forum.rastrnet.ru - Показать сообщение отдельно

ALEX_UT · 19.08.2007, 22:03

Немного о вирусе:

Сам размножается на носители информации, создавая помехи при работе с этими носителями.

Вирус является многокомпонентной вредоносной программой, разработанной в Китае под ОС Windows. Размер каждого из вредоносных компонентов разнообразен и колеблется в пределах от 1 до 70 кб. Часть из них написана на языке Microsoft Visual C++, а часть - на Ассемблере. Все компоненты являются PE EXE-файлами (Windows-приложениями), некоторые из которых сжаты утилитой компрессии "MEW".
В корне зараженного СНИ присутствуют следующие 3 файла:

%drivename%\host.exe - файл, содержащий в себе копию вируса и троянскую программу (размер 70207 байт);
%drivename%\copy.exe - вспомогательный файл, используемый для "правильной" инсталляции вируса в систему;
%drivename%\autorun.inf - вредоносный файл-дроппер (размер 34 байта), используемый для автозапуска компонента copy.exe при обращении к инфицированному СНИ, а впоследствии - к логическим и сетевым дискам зараженного компьютера через Проводник.

Также в меню выбора способа открытия содержимого носителя добавляется дополнительный пункт - второй "Автозапуск".
Все это происходит потому, что система воспринимает носитель, содержащий в своем корне файл autorun.inf, как загрузочный, и запрашивает действие пользователя по обработке такого СНИ.
Если даже пользователь выберет вариант открытия содержимого диска через Проводник, запуска вируса и заражения системы не произойдет: активизация файла copy.exe возможна только в том случае, если пользователь откроет содержимое носителя через меню "Мой компьютер" (т.е. при двойном щелчке на иконке СНИ в общем списке всех подключенных дисков машины). В этом случае система считывает и выполняет инструкцию из autorun.inf, в результате чего автоматически запускает на выполнение copy.exe.
Если же пользователь работает с носителем не через Проводник, а через какой-либо др. менеджер файлов и папок (например, Far Manager или Total Commander), то запуск copy.exe возможен только в том случае, если пользователь собственноручно запустит данный файл. В этом случае вредоносная программа загрузится на выполнение, а на экране появится окно Проводника с содержимым СНИ.

Итак, при получении управления copy.exe (написан на Ассемблере и сжат утилитой "MEW") копирует все 3 вредоносные файла в корневой каталог системы под следующими названиями:

autorun.inf -> %windir%\autorun.inf
copy.exe -> %windir%\xcopy.exe
host.exe -> %windir%\svchost.exe

Последние 2 имени умышленно выбраны идентичными оригинальным системным компонентам ОС Windows 2K/XP, расположенным, соответственно, как %windir%\System32\xcopy.exe и %windir%\System32\svchost.exe.
Далее copy.exe запускает на выполнение основной компонент вируса - %windir%\svchost.exe, а сам завершает свою работу.
Компонент svchost.exe (написан на MS Visual C++, не компрессирован) представляет собой "матрешку", содержащую в себе 2 вирусных компонента, которые извлекаются и инсталлируются в систему под нижеприведенными названиями в следующие подкаталоги ОС:

для Windows 9X/ME:

%windir%\SYSTEM\temp1.exe
%windir%\SYSTEM\temp2.exe

для Windows 2K/XP:

%windir%\System32\temp1.exe
%windir%\System32\temp2.exe

После этого данные файлы запускаются на выполнение, а компонент вируса svchost.exe завершает свою работу.

Удаление:

Антивирусы дэтэктируют этот вирус под такими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: не дэтэктируется
файл copy.exe ( xcopy.exe ): Virus.Win32.Perlovga.a
файл host.exe ( svchost.exe ): Trojan-Dropper.Win32.Small.apl
файл temp1.exe: Virus.Win32.Perlovga.b
файл temp2.exe: Backdoor.Win32.Small.lo

Антивирус DrWeb:
файл autorun.inf: не обнаруживает
файл copy.exe ( xcopy.exe ): Trojan.Copyself
файл host.exe ( svchost.exe ): Trojan.MulDrop.4181
файл temp1.exe: Trojan.Copier
файл temp2.exe: Trojan.DownLoader.10355

Для удаления всех вирусных компонентов и устранения проблемы блокирования некорректно вылеченных носителей при обращении к ним через Проводник нужно сделать следущее:

- проверьте компьютер установленной на нем антивирусной программой;

