Данная статья описывает конкретный экземпляр вируса, который обитает на компьютерах под Windows с точки зрения его работы. Посмотрим как он устроен и внедряется в систему и как его найти и удалить вручную, если нет антивируса и интересно покопаться.

Заражение.

После подключения флешки к зараженному ПК на неё записывается вирус. Он создает на флешке пустую папку, делает её невидимой и переносит туда содержимое флешки. Если зайти на флешку после установки вируса, то там вместо файлов будет ссылка на эту же флешку. На компьютере ничего не происходит само по себе и флешка внутри флешки это уже работа вируса и как минимум должно насторожить.

Ссылка на флешку внутри флешки, что немного необычно.
Ссылка на флешку внутри флешки, что немного необычно.

Если нажать на эту ссылку, то в новом окне появится содержимое флешки и для простого пользователя дальше вроде бы всё как обычно.

Открываем Total Commander и смотрим флешку. Внутри обнаруживаются вот такие файлы:

. Файлы на флешке
. Файлы на флешке

Относим флешку на ПК для экспериментов и запускаем файл с расширением .Ink, что сделал бы обычный пользователь и то, что надо вирусу. Происходит заражение ПК, вирус устанавливается в новую систему и начинает заражать другие флешки. Отлично.

Если зайти в настройку автозапуска Windows программой CCleaner, то там ничего нового не появилось. Ссылки на файл .exe вируса там нет. В автозагрузке его нет. Но если посмотреть программой Autoruns.exe, то в реестре появилась новая запись в windows\load ( как раз его CCleaner не показывает) на файл cctjicocv.pif. Имя файла создается по некоторому алгоритму и на другом компьютере оно уже будет другим, но местоположение файла будет таким же.

Вот он супостат сидит
Вот он супостат сидит

При запуске ПК в диспетчере задач проскакивает процесс cctjicocv.pif и исчезает. В папке temp после включения ПК данного файла нет, потому что после того как он отработал он удаляется. При выключении ПК он снова восстановится в папке.

Заражаем следующую флешку. И пробуем удалить созданные ей файлы.

Сообщение об ошибке
Сообщение об ошибке

Total commander не может удалить один из файлов, ему не дает процесс Windows Update. Заходим в диспетчер задач и находим Windows Update.

Windows Update это процесс wuauclt.exe. Если убить этот процесс, то заражение флешек прекращается. При перезапуске ПК процесс восстанавливается. Вирус висит в системе через запуск процесса обновления системы.

Перезагружаем ПК и заходим в безопасном режиме. В папке temp находится файл cctjicocv.pif и еще папка с программой вируса. cctjicocv.pif это .exe файл, который является копией файла, который находится в папке _setup_, только со сменой расширения.

А в самой папке располагается вот такой файл

Файл вируса с некоторыми свойствами
Файл вируса с некоторыми свойствами

Удаляем все эти файлы и ссылку из реестра и перезагружаем ПК. Вирус больше не запускается.

Еще раз обращаю внимание, что название файлов cctjicocv.pif , _WDIHDGBZRG.nil это работа алгоритма и на другом ПК эти имена будут другие.

Возвращаемся к файлам вируса на флешке и делаем их видимыми.

Эти файлы немного не с теми расширениями которые, должны были бы быть. Файл с расширением .nil это .DLL файл. Это можно понять если открыть его в блокноте. Там есть надпись "This program cannot be run in DOS mode".

И OllyDBG говорит, что файл .nil это .dll библиотека и открывает его в loaddll.

Сама DLL не большая, она подтягивает содержимое файла desktop.ini, который находится в той же папке.

Ярлык с иконкой диска это ссылка на системное приложение rundll32.exe, которая и запускает DLL библиотеку.

Запуская ссылку с изображением флешки мы запускаем программу Rundll32, которая запускает DLL файл (по сути установщик), который подтягивает данные с файлов desktop.ini и thumbs.db и производит инсталляцию ПО на компьютер. Весь этот набор файлов занимает 196Кб.

В интернете есть ресурс https://www.virustotal.com/ . Подгружаем туда файл DLL вируса и файл автоматически сканируется антивирусными системами. 63 антивируса из 72 пометили этот файл как червь Gamarue.

Червь Gamarue — довольно коварная вредоносная программа вирусного типа. Распространяется по сети / съемные носители / почту. Установлено, что уровень заражения Gamarue, одного из самых распространенных вирусов в Интернете, особенно высок в Азии.

