Изучаем freeware вирус на ПК
Данная статья описывает конкретный экземпляр вируса, который живет на компьютерах под Windows с точки зрения его работы. Посмотрим как он устроен и внедряется в систему и как его найти и удалить.
После подключения флешки к некоторому ПК на неё прыгнул вирус. Если зайти на флешку, то там вместо файлов появилась ссылка на эту же флешку. Но мы знаем что ПК это детерминированная система и у него не может происходить что-то само по себе, это сработала какая-то нехорошая программа.
Ссылка на флешку внутри флешки
Если нажать на эту ссылку, то в новом окне появится содержимое флешки и для простого пользователя дальше вроде бы всё как обычно.
Открываем Total Commander и смотрим флешку. Внутри обнаруживаются вот такие файлы:
. Файлы на флешке
Относим флешку на ПК для экспериментов и запускаем файл с расширением .Ink, что сделал бы обычный пользователь и то, что надо вирусу. Происходит заражение следующего ПК и вирус перекочевывает в систему и начинает заражать другие флешки. Отлично.
Если зайти в настройку автозапуска Windows, то там ничего нового не появилось. Ссылки на файл .exe вируса там нет. В автозапуске его нет.
Заражаем следующую флешку. И пробуем удалить созданные ей файлы.
Сообщение об ошибке
Total commander не может удалить один из файлов, ему не дает процесс Windows Update. Заходим в диспетчер задач и находим Windows Update.
Windows Update это процесс wuauclt.exe. Если убить этот процесс, то заражение флешек прекращается. При перезапуске ПК процесс восстанавливается. Вирус работает через обновления системы.
В некоторых случаях слабый ПК это хорошо, есть возможность увидеть процессы, которые на быстром ПК проскочат незаметно.
При запуске ПК проскакивает процесс ccqhuccoy.pif и исчезает. Пока процесс не исчез в диспетчере, быстро нажимаем на процессе и выбираем открыть место хранения файла. Попадаем в папку C:\users\имя_пользователя\AppData\Local\Temp, но этого файла там уже нет. Он удалился.
Перезагружаем ПК и заходим в безопасном режиме. В папке temp файл ccqhuccoy.pif появился и еще появилась папка с программой вируса. Удаляем все эти радости и перезагружаем ПК. Вирус больше не запускается, с удалением разобрались.
Обращаю внимание, что название файлов ccqhuccoy.pif, _WDIHDGBZRG.nil это рандом. При последующей установке вируса эти названия поменяются.
Возвращается к файлам вируса на флешке и делаем их видимыми.
Эти файлы немного не с теми расширениями которые, должны были бы быть. Файл с расширением .nil это .exe файл. Это можно понять если открыть его в блокноте. Там есть надпись «This program cannot be run in DOS mode».
OllyDBG говорит, что файл Thumbs.db это .dll библиотека и открывает его в loaddll.
Ярлык с иконкой диска это ссылка на приложение rundll32.exe с параметрами.
Файл desktop в себе также содержит данные, и скорее всего тоже .dll, но это не точно.
После смены расширений имеем уже другую картину. Ссылка на программу Rundll32, которая запускает .EXE файл, с которым идут DLL библиотеки. Весь этот набор файлов занимает 196Кб. Это мало по современным меркам, но учитывая, что у него нет интерфейса, по вирусным меркам это может быть не мало.
Если кому интересно поиграться с вирусом, могу отправить архив с файлами.
PS
Этот вирус написан грамотно, он интегрируется в систему тихо, копирует себя на флешки аккуратно ничего не удаляя при этом, подсасывается к процессу обновления системы и паразитирует через него, а не через автозапуск, динамически создает имена файлов, но это всё ради чего? Что он делает и ради чего создавался, я не могу понять. Не ради же того, чтобы просто быть? И что-нибудь серьезное можно засунуть в 196 кб?
