo.avi.exe. Теперь разберем их поочередно
install_flashplayer10_mssa_aih.exe
Бинарный файл, 731 424 байта, md5: 6a3d1fb144102cdf2bfd1294d0a5de9b. Имеет подпись (Сертификат выдан VeriSign Class 3 Code Signing 2010 CA для Adobe Systems Incorporated). Но файл оказывается запароленным самораспаковывающимся архивом (ZIP SFX). Внутри лежат несколько js-скриптов и xml-файлов. После запуска идет обращение (в моем случае) к url’ам housevideo1.ru и httppornhouse4.ru. Оттуда в silent-режиме, скажем так, качается наш второй бинарный файл xxxvideo.avi.exe и прописывается ключ shell в реестре, указывающий, после изменений, на этот самый скаченный файл.
Вот какую информацию о файле install_flashplayer10_mssa_aih.exe выдает программа PEiD (v0.95)
Ничего нового, вообщем-то. И вот что рассказывает нам редактор ресурсов:
Собственно, с этим файлом ничего интересного. Конечно, для «чистоты» проверки перебрал пароль к архиву, но как и ожидалось, успехом это не увенчалось. Позже я расскажу, как избавиться от внесенных изменений и вернуть работоспособность Windows, а пока рассмотрим второй файл - xxxvideo.avi.exe
xxxvideo.avi.exe
Бинарный файл, 1 639 936 байт, md5: e9ceceee6cdc86aa52fd54484b7eecce.
Собственно, он то и выдает сообщение, показанное в начале заметки.
И именно этот файл запускается вместо explorer.exe, а также, как установил sandoxie, вроде он же и регулярно проверяет этот злополучный ключ shell в реестре.
Собственно, информация об исполняемом файле:
Написано это дело на Дельфях:
Тут даже поработали криптером:
И вот такое имеется дерево зависимостей:
Больше, собственно, и сказать нечего.
Теперь о том, как избавиться от этой напасти в уже зараженной системе. По крайней мере, так делал я. Загружаемся с какого-либо Live-CD, открываем для редактирования реестр системы локальной машины, идем в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и там в ключе shell находим полный путь до файла xxxvideo.avi.exe. Идем по указанному пути, удаляем файл, а ключ реестра исправляем на привычный explorer.exe
После этого можно для надежности воспользоваться утилитой avz и провести восстановление ключа запуска(файл->восстановление системы). После всего этого перезагружаемся. Все должно работать как до заражения.