Virut и Sality - информация и почистване

[Night_Raven]

Virut и Sality - информация и почистване

 

Virut и Sality не са нови заплахи, дори могат да се нарекат старички. Въпреки това обаче се срещат често и в днешни дни и е редно да се знае нещо за тях.

Няма да навлизам в големи подробности, а ще опиша заплахите в по-общ характер.

 

С няколко думи

Virut и Sality са полиморфни вируси, които заразяват файлове, като добавят свой код към тях, комбинирайки както класически методи на създаване на бели, така и съвременни тактики. Това обаче не е всичко, което правят. Имат и други функции.

 

Известни още като...

Virut е известен още като Virtob, Virux, Vetor, Virutas, Splendor, Cheburgen, Scribble.

Sality няма други известни имена.

Пълните имена варират от антивирусна до антивирусна, но аз съм имал предвид основната част от името на заплахите.

 

Изложени на риск операционни системи

Virut и Sality засягат само Windows, но затова пък не изпитват угризения да заразяват всички версии от Windows 95 до Windows Vista.

 

Файлове-мишени

Virut се прицелва в всички файлове с разширения .exe и .scr и се опитва да зарази файлове с разширения .htm, .html, .asp и .php, като добави заразен iframe в тях.

Sality проявява апетит към всички файлове с разширения .exe и .scr.

 

Начин на разпространение

Virut е малко по-консервативен и се разпространява основно по класическия начин - чрез пренасяне и изпълнение на заразени файлове на чиста система.

Тази техника не е чужда за Sality, но той залага основно на разпространение чрез заразяване на т.нар. у нас "флашки" - преносимите USB флаш памети, каквито почти всеки притежател на компютър има. Това става чрез използване на Autorun функцията и съотоветно autorun.inf файлове.

 

Какво точно правят вирусите

Virut инжектира код в Winlogon.exe, за да забрани защитата на системни файлове на Windows (System File Protection).

Чрез добавяне на ключове/стойности от регистратурата вирусът разрешава достъпа си до интернет (преодолявайки защитната стена на Windows, ако има такава).

След сваляне на свой файл от интернет стартира свое копие на svchost.exe (който сам по себе си е легитимен и важен файл, част от Windows) и започва заразяването на файлове.

Заразява файловете, които е програмиран да заразява, като това могат да са файлове на локални дялове, на външни памети или мрежови ресурси, като тези файлове могат да се намират и в архиви. Интересното в случая е, че Virut не се впечатлява от това дали даден файл е вече е заразен от свой събрат (Virut) или от друг вирус и заразява файловете отново.

Впива мазните си пипалца в ntdll.dll чрез т.нар. кука (hook) и всички заявки за създаване на файл, отваряне на файл, създаване на процес, извеждане на информация за даден процес и др. минават първо през него (вируса).

Вирусът заразява и .htm, .html, .php и .asp файлове, като добавя iframe със зловреден код. Това е особено опасно действие, ако заразеният компютър е интернет сървър, защото така всеки, който отвори въпросните файлове, ще бъде заразен.

Отваря задна врата (backdoor) в системата и се свързва чрез IRC към определени чат канали, като предоставя възможност на автора на вируса да подава допълнителни инструкции, които гадинката да изпълнява - най-често изтегляне на още зловреден код и допълнително компрометиране на системата.

Sality започва да заразява файловете, които е програмиран да заразява, които могат да се намират както на локални дялове, така и на преносими/външни памети или на мрежови ресурси, като тези файлове могат да се намират и в архиви.

Чрез добавяне/промяна/премахване на ключове/стойности от регистратурата вирусът:

- разрешава достъпа си до интернет (преодолявайки защитната стена на Windows, ако има такава);

- забранява използването на редактора на регистратурата (Regedit) и диспечера на задачите (Task Manager); [По принцип е логично, но е редно да го кажа изрично за всеки случай: ако имате забранени въпросните приложения, това не значи, че със сигурност имате Sality. Това е просто признак.]

