Перейти к содержимому


Фото
- - - - -

Сетевой червь Win32.HLLW.Shadow.based использует уязвимости Microsoft Windows


  • Please log in to reply
22 ответов в этой теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 7 029 Сообщений:

Отправлено 15 Январь 2009 - 03:00

15 января 2009 г.

Компания «Доктор Веб» информирует о широком распространении опасного
сетевого червя Win32.HLLW.Shadow.based, который использует несколько
альтернативных методов распространения, один из которых — уязвимости
операционной системы Windows, которой подвержены Windows 2000 и более
поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов
Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся
(полиморфный) упаковщик, что затрудняет его анализ.


Способы распространения

Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого
также могут определяться антивирусом Dr.Web как
Win32.HLLW.Autorunner.5555, использует для своего распространения
сразу несколько способов. Прежде всего — съёмные носители и сетевые
диски посредством встроенного в Windows механизма автозапуска. В этом
случае имя вредоносного файла является случайным и содержится в папке
вида RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же
структуру папок использует Корзина Windows для хранения удалённых
файлов, что позволяет вирусу оставаться незаметным для пользователя.

Кроме того, червь может распространяться по сети с использованием
стандартного для Windows-сетей протокола SMB. При этом для организации
удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает
наиболее часто встречающиеся способы задания пароля, а также пароли из
своего словаря. При положительном результате поиска червь копирует
себя в системную папку компьютера-жертвы и создаёт задание на запуск
через определённый промежуток времени.

Наконец, вирус распространяется по сети с использованием уязвимости,
которая устраняется с помощью критичного обновления, описанного в
бюллетене Microsoft MS08-067. На целевой компьютер отправляется
специально сформированный запрос, приводящий к переполнению буфера. В
результате данных действий компьютер-жертва загружает вредоносный файл
по протоколу HTTP.


Действия, совершаемые после запуска вируса

После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он
находится, и если это процесс rundll32.exe, то внедряет свой код в
системные процессы svchost.exe и explorer.exe. Затем вирус открывает в
Проводнике текущую папку и прекращает свою работу.

Если Win32.HLLW.Shadow.based определяет, что он находится не в
процессе rundll32.exe, то он создает свою копию со случайным именем и
прописывает её в качестве службы Windows, а также в реестр для
обеспечения автозапуска после перезагрузки компьютера и останавливает
работу службы обновления Windows. Далее в системе устанавливается
собственная реализация HTTP-сервера, с помощью которого начинается
распространение вируса по сети.

Если вирус определяет, что он находится в процессе svchost.exe,
запущенном в качестве DNS-клиента, то внедряет свой код в функции
работы DNS на компьютере, тем самым блокируя доступ к сайтам множества
антивирусных компаний.

В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого
входит изменение в памяти системного файла tcpip.sys с целью
увеличения стандартного ограничения системы на количество
одновременных сетевых подключений.


Назначение Win32.HLLW.Shadow.based

Данная вредоносная программа была создана с целью формирования
очередной бот-сети. В ходе работы вируса делаются запросы на загрузку
исполняемых файлов со специально созданных для этого серверов,
установку и запуск этих программ на компьютерах, входящих в эту
бот-сеть. Целью преступников может быть как самостоятельное извлечение
прибыли из построенной бот-сети, так и её продажа. К сожалению,
недостатка в спросе на работающие бот-сети в настоящее время нет.


Процедура лечения системы от Win32.HLLW.Shadow.based и меры по
профилактике подобных методов заражений

1. Установить патчи, указанные в следующих информационных бюллетенях
Microsoft:

* MS08-067
(http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx);

* MS08-068
(http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);

* MS09-001
(http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx).

2. Отключить компьютер от локальной сети и от Интернета. Если
компьютеры подсоединены к локальной сети, то вылеченный компьютер
необходимо подключать обратно к локальной сети лишь после того,
как будут вылечены все компьютеры, находящиеся в сети.

3. Скачать текущую версию утилиты Dr.Web CureIt! на неинфицированном
компьютере, перенести ее на инфицированный и просканировать все
диски, тем самым произведя лечение системы.

Для профилактики распространения вирусов рекомендуется отключать на
компьютерах автозапуск программ со съёмных носителей, использовать
автоматическое обновление Windows, не применять простые пароли входа в
систему.


Возможности антивируса Dr.Web по противодействию
Win32.HLLW.Shadow.based

Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты
безопасности на свои файлы и ветки реестра средствами Windows таким
образом, что чтение их стандартными средствами невозможно, то вылечить
систему от этого вируса можно только сканером Dr.Web для Windows с
графическим интерфейсом версии не ниже 4.44. В эти версии сканера
Dr.Web встроен антируткит-модуль Dr.Web Shield™, который позволяет
получать неограниченный доступ к файлам и веткам реестра, защищённым
таким образом.

Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для
Windows версий 4.44 и 5.0, при использовании актуальных обновлений
вирусной базы успешно противодействует всем попыткам
Win32.HLLW.Shadow.based установиться в систему.


Читать оригинал

#2 Pavel Plotnikov

Pavel Plotnikov

    guru

  • Members
  • 5 276 Сообщений:

Отправлено 15 Январь 2009 - 22:03

Форматирование сломай глаза? :rolleyes:
GUI/Android/iOS/WP8/волейбол

#3 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 16 Январь 2009 - 00:47

Форматирование сломай глаза? :)

Лично мне больше понравилось в самом конце - "Читать оригинал". :rolleyes:
С уважением,
Борис А. Чертенко aka Borka.

#4 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus hunters
  • 1 389 Сообщений:

Отправлено 16 Январь 2009 - 02:11

могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555

Не лишняя ли буковка? :rolleyes:


В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys

А это разве не вредоносный драйвер? :)

И, по-моему, торопились поскорее написать новость. Как-то немного в глаза бросается "входит" и "входит". :)

Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44.

Имеются ввиду какие стандартные средства? Самого Windows?

#5 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 16 Январь 2009 - 02:49

могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555

Не лишняя ли буковка? :)

Лишняя.

В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys

А это разве не вредоносный драйвер? :rolleyes:

Нет, конечно же. :) Это "Драйвер протокола TCP/IP". Похожий по названию - троянский tcpsr.sys

И, по-моему, торопились поскорее написать новость. Как-то немного в глаза бросается "входит" и "входит". :)

А по-моему, опоздали с новостью - с учетом того, что эпидемия началась аж неделю назад... :)

Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44.

Имеются ввиду какие стандартные средства? Самого Windows?

Да. Пока я сам не увидел - не верил. ЕМНИП, для dll-файла дается право только системе и только на чтение/исполнение, а ветке вирусной службы в реестре - "запрос значения", "перечисление подразделов" и "чтение разрешений" и тоже только системе. Кажется, так. ;)
В общем достаточно интересный суслик получился...
С уважением,
Борис А. Чертенко aka Borka.

#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 735 Сообщений:

Отправлено 16 Январь 2009 - 13:53

А это разве не вредоносный драйвер? :rolleyes:

нет. драйвер червя патчит в памяти tcpip чтобы снять ограниччение на кол-во коннектов, это нужно чтобы быстрее сканировать сеть и заразить ка можно больше машин.

Имеются ввиду какие стандартные средства? Самого Windows?

да, на свои файлы и реестр он отбирает все права, на чтение, запись и т.п. у системы есть права только на чтение и запуск. некоторые ав к моему удивлению пасуют перед этим.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 735 Сообщений:

Отправлено 16 Январь 2009 - 14:11

Форматирование сломай глаза? :rolleyes:

поправили
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 17 Январь 2009 - 15:44

А почему дублирование новостей идет? :rolleyes:

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#9 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus hunters
  • 1 389 Сообщений:

Отправлено 18 Январь 2009 - 02:56

В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys

А это разве не вредоносный драйвер? unsure.gif

Нет, конечно же. smile.gif Это "Драйвер протокола TCP/IP". Похожий по названию - троянский tcpsr.sys

нет. драйвер червя патчит в памяти tcpip чтобы снять ограниччение на кол-во коннектов, это нужно чтобы быстрее сканировать сеть и заразить ка можно больше машин.

Я как раз про этот драйвер самого червяка говорю. :rolleyes: Раз он патчит системный драйвер и обходит ограничение, разве его не нужно тожк добавить для детекта?

И, по-моему, торопились поскорее написать новость. Как-то немного в глаза бросается "входит" и "входит". rolleyes.gif

А по-моему, опоздали с новостью - с учетом того, что эпидемия началась аж неделю назад... sad.gif

Вот я и говорю, торопились скорей наверстать. :)

Имеются ввиду какие стандартные средства? Самого Windows?

Да. Пока я сам не увидел - не верил. ЕМНИП, для dll-файла дается право только системе и только на чтение/исполнение, а ветке вирусной службы в реестре - "запрос значения", "перечисление подразделов" и "чтение разрешений" и тоже только системе. Кажется, так. unsure.gif
В общем достаточно интересный суслик получился...

да, на свои файлы и реестр он отбирает все права, на чтение, запись и т.п. у системы есть права только на чтение и запуск. некоторые ав к моему удивлению пасуют перед этим.