Червь Gamarue — этот тип вредоносного ПО позволяет хакерам получить контроль над зараженным компьютером. Они могут красть данные и изменять настройки на отдельных компьютерах. Сеть компьютеров, зараженных вирусом Gamarue, становится ботнетом (термин, обозначающий совокупность компьютеров, контролируемых хакером). Многие ботнеты могут использоваться для различных киберпреступлений.

PS

Этот вирус написан грамотно для своего времени, он интегрируется в систему тихо, копирует себя на съемные носители аккуратно ничего не удаляя, при этом подсасывается к процессу обновления системы и паразитирует через него и динамически создает имена файлов.

Этот вирус открывает портал на ваш компьютер через процесс wuauclt.exe, через который у злоумышленников открываются большие возможности по использованию вашего ПК.

Комментарии (32)


  1. HardWrMan
    08.06.2024 05:00
    +8

    И что-нибудь серьезное можно засунуть в 196кб?

    WIN95.CIH был 1003 байта.


    1. Kil1J0y
      08.06.2024 05:00

      Если написать на ассемблере можно много чего втолкать в 196кб и ещё останется.

      На самом деле эффективнее написать лоудер, который определит AV загрузит вирусную часть и убийцу антивируса. В целом если делать все грамотно то лоудер способен долгое время не палиться.


      1. qw1
        08.06.2024 05:00
        +3

        В 256КБ можно уместить игру Battletoads and Double Dragon со всеми уровнями, графикой, музыкой...


    1. CTiMyJl
      08.06.2024 05:00

      Не многие помнят последствия. Админам и сервисникам работы привалило знатно. Я был юн тогда, но быстро научился шить биос(обычная микруха памяти)...


  1. litos
    08.06.2024 05:00
    +3

    И что-нибудь серьезное можно засунуть в 196кб?

    Можно засунуть лоадер, который при запуске скачает из интернет кучу других вирусов и троянов


  1. Akina
    08.06.2024 05:00
    +14

    Вирус больше не запускается, с удалением разобрались.

    Это не называется "разобрались". Где именно и как именно вирус "подсасывается к процессу обновления системы и паразитирует через него"? Как корректно это обнаружить и вычистить? Почему не использован такой инструмент как, например, autoruns.exe - он прекрасно показывает, что и как будет грузиться в системе.

    И смежный вопрос - как вирус, запущенный из учётной записи пользователя, смог интегрироваться в системный процесс? Где накосячил юзер?

    Windows Update это процесс wuauclt.exe. Если убить этот процесс, то заражение флешек прекращается.

    А просто остановить службу не судьба?

    копирует себя на флешки аккуратно ничего не удаляя при этом

    Только при условии, что ему ничего не помешало. А при своём запуске он выполняет достаточно длительную операцию перемещения содержимого флешки в неотображаемый каталог, и если при выполнении этой операции ему помешать (скажем, выдернуть флешку), то можно и потерятб данные.

    но это всё ради чего?

    Просто пока отработка технологии, видимо. Предыдущие версии запускались через HKCU/../Run.

    Но деструктивные действия уже есть. Кроме описанного выше разрушения данных он может по ошибке заражать подключенные по USB устройства другого типа - лично видел зараженный смартфон, который удалось оживить только путём factory reset.

    В общем, весьма поверхностное "исследование". На пост ещё тянет, а на статью - категорически нет.


    1. HardWrMan
      08.06.2024 05:00
      +4

      Я тоже ожидал танцы с Олькой, а тут только внешние наблюдения обычного продвинутого юзера. А жаль.


      1. RomanSansay Автор
        08.06.2024 05:00

        Я Ольку не вытяну, слишком сложно для меня.


        1. HardWrMan
          08.06.2024 05:00
          +1

          Всё сложно, если пытаться прыгать сразу в омут с головой. Попробуйте войти сначала по колено в эту тему. Уверяю Вас, это очень интересно, если Вас в принципе начали интересовать механизмы внедрения и закрепления вирусов в системе.


          1. RomanSansay Автор
            08.06.2024 05:00
            +1

            OllyDBG очень мощный инструмент. Им вроде как даже denuvo взламывают. Сам вирус я себе оставлю, будет время попробую его еще погонять. А там смотришь и возьму с него что-нибудь на вооружение себе.


        1. boris768
          08.06.2024 05:00

          Я бы поковырял экземпляр, можете отправить в личку?


    1. RomanSansay Автор
      08.06.2024 05:00

      А просто остановить службу не судьба?

      Я отключал службу обновления windows в службах, но это не изменило ситуацию. Процесс появлялся.

      Это не называется "разобрались". Где именно и как именно вирус "подсасывается к процессу обновления системы и паразитирует через него"? Как корректно это обнаружить и вычистить? Почему не использован такой инструмент как, например, autoruns.exe - он прекрасно показывает, что и как будет грузиться в системе.

      Попробую autoruns.exe, я о таком не знал. Я смотрел через нынче забаненный на территории РФ CCleaner.

      Я допускаю что от вируса что-то осталось в системе, но это уже не работает полноценно и заражений не происходит.


    1. Grrr5
      08.06.2024 05:00
      +2

      Ага, детский сад


    1. falcon4fun
      08.06.2024 05:00
      +3

      Кроме autoruns есть как минимум еще sandboxie с включенным логом, куча других онлайн анализаторов, которые выведут полную инфу, что тянет за собой бинарик и куда обращается: файлы, реестр, сеть, если лень настроить procmon от sysinternals. HybridAnalysis, Joe Sandbox. Да полно их.


  1. Pochemuk
    08.06.2024 05:00
    +1

    Не знаю в каком сейчас состоянии утилита AVZ, но лет 15 назад я с ее помощью обнаруживал и вычищал табуны руткитов. Правда, Conficker полностью вычистить не удалось - не смог обнаружить его "гнездовье", откуда он восстанавливался.

    Но утилита была хорошая, если уметь пользоваться - многие обнаруженные зловреды еще не были включены в антивирусные базы. Я их в Лабораторию Данилова отсылал.


    1. falcon4fun
      08.06.2024 05:00

      В стагнации. Движок, насколько я последний раз смотрел, давно не обновлялся. Нового функционала не появилось.


  1. NutsUnderline
    08.06.2024 05:00

    некоторому ПК на неё прыгнул вирус.

    Фейспалм.., ну ок.. это для начинающих. Но потом зачем то упоминается OllyDbg: "Шта эта за какирская фугня" спросит начинающий и будет прав. Вступление никуда не годное, начинающему не осознать что вирус "прыгнул", и как это определить, а это самое главное.

    Дальше у нас вредные советы начинающему реверсеру. Открывать что то блокнотом - так себе совет в целом, особенно если кто то попробует открыть все даблкликом и запустит это так или иначе. Уж если мы вооружились total commander то там и только там все делаем, для просмотра F3. и лучше с плагинами типа fileinfo. без всяких игр со сменой расширений (расширения в проводнике по умолчанию вообще не отображаются). Для начинающих это все лишнее, они так любой .dll за вирус сщитать будут. Сразу virus total


    1. falcon4fun
      08.06.2024 05:00
      +2

      Тогда уж проще все сунуть в 010 editor и не изобретать велосипед :)


    1. RomanSansay Автор
      08.06.2024 05:00

      Дальше у нас вредные советы начинающему реверсеру. Открывать что то блокнотом - так себе совет в целом, особенно если кто то попробует открыть все даблкликом и запустит это так или иначе

      Блокнот вообще великая вещь. Можно бегло по .exe файлу пробежаться, тип данных string видно и можно много что вычитать. Если в eхe файл зашит web интерфейс, то там в блокноте его весь видно.


  1. xammer
    08.06.2024 05:00

    По сегодняшним временам, человек, который использует Windows в работе, напоминает мне одну не безызвестную фразу А.П. Чехова...


    1. HardWrMan
      08.06.2024 05:00
      +3

      Напомните мне, что там с продукцией от Adobe на Linux? Что там с Solid works, Autocad, Creo? Компас под вайном не считаем (хотя, вероятно, он уже и нативно умеет, не следил за темой).


      1. leon_shtuet
        08.06.2024 05:00

        что там с продукцией от Adobe на Linux? Что там с Solid works, Autocad, Creo?

        Вот прям подавляющее большинство IT-шников кушать не могут из-за отсутствия Adobe, Solid, Autocad, Creo в Линуксе. ;)


        1. HardWrMan
          08.06.2024 05:00
          +2

          xammer сделал утверждение "использует Windows в работе". И вы должны отдавать себе отчёт, что на компьютере работают не только лишь айтишники.


          1. leon_shtuet
            08.06.2024 05:00

            на компьютере работают не только лишь айтишники

            Тем более. Офисному планктону(не оскорбление) тем более не сдались эти ваши Solidы и Autocadы.


            1. HardWrMan
              08.06.2024 05:00
              +1

              Это уже похоже на толстый троллинг. Речь то про то, что есть те, кому как раз таки сдались эти Solidы и Autocadы и они абсолютно попадают под определение "использовать Windows для работы". Я не понимаю, почему это вам не понятно.


              1. leon_shtuet
                08.06.2024 05:00

                Речь то про то, что есть те, кому как раз таки сдались эти Solidы и
                Autocadы и они абсолютно попадают под определение "использовать Windows
                для работы"

                Речь вообще-то про всех пользователей Винды на работе(да и вообще всех пользователей Винды), а тех кто для работы не может обойтись без именно Винды, подавляющее меньшинство. Все остальные, без конца с необычайной легкостью, заражаются вирусами, троянами и шифровальщиками, жмут на ссылки, подхватывая заразу. т.е. "плачут и колятся грызя кактус" А зачем, ежели могут практически бесплатно облегчить себе(и другим, кому потом это все разгребать) жизнь?


                1. HardWrMan
                  08.06.2024 05:00
                  +1

                  О, я вижу проблему вагонетки: давайте пожертвуем теми, кому винда нужна, чтобы обезопасить подавляющее большинство тех, кому винда не нужна. Ну а чертежи там, да рисунки с книжками пусть это меньшинство по старинке чертит на кульмане да малюет на холстах и расставляют литеры в рамках, не сахарные, не растают. Много тысяч лет так делали люди и ничего. Я всё правильно понял? И с чего вы подумали, что я против всеобщей линуксизации? Я такого явно не утверждал.

                  Ещё раз: речь xammer действительно была про всех, но мир устроен так, что обобщение тут не работает. Ну а что касается тех, кого по вашему мнению можно ради общей пользы и безопасности нужно усадить на Linux, там где это было возможно сделать уже точно сделано. И я отлично понимаю, что те бородатые анекдоты, которые я помню ещё в момент их актуальности, что "Начальника не волнует, что отчёт секретарши задерживается из-за того, что она не смогла подмонтировать флоппик" сейчас безбожно устарели. Однако, это будет на вашей совести обучать человека пользованию Linux на работе, когда у него на домашнем ПК всё ещё Windows.


                  1. lex899
                    08.06.2024 05:00

                    Начальника не волнует, что отчёт секретарши задерживается из-за того, что она не смогла подмонтировать флоппик" сейчас безбожно устарели

                    К сожалению не устарели. Последнее с чем я сталкивался буквально месяца 3 назад - BT адаптер от Asus с оф поддержкой Linux который не взлетал ни сам ни с драйверами с оф сайта. До этого - отвалы rdp из коробки в последней ubuntu.

                    Даже если отбросить необходимость (я сам работаю с железяками которые софта и дров под Linux не имеют) - у меня среди знакомых айтишников никто на нем не сидит - видимо неправильный круг знакомств.


    1. leon_shtuet
      08.06.2024 05:00

      человек, который использует Windows в работе...

      Ув. xammer, cупостаты снизили карму и не могу поставить Вам плюсик, а очень хочется, поэтому выражаю свое искреннее одобрение и согласие в комменте. +100500


  1. goldexer
    08.06.2024 05:00
    +1

    В смысле «что можно засунуть в 196кб»? Гуглим и запускаем kkriegger и, если вы не видели это до сих пор, будете очень удивлены (это лишь 96кб, на сотню меньше) или farbrausch fr-08, что занимает 64кб - и всё это добро генерирует ресурсы гораздо более ёмкие, чем кучка API-вызовов для записи файлов... Так же можете написать прошивку для старших моделей STM32 и посмотреть, сколько настроек железа, библиотечного кода, полезной нагрузки можно уместить в 196кб...


  1. xi-tauw
    08.06.2024 05:00
    +4

    Файл с расширением .nil это .DLL файл. Это можно понять если открыть его в блокноте. Там есть надпись "This program cannot be run in DOS mode".

    Вся статья очень поверхностная, но вот это прям вообще очень плохо. Поверьте, первые две буквы MZ прям сильно важнее надписи This program cannot be run in DOS mode.


    1. RomanSansay Автор
      08.06.2024 05:00

      У exe файлов с MZ тоже начинается, но там и так понятно что RunDLL32 запускает dll.