- забранява известяването при проблеми от страна на Secruity Center в Windows;

- създава своя услуга;

- спъва стартирането на системата в Safe Mode;

- спъва/забранява използването на User Access Control (UAC).

Прекратява действието и предотвратява бъдещото правилно функциониране на всички известни антивирусни програми, като в допълнение на това изтрива бази от данни на антивирусни и лицензи (файлове с разширения .vdb, .key, .avc и .tjc).

Допълнително внимава и се брани от Dr.Web CureIt.

Отваря задна врата (backdoor) в системата и се свързва чрез IRC към определени чат канали, като предоставя възможност на автора на вируса да подава допълнителни инструкции, които гадинката да изпълнява. Това най-често е изтегляне и стартиране на файлове и допълнително заразяване с друг зловреден код, но може и системата да се използва за изпращане на спам и други дейности.

Може да записва натиснати клавиши и така да събира поверителна информация за банкови сметки и кредитни карти, която да изпраща на автора си.

Добавя следното съдържание в system.ini файла, който се намира в папка \WINDOWS, където xxxxxxxxxx означава произволен низ от символи:

[MCIDRV_VER]
DEVICE=[xxxxxxxxxx]

 

Симптоми и начини на засичане

Virut е определено по-труден за засичане. Всички съвременни антивирусни програми с актуални дефиниции трябва да засичат гадинката, ако не са вече нокаутирани от нея.

Симптомите не са толкова осезаеми и общо взето се изчерпват с:

- по-голяма активност по твърдия диск;

- нежелан IRC трафик;

- нарастване на всички exe и scr файлове с около 9-10KB заради добавения от вируса зловреден код;

- промяна на датите на създаване и промяна на въпросните файлове с тези, когато вирусът е направил своите промени (Virut не запазва оригиналните дата и час на файловете).

Като цяло е трудничко човек да се усети, че има този вирус и е също трудно да се установи това, ако има съмнения.

Като цяло сканиране с антивирусна или самостоятелен инструмент за почистване може да предостави нужната информация, но може и да не. Сканиране от спасителен диск (т.нар. offline среда) е категорично по-добър и по-сигурен метод за засичане на вируса.

Като най-препоръчителни за целта са Dr.Web CureIt, който е самостоятелен инструмент за сканиране и почистване. От спасителните дискове може би най-добър е Avira AntiVir Rescue System. Сваля се изпълнимия файл на чист компютър и се записва на празен носител, след което се зарежда (boot) от него и се извършва сканиране.

Sality е по-лесният за засичане от двата. Отново, всички съвременни антивирусни програми с актуални дефиниции трябва да засичат вируса, ако вече не са пратени в кома.

- по-голяма активност по твърдия диск;

- нежелан IRC трафик;

- нарастване на всички exe и scr файлове с от около 20KB до около 80KB заради добавения от вируса зловреден код;

- Regedit и Task Manager са забранени;

- наличие на споменатите редове в system.ini и наличието на допълнителни услуги/драйвери. Често срещани имена на такива са abp470n5, asc3360p и dac970nt, но не са единствени. Като цяло имената, които се ползват са много сходни с имената на вече съществуващи и валидни/нужни такива услуги/драйвери на Windows.

Sality е по-лесен за засичане, защото симптомите бият малко повече на очи. Достатъчно е да се стартира Task Manager например, за да стане ясно, че нещо не е наред. Разбира се това нещо, което не е наред, не е задължително да е Sality, но е достатъчен повод да се направи по-обстойна проверка. След това е достатъчно да се отвори system.ini файла и да се провери за редовете, които вирусът добавя. Ако те са там, то значи и Sality се е настанил на системата. Това засичане може да стане и с помощта на ESET SysInspector, която ще оцвети в цвят, различен от зелено всички непознати за нея обекти (които в никакъв случай не е задължително да са зловредни, те са просто непознати за програмата) и така ще лъснат редовете в system.ini и допълнителните услуги/драйвери в системата (в секция Drivers), сред които може да се открие и драйверът на Sality като се провери кой заподозрян драйвер (в оранжево) има свой почти близнак в зелено.

