Данная статья описывает конкретный экземпляр вируса, который обитает на компьютерах под Windows с точки зрения его работы. Посмотрим как он устроен и внедряется в систему и как его найти и удалить вручную, если нет антивируса и интересно покопаться.
Заражение.
После подключения флешки к зараженному ПК на неё записывается вирус. Он создает на флешке пустую папку, делает её невидимой и переносит туда содержимое флешки. Если зайти на флешку после установки вируса, то там вместо файлов будет ссылка на эту же флешку. На компьютере ничего не происходит само по себе и флешка внутри флешки это уже работа вируса и как минимум должно насторожить.
Если нажать на эту ссылку, то в новом окне появится содержимое флешки и для простого пользователя дальше вроде бы всё как обычно.
Открываем Total Commander и смотрим флешку. Внутри обнаруживаются вот такие файлы:
Относим флешку на ПК для экспериментов и запускаем файл с расширением .Ink, что сделал бы обычный пользователь и то, что надо вирусу. Происходит заражение ПК, вирус устанавливается в новую систему и начинает заражать другие флешки. Отлично.
Если зайти в настройку автозапуска Windows программой CCleaner, то там ничего нового не появилось. Ссылки на файл .exe вируса там нет. В автозагрузке его нет. Но если посмотреть программой Autoruns.exe, то в реестре появилась новая запись в windows\load ( как раз его CCleaner не показывает) на файл cctjicocv.pif. Имя файла создается по некоторому алгоритму и на другом компьютере оно уже будет другим, но местоположение файла будет таким же.
При запуске ПК в диспетчере задач проскакивает процесс cctjicocv.pif и исчезает. В папке temp после включения ПК данного файла нет, потому что после того как он отработал он удаляется. При выключении ПК он снова восстановится в папке.
Заражаем следующую флешку. И пробуем удалить созданные ей файлы.
Total commander не может удалить один из файлов, ему не дает процесс Windows Update. Заходим в диспетчер задач и находим Windows Update.
Windows Update это процесс wuauclt.exe. Если убить этот процесс, то заражение флешек прекращается. При перезапуске ПК процесс восстанавливается. Вирус висит в системе через запуск процесса обновления системы.
Перезагружаем ПК и заходим в безопасном режиме. В папке temp находится файл cctjicocv.pif и еще папка с программой вируса. cctjicocv.pif это .exe файл, который является копией файла, который находится в папке _setup_, только со сменой расширения.
А в самой папке располагается вот такой файл
Удаляем все эти файлы и ссылку из реестра и перезагружаем ПК. Вирус больше не запускается.
Еще раз обращаю внимание, что название файлов cctjicocv.pif , _WDIHDGBZRG.nil это работа алгоритма и на другом ПК эти имена будут другие.
Возвращаемся к файлам вируса на флешке и делаем их видимыми.
Эти файлы немного не с теми расширениями которые, должны были бы быть. Файл с расширением .nil это .DLL файл. Это можно понять если открыть его в блокноте. Там есть надпись "This program cannot be run in DOS mode".
И OllyDBG говорит, что файл .nil это .dll библиотека и открывает его в loaddll.
Сама DLL не большая, она подтягивает содержимое файла desktop.ini, который находится в той же папке.
Ярлык с иконкой диска это ссылка на системное приложение rundll32.exe, которая и запускает DLL библиотеку.
Запуская ссылку с изображением флешки мы запускаем программу Rundll32, которая запускает DLL файл (по сути установщик), который подтягивает данные с файлов desktop.ini и thumbs.db и производит инсталляцию ПО на компьютер. Весь этот набор файлов занимает 196Кб.
В интернете есть ресурс https://www.virustotal.com/ . Подгружаем туда файл DLL вируса и файл автоматически сканируется антивирусными системами. 63 антивируса из 72 пометили этот файл как червь Gamarue.
Червь Gamarue — довольно коварная вредоносная программа вирусного типа. Распространяется по сети / съемные носители / почту. Установлено, что уровень заражения Gamarue, одного из самых распространенных вирусов в Интернете, особенно высок в Азии.
Червь Gamarue — этот тип вредоносного ПО позволяет хакерам получить контроль над зараженным компьютером. Они могут красть данные и изменять настройки на отдельных компьютерах. Сеть компьютеров, зараженных вирусом Gamarue, становится ботнетом (термин, обозначающий совокупность компьютеров, контролируемых хакером). Многие ботнеты могут использоваться для различных киберпреступлений.
PS
Этот вирус написан грамотно для своего времени, он интегрируется в систему тихо, копирует себя на съемные носители аккуратно ничего не удаляя, при этом подсасывается к процессу обновления системы и паразитирует через него и динамически создает имена файлов.
Этот вирус открывает портал на ваш компьютер через процесс wuauclt.exe, через который у злоумышленников открываются большие возможности по использованию вашего ПК.
