Компания «Доктор Веб» сообщила о массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего несколько альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 и вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет полиморфный (постоянно видоизменяющийся) упаковщик, что затрудняет его детектирование обычными методами.
Способы распространения
Сетевой червь Win32.HLLW.Shadow.based (некоторые образцы которого также могут определяться антивирусами Dr.Web как Win32.HLLW.Autorunner.5555), применяет для своего распространения сразу несколько способов. Прежде всего, посредством встроенного в операционную систему механизма автозапуска съёмных носителей и сетевых дисков. В этом случае имя вредоносного файла является псевдослучайным, а сам он содержится в папке вида "RECYCLER\\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx". Такая же структура папок используется в Windows для хранения удалённых объектов, что и позволяет вирусу долгое время оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также варианты из своего словаря. В случае положительного результата червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Еще один вариант распространения вируса по сети - использование уязвимости, устраняемой критичным обновлением Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению системного буфера. В итоге данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится. Если это процесс rundll32.exe, то происходит внедрение вирусного кода в системные процессы svchost.exe и explorer.exe. Затем червь открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, вносит изменения в реестр для обеспечения автоматического запуска после перезагрузки компьютера, а также останавливает работу службы обновления Windows. Далее происходит установка собственного HTTP-сервера, с помощью которого начинается дальнейшее распространение инфекции по сети.
Если вирус определяет, что находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то он внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, изменяющий в памяти системный файл tcpip.sys с целью снятия стандартных ограничений системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специальных серверов, установку и запуск этих программ на компьютерах бот-сети. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на такие работающие сети в настоящее время нет.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
- Скачать текущую версию утилиты Dr.Web CureIt! с неинфицированного компьютера и просканировать все диски, тем самым произведя лечение системы.
- Отключить зараженный компьютер от локальной сети и от Интернета. Если все ПК находятся в одной локальной сети, то вылеченный компьютер необходимо подключать обратно лишь после того, как будут вылечены все зараженные станции.
- Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не использовать простые пароли для входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based
Так как сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами становится невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield, который позволяет получать неограниченный доступ к защищенным такими образом файлам и веткам реестра.
Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based проникнуть в систему.