Евентуално сканиране с антивирусна също може да даде нужната информация.

 

Какво да правите и какво да НЕ правите

Веднага забравете да ползвате компютъра за онлайн банкиране и разплащане по различни сайтове, докато не бъде почистен. Въобще избягвайте да ползвате компютъра за работа с каквато и да било поверителна и ценна за вас информация.

Прекратете всякаква обмяна на файлове с познати и приятели, докато системата не бъде почистена.

Не свързвайте външни USB памети и дискове, освен ако няма да ги ползвате за спасяване на важна за вас информация И се налага да ползвате такива вместо оптични носители (по едни или други причини).

Ако разполагате с вътрешна мрежа (имате повече от един компютър), веднага изолирайте заразената(ите) система(и), докато не бъдат почистени.

Когато спасявате ценни файлове, забравете за всякакви изпълними файлове със следните разширения: exe, scr, htm, html, php, asp, zip, rar, 7z. Накратко: никакви програми и скрийнсейвъри или инсталации на такива, никакви интернет страници и никакви архиви, защото както споменах гадинките могат да заразяват файлове и в архиви.

 

Отстраняване на вирусите

Ако дотук всичко ви се струва неприятно, но не и фатално, и си мислите "е, все ще се почисти и готово", е време за един хубав и студен душ.

Ако вече сте преминали през няколко цвята от дъгата, включително всички нюанси на оранжевото и жълтото, или сте напълнили малка кофичка с гризани нокти, е време да си изпиете валериана/инжектиранте морфина, защото лошата новина тепърва предстои.

Virut и Sality не могат да бъдат успешно и 100% сигурно почистени и дезинфекцирани.

В интернет има доста сайтове, които предлагат инструкции за премахване на въпросните бацили. Антивирусните компании също се мъчат да убедят потребителите, че се справят със заплахите. Истината обаче е малко по-различна - няма начин за успешно и качествено ръчно почистване на вирусите, а антивирусните се справят основно със засичането им, но почистването не им е силна страна. Т.е. успяват да почистят определена част от заразените файлове, но не и всички.

Проблемът идва от някои бъгове в самите вируси, които правят лечението на заразените файлове абсолютно несигурно. Или както се казва: "на магия". Ще се опитам да го обясня по-подробно. Антивирусните програми по принцип могат да определят дали даден файл е заразен с Virut или Sality. Дотук - добре. Оттук обаче започват "дори...не..."-тата:

- дори и дадената антивирусна да засече наличието на някоя от заплахите, не е гаранция, че ще засече всички варианти във всички файлове (макар шансовете да успее са големи);

- дори и да засече всички, не е гаранация, че ще успее да премахне зловредния код от тях; ако не успее да го премахне, ще трябва да изтрие файловете;

- дори и да премахне зловредния код от файловете, не е гаранция, че ще го премахне така, че излекуваният файл да е работоспособен (заради гореспоменатите бъгове във вирусите).

 

Т.е. шансовете една малка или голяма част от файловете да са безвъзвратно повредени са много високи, което общо взето обезсмисля сканирането и почистването с антивирусни.

Дори и да не прибегнете до пренацепване на целия хард диск, а само до преинсталация с форматиране, това си остава препоръчителен вариант, защото просто не се знае колко и какви поражения е оставил даденият вирус след себе си. Дори и системата да се окаже добре почистена ръчно по някакъв начин, е възможно постепенно да откривате неработещи приложения и да се появяват проблеми. Преинсталацията в случая би била по-лесен и дори спестяващ време и нерви метод, защото така или иначе шансовете системата да се върне към първоначалното си добро състояние са малки и преинсталацията би била общо взето неизбежна.

 

Ами, тогава какво правим?

Най-сигурният и надежден начин да се очистите от тези напасти е пълно форматиране на целия твърд диск с препоръчително към това повторно нацепване на дялове, което имам навика да наричам "дълбока оран".

Да, знам, звучи кофти, но това е положението. Спасявате всякакви ценни за вас данни/файлове - видео файлове, аудио файлове, изображения, документи и др. (по възможност на оптични носители) и преминавате към форматиране и чистичка инсталация.

Можете да ползвате спасителен диск или дискети на програма за разделяне на твърди дискове от рода на Partition Magic, Acronis Disk Director или Paragon Partition Manager, за да изтриете всички дялове на твърдия си диск и да ги създадете наново и форматирате, а можете и да направите това по време на инсталацията на Windows, ако инсталирате Windows XP, Windows Vista или Windows 7, тъй като те предлагат вградени мениджъри на дялове.

Разбира се ако не искате да губите ценни данни, можете да не нацепвате наново целия хард диск, а само да преинсталирате с форматиране само на системания дял. Това също е доста надежден метод и като цяло върши работа в повечето случаи. Ако изберете този вариант, абсолютно задължително обаче след преинсталацията не припарвайте до никой друг дял, преди да сте сканирали целия твърд диск с обновена антивирусна.

 

Превантивни мерки

Няма конкретни и специализирани превантивни мерки срещу тези вируси. Това не значи, че няма общи такива, които да помагат малко или много.

Като за начало ползвайте по-нови версии на Windows - колкото по-нова е версията, толкова по-добре като цяло. За момента изключвам Windows 7, защото още не е финална.

Ползвайте последния сервизен пакет (service pack или SP) за операционната система. За Windows Vista това е SP2, а за Windows XP това е SP3.

Инсталирайте всички важни обновления/кръпки за сигурността, които Microsoft пуска в обръщение. Те са важни и се създават с цел, а не колкото да пълнят сървърите на компанията.

Инсталирайте и ползвайте актуален защитен софтуер. Под актуален имам предвид колкото се може по-нови версии. Една базова защита включва обновена антивирусна програма и добре настроена стена.

Внимавайте какви външни/преносими памети свързвате към компютъра си. Особено "флашки". Една много добра идея е да забраните autorun функцията и/или да отваряте съмнителни/чужди памети през Windows Explorer, т.е. не с двоен клик, а кликайки дървовидната структура от Windows Explorer.

Не посещавайте съмнителни сайтове и места в интернет. Знам, че порното и нелегалните музика/филми/игри/програми са за българите като меда за мухите, но все пак имайте едно на ум.

Ползвайте актуален софтуер за работа с интернет. Това важи с особена сила за браузърите и допълненията към тях - Flash, Java, разширенията за Firefox и др.

 

Допълнителни полезни трикове

 

Забраняване на Autorun функционалността

За целта първо инсталирайте нужната актуализация:

- за Windows 2000 SP4: KB967715 for Windows 2000

- за Windows XP SP2/SP3 32-битова версия: KB967715 for Windows XP

- за Windows XP SP2/SP3 64-битова версия: KB967715 for Windows XP x64

- за Windows Server 2003 32-битова версия: KB967715 for Windows Server 2003

- за Windows Server 2003 64-битова версия: KB967715 for Windows Server 2003 x64

- за Windows Server 2003 64-битова версия за Itanium базирани системи: KB967715 for Windows Server 2003 ia64

- за Windows Vista 32-битова версия: KB950582 for Windows Vista (изисква валидация)

- за Windows Vista 64-битова версия: KB950582 for Windows Vista X64 (изисква валидация)

- за Windows Server 2008 64-битова версия: KB950582 for Windows Server 2008 x64

- за Windows Server 2008 64-битова версия за Itanium базирани системи: KB950582 for Windows Server 2008 ia64

 

След като инсталирали нужния ъпдейт за операционната система, на която работите, изтеглете AutoRun Settings. Разархивирайте я и я стартирайте. Настройките се дублират отляво и отдясно. Тези в лявата част са за цялата система, докато тези в дясната част са за само за текущия потребител. Следователно е препоръчително да работите с лявата половина и да пренебрегнете дясната.

В горната част можете да изключите Autorun функционалността на желаните устройства, като махате отметките пред тях. Желателно е да махнете всички отметки (без insert notification, която нека остане). Кликнете бутон Apply, за да запазите настройките. Готово. (Картинка)

 

Забележка: настройките могат да се променят и ръчно през регистратурата или през Group Policy Editor, но са по-сложни начини, а и не всички версии на Windows разполагат с Group Policy Editor (gpedit).

 

Имунизация на системата против Autorun.inf файлове

Това може да се извърши отново с AutoRun Settings, която споменах преди малко.

Стартирайте програмата, поставете отметка на block autorun.inf (also manual by clicking a drive) в долната част и кликнете бутон Apply срещу нея. Готово. (Картинка)

 

Това ще забрани всякакви Autorun.inf файлове, включително и напълно валидни и безвредни такива.

 

Имунизация на USB флаш устройство(а)

Инструменти за това има повече от един, но аз предпочитам и препоръчвам Flash_Disinfector (от автора на ComboFix). Работата с нея не е сложна:

1) уверявате се, че нямате никакви външни USB устройства свързани (твърди дискове, flash памети и др.)

2) стартирате инструмента и изчакайте съобщението, когато ще бъдете помолени да свържете наличните USB устройства;

3) свържете колкото се може повече USB устройства и кликнете OK; ако имате доста такива или нямате нужния брой USB портове, ще трябва да повторите тази операция за останалите;

4) изчакайте интструментът да си свърши работата и кликнете бутон OK в прозореца с надпис "Done !!".

 

Важно за Flash_Disinfector:

Инструментът ще създаде специални папки/файлове на име autorun.inf на всички дялове на всички твърди дискове и USB устройства, които сте свързали. Това се прави нарочно и има за цел да предпазва от бъдещо заразяване на USB устройството, ако бъде свързано на друг компютър.

Някои антивирусни могат да засекат инструмента като заплаха. Това е фалшива тревога.

 

По принцип имунизацията на системата и USB устройствата може да се извърши и с Panda USB Vaccine. Имунизацията на USB устройства на този инструмент е по-различна от тази на Flash_Disinfector. Ползвайте който инструмент желаете. Имайте и предвид обаче, че имунизацията с Panda USB Vaccine може да се премахне само с форматиране на въпросното устройства.

 

*****

 

Ами, това е в общи линии.

[arkada]

Браво много хубава тема.Отдавна бих искал да те питам за тия гадинки

[draco_volans]

Поздравления за страхотната статия, която си написал... Доста е информативна. Тъй като и преди те бях питал за Sality... Да, наистина Virut са по кофти вируси от споменатия... Бих искал да попитам за преудоляването на защитната стена и от двата вируса отвътре навън, след заразяването: това само за Windows-ката стена ли важи или и за допълнителните стени, които могат да се инсталират, като например Comodo, Outpost, Online Armor и т.н. И в тази връзка, стените, които са с HIPS могат ли да сигнализират адекватно при вътрешна неуторизирана активност и модификации на файлове от вирусите? Тъй като, ти споменаваш, че Virut не запазва оригиналните дата и час на модификация, това не би ли следвало да се детектира от защитните стени? (в случай, разбира се, че последните не се инактивират от вирусите).

 

Sality, който излиза, че е "по-малкото зло", променя ли датата и часа на инсталация след като инжектира код?

 

За архивите... Всички ли видове архиви могат да бъдат заразени, или само тези, които включват в себе си (в архива) файлове с посочените от теб разширения? Ако съдържат например само текстови документи (например субтитри)? Или пък самите архиви, просто след самото си създаване със съответната архивираща програма, съдържат някакъв програмен код, способстващ тяхното манипулиране (разархивиране, добаване на файлове към архива, промяна на компресията), дори съдържанието им да включва просто документчета в PDF, doc, txt формат или снимки?

 

Извинявам се, ако въпросите ми са неадекватни... Просто не знам как по-точно да се изразя...

[avalon72]

Полезна информация, поднесена по интересен и забавен начин.

[Гост tnn]

http://news.sagabg.net/laboratoriya-kasper...e-prez-maj.html Полезна допълнителна информация.

[B-boy/StyLe/]

И едно филмче:

 

 

+ една статийка (повечето от нещата са добавени и в първия пост)

 

Sality.AO – нов вирус, който съчетава стари и нови техники за зараза

[Petar_kir2000]

Наистина много неприятни гадини, още повече, че след има опасност да загубиш много информация.

Но успокоението идва от "консервативния" метод на разпространение - с носители и прикачени изпълними файлове.

Та който си спазва хигиена, не трябва да се притеснява - то същото е и при "свинския" грип!

[ares85ares]

Night_Raven, поздравявам те за полезната и интересна статия. От известно време чета във форума как някой се е заразил с тези гадинки и имах доста въпроси, свързани с тях. Сега намерих отговорите. Доколкото разбирам основно се предават чрез флашка. Та искам да попитам ако проверя флашката с avast и mbam преди да сваля някаква информация от нея има ли опасност от заразяване или не. Има ли изобщо някакъв начин предварително да разбера заразена ли е флашката?

[Night_Raven]

Sality се предава основно през autorun-а на флаш паметите. Virut е по-класически.

Ако autorun функцията е изключена и флашката се сканира веднага след свързването й, би трябвало да може да бъде предотвратено заразяване на системата. Казвам "би трябвало", 100% гаранции няма как да има.

[ares85ares]

Night_Raven, имам още няколко въпроса:

 

1. Как да изключа autorun функцията на флаш паметите? След това, предполагам, ще мога да ги отварям от Моя компютър?

 

2. Има ли програма, която автоматично проверява флашките при поставяне? Има ли нужда от такава програма и ако да, коя ще ми препоръчаш? Или може би е достатъчно предварителното сканиране с наличните?

 

Предварително БЛАГОДАРЯ за отговорите!

[avalon72]

Night_Raven, имам още няколко въпроса:

 

1. Как да изключа autorun функцията на флаш паметите? След това, предполагам, ще мога да ги отварям от Моя компютър?

 

2. Има ли програма, която автоматично проверява флашките при поставяне? Има ли нужда от такава програма и ако да, коя ще ми препоръчаш? Или може би е достатъчно предварителното сканиране с наличните?

 

Предварително БЛАГОДАРЯ за отговорите!

Не се притеснявай чак толкова за тия флаш-памети и автостарта. Щом си с Avast! Antivirus няма страшно, тя не е толкова "щура", че да бъде излъгана така лесно да остави нещо непроверено - без ти да знаеш дори, че го проверява - тя го прави, защото една от функциите й се нарича "скенер при достъп"- винаги се проверява всяка отворена папка, всеки стартиран файл. Въпреки това не пречи да проверяваш още веднъж новите папки и файлове на момента (десен бутон - провери еди какво си). Особено новите версии са вече доста усъвършенствани.

[Night_Raven]

Night_Raven, имам още няколко въпроса:

 

1. Как да изключа autorun функцията на флаш паметите? След това, предполагам, ще мога да ги отварям от Моя компютър?

 

2. Има ли програма, която автоматично проверява флашките при поставяне? Има ли нужда от такава програма и ако да, коя ще ми препоръчаш? Или може би е достатъчно предварителното сканиране с наличните?

 

Предварително БЛАГОДАРЯ за отговорите!

На първия въпрос предполагам ще намериш отговор в добавената секция с полезни трикове в края на статията.

На втория въпрос вече ти бе отговорено - всяка съвременна и уважаваща себе си антивирусна програма би трябвало да реагира и да предотврати такава зараза.

[tanganika]

Night_Raven,може ли да бъде заразен изспълним файл ако е поставен в архив с парола ?

[Slammer]

Night_Raven,може ли да бъде заразен изспълним файл ако е поставен в архив с парола ?

Не може файл, архивиран и защитен с парола да се зарази, освен ако изпълнимият файл не е бил заразен преди архивирането му.

[tanganika]

Не може файл, архивиран и защитен с парола да се зарази, освен ако изпълнимият файл не е бил заразен преди архивирането му.

Благодаря ти за отговора.Исках да бъда сигурен в логиката че след като антивирусните програми не могат да проверяват архиви с парола би трябвало и вирус да не може да се добере до съдържанието вътре.