- в случае обнаружения вируса, отключите все сетевые подключения (включая и Интернет), закройте все открытые окна Проводника, после чего при помощи Диспетчера задач завершите вредоносный процесс temp1.exe;

- используя программу Total Commander (предварительно включив в ней поддержку просмотра скрытых/системных папок и файлов) или Far Manager, удалите со всех дисков компьютера, а также с подключенных к нему СНИ, вредоносные файлы в корневых каталогах:

%drivename%\autorun.inf
%drivename%\copy.exe
%drivename%\host.exe

Также удалите из системы файлы

%windir%\autorun.inf
%windir%\xcopy.exe
%windir%\svchost.exe

, а также:

для Windows 9X/ME:

%windir%\SYSTEM\temp1.exe
%windir%\SYSTEM\temp2.exe

для Windows 2K/XP:

%windir%\System32\temp1.exe
%windir%\System32\temp2.exe

Если не удалить из корневых каталогов дисков файл-дроппер autorun.inf, то прямое обращение к ним через Проводник (двойной щелчок на иконке диска в общем списке активных носителей) будет заблокировано системой, а на экране появится системное сообщение об ошибке вида

После очистки от вируса компьютер необходимо перезагрузить, т.к. Проводник будет хранить в памяти имена всех заблокированных стационарных дисков вплоть до завершения текущего сеанса работы с системой (у съемных - например, USB Flash - до момента их отключения, т.е. достаточно просто вынуть из разъема заблокированную флэшку и вставить ее снова - блокировка пропадет). Это обусловлено использованием специальных потоков данных и некоторых временных ключей реестра (по соображениям безопасности не приводятся).

- если Вы пользуетесь Windows 2K/XP или выше, то создайте файл 1.reg, в который впишите следующий текст (указан между "звездочками"):

****************************************
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=-

****************************************

Сделать это можно, например, при помощи системного редактора "Блокнот" (Notepad); далее сохраните созданный файл и запустите его на выполнение. При этом последовательно нажмите опции "Да" и "ОК".
Операцию с применением файла 1.reg необходимо проделать по одной простой причине: если не удалить созданную вирусом запись в ключе реестра, то после его (вируса) удаления система при каждом старте будет выдавать на экран 2 последовательных сообщения об ошибке следующего вида:

19.08.2007, 22:03	#5
ALEX_UT MTB DH/Freeride Регистрация: 23.04.2007 Сообщений: 419	Немного о вирусе и полное удаление из ПК. Немного о вирусе: Сам размножается на носители информации, создавая помехи при работе с этими носителями. Вирус является многокомпонентной вредоносной программой, разработанной в Китае под ОС Windows. Размер каждого из вредоносных компонентов разнообразен и колеблется в пределах от 1 до 70 кб. Часть из них написана на языке Microsoft Visual C++, а часть - на Ассемблере. Все компоненты являются PE EXE-файлами (Windows-приложениями), некоторые из которых сжаты утилитой компрессии "MEW". В корне зараженного СНИ присутствуют следующие 3 файла: %drivename%\host.exe - файл, содержащий в себе копию вируса и троянскую программу (размер 70207 байт); %drivename%\copy.exe - вспомогательный файл, используемый для "правильной" инсталляции вируса в систему; %drivename%\autorun.inf - вредоносный файл-дроппер (размер 34 байта), используемый для автозапуска компонента copy.exe при обращении к инфицированному СНИ, а впоследствии - к логическим и сетевым дискам зараженного компьютера через Проводник. Также в меню выбора способа открытия содержимого носителя добавляется дополнительный пункт - второй "Автозапуск". Все это происходит потому, что система воспринимает носитель, содержащий в своем корне файл autorun.inf, как загрузочный, и запрашивает действие пользователя по обработке такого СНИ. Если даже пользователь выберет вариант открытия содержимого диска через Проводник, запуска вируса и заражения системы не произойдет: активизация файла copy.exe возможна только в том случае, если пользователь откроет содержимое носителя через меню "Мой компьютер" (т.е. при двойном щелчке на иконке СНИ в общем списке всех подключенных дисков машины). В этом случае система считывает и выполняет инструкцию из autorun.inf, в результате чего автоматически запускает на выполнение copy.exe. Если же пользователь работает с носителем не через Проводник, а через какой-либо др. менеджер файлов и папок (например, Far Manager или Total Commander), то запуск copy.exe возможен только в том случае, если пользователь собственноручно запустит данный файл. В этом случае вредоносная программа загрузится на выполнение, а на экране появится окно Проводника с содержимым СНИ. Итак, при получении управления copy.exe (написан на Ассемблере и сжат утилитой "MEW") копирует все 3 вредоносные файла в корневой каталог системы под следующими названиями: autorun.inf -> %windir%\autorun.inf copy.exe -> %windir%\xcopy.exe host.exe -> %windir%\svchost.exe Последние 2 имени умышленно выбраны идентичными оригинальным системным компонентам ОС Windows 2K/XP, расположенным, соответственно, как %windir%\System32\xcopy.exe и %windir%\System32\svchost.exe. Далее copy.exe запускает на выполнение основной компонент вируса - %windir%\svchost.exe, а сам завершает свою работу. Компонент svchost.exe (написан на MS Visual C++, не компрессирован) представляет собой "матрешку", содержащую в себе 2 вирусных компонента, которые извлекаются и инсталлируются в систему под нижеприведенными названиями в следующие подкаталоги ОС: для Windows 9X/ME: %windir%\SYSTEM\temp1.exe %windir%\SYSTEM\temp2.exe для Windows 2K/XP: %windir%\System32\temp1.exe %windir%\System32\temp2.exe После этого данные файлы запускаются на выполнение, а компонент вируса svchost.exe завершает свою работу. Удаление: Антивирусы дэтэктируют этот вирус под такими номенклатурными названиями: Антивирус Kaspersky AntiVirus: файл autorun.inf: не дэтэктируется файл copy.exe ( xcopy.exe ): Virus.Win32.Perlovga.a файл host.exe ( svchost.exe ): Trojan-Dropper.Win32.Small.apl файл temp1.exe: Virus.Win32.Perlovga.b файл temp2.exe: Backdoor.Win32.Small.lo Антивирус DrWeb: файл autorun.inf: не обнаруживает файл copy.exe ( xcopy.exe ): Trojan.Copyself файл host.exe ( svchost.exe ): Trojan.MulDrop.4181 файл temp1.exe: Trojan.Copier файл temp2.exe: Trojan.DownLoader.10355 Для удаления всех вирусных компонентов и устранения проблемы блокирования некорректно вылеченных носителей при обращении к ним через Проводник нужно сделать следущее: - проверьте компьютер установленной на нем антивирусной программой; - в случае обнаружения вируса, отключите все сетевые подключения (включая и Интернет), закройте все открытые окна Проводника, после чего при помощи Диспетчера задач завершите вредоносный процесс temp1.exe; - используя программу Total Commander (предварительно включив в ней поддержку просмотра скрытых/системных папок и файлов) или Far Manager, удалите со всех дисков компьютера, а также с подключенных к нему СНИ, вредоносные файлы в корневых каталогах: %drivename%\autorun.inf %drivename%\copy.exe %drivename%\host.exe Также удалите из системы файлы %windir%\autorun.inf %windir%\xcopy.exe %windir%\svchost.exe , а также: для Windows 9X/ME: %windir%\SYSTEM\temp1.exe %windir%\SYSTEM\temp2.exe для Windows 2K/XP: %windir%\System32\temp1.exe %windir%\System32\temp2.exe Если не удалить из корневых каталогов дисков файл-дроппер autorun.inf, то прямое обращение к ним через Проводник (двойной щелчок на иконке диска в общем списке активных носителей) будет заблокировано системой, а на экране появится системное сообщение об ошибке вида После очистки от вируса компьютер необходимо перезагрузить, т.к. Проводник будет хранить в памяти имена всех заблокированных стационарных дисков вплоть до завершения текущего сеанса работы с системой (у съемных - например, USB Flash - до момента их отключения, т.е. достаточно просто вынуть из разъема заблокированную флэшку и вставить ее снова - блокировка пропадет). Это обусловлено использованием специальных потоков данных и некоторых временных ключей реестра (по соображениям безопасности не приводятся). - если Вы пользуетесь Windows 2K/XP или выше, то создайте файл 1.reg, в который впишите следующий текст (указан между "звездочками"): ************************************** REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"=- ************************************** Сделать это можно, например, при помощи системного редактора "Блокнот" (Notepad); далее сохраните созданный файл и запустите его на выполнение. При этом последовательно нажмите опции "Да" и "ОК". Операцию с применением файла 1.reg необходимо проделать по одной простой причине: если не удалить созданную вирусом запись в ключе реестра, то после его (вируса) удаления система при каждом старте будет выдавать на экран 2 последовательных сообщения об ошибке следующего вида: __________________ Specialized Demo 8 2009 & Marzocchi RC3 WC 2008