Т.е. выходит, увидеть его и скопировать можно только, например, RkU, Gmer'ом и т.п.? Или же можно-таки без них в каком-нибудь случае увидеть, но не скопировать? :)

#10 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 735 Сообщений:

Отправлено 18 Январь 2009 - 03:31

Я как раз про этот драйвер самого червяка говорю. :rolleyes: Раз он патчит системный драйвер и обходит ограничение, разве его не нужно тожк добавить для детекта?

добавили конечно же. драйвер детектится как Win32.HLLW.Shadow.based. правда не все вендоры обратили на него внимание, придали ему значение.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#11 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus hunters
  • 1 389 Сообщений:

Отправлено 18 Январь 2009 - 14:00

Я как раз про этот драйвер самого червяка говорю. :rolleyes: Раз он патчит системный драйвер и обходит ограничение, разве его не нужно тожк добавить для детекта?

добавили конечно же. драйвер детектится как Win32.HLLW.Shadow.based. правда не все вендоры обратили на него внимание, придали ему значение.

Ага, это тогда хорошо. :)
Просто в новости это явно не указано.
Кстати, можно было и это еще в ней написать. :)

#12 pig

pig

    Бредогенератор

  • Helpers
  • 10 623 Сообщений:

Отправлено 18 Январь 2009 - 20:28

Принцип на самом деле простой - все вредоносные компоненты, какие известны, детектируются и прибиваются. Раз про драйвер написано - значит, это известный компонент.
Почтовый сервер Eserv тоже работает с Dr.Web

#13 Полимер

Полимер

    Бетатестёр

  • Posters
  • 2 890 Сообщений:

Отправлено 19 Январь 2009 - 13:49

Вот здесь говорят, что виноваты украинцы: :rolleyes: http://cnews.ru/news/top/index.shtml?2009/01/19/334882
Интересно, а у компании есть мнение, кто написал вирус?

#14 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 19 Январь 2009 - 14:29

Вот здесь говорят, что виноваты украинцы: :) http://cnews.ru/news/top/index.shtml?2009/01/19/334882

Порадовало:
"На сегодняшний день, происхождение вируса остается неизвестным, однако специалисты F-Secure предполагают, что Downadup был создан злоумышленниками из Украины. Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны. По мнению F-Secure, говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей."
А я-то думаю, почему у меня эпидемия! :) Просто интересно, как вирус, севший с флешки в локалку, определяет, что он на территории Украины? :rolleyes:

Интересно, а у компании есть мнение, кто написал вирус?

У компании - не знаю, а у меня есть - это достаточно грамотная и изобретательная личность... И достаточно гуманная - при масштабах эпидемии в 9 мегакомпьютеров никакой деструкции, противодействия АВ, маскировки...
С уважением,
Борис А. Чертенко aka Borka.

#15 Andrey_Kr

Andrey_Kr

    Advanced Member

  • Posters
  • 665 Сообщений:

Отправлено 19 Январь 2009 - 14:40

Порадовало:
"На сегодняшний день, происхождение вируса остается неизвестным, однако специалисты F-Secure предполагают, что Downadup был создан злоумышленниками из Украины. Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны. По мнению F-Secure, говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей."
А я-то думаю, почему у меня эпидемия! :):)

Вот и я думаю - с чем же я тогда боролся :rolleyes:

Интересно, а у компании есть мнение, кто написал вирус?

У компании - не знаю, а у меня есть - это достаточно грамотная и изобретательная личность... И достаточно гуманная - при масштабах эпидемии в 9 мегакомпьютеров никакой деструкции, противодействия АВ, маскировки...

Да особо не навредил. Иногда правда svchost падал, сетевые принтеры не отзывались, ну и некоторые сетевые программы

#16 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 735 Сообщений:

Отправлено 19 Январь 2009 - 15:38

Вот здесь говорят, что виноваты украинцы: ;) http://cnews.ru/news/top/index.shtml?2009/01/19/334882

Порадовало:
"На сегодняшний день, происхождение вируса остается неизвестным, однако специалисты F-Secure предполагают, что Downadup был создан злоумышленниками из Украины. Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны. По мнению F-Secure, говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей."
А я-то думаю, почему у меня эпидемия! :P Просто интересно, как вирус, севший с флешки в локалку, определяет, что он на территории Украины? http://forum.drweb.com/public/style_emoticons/default/smile.png

Интересно, а у компании есть мнение, кто написал вирус?

У компании - не знаю, а у меня есть - это достаточно грамотная и изобретательная личность... И достаточно гуманная - при масштабах эпидемии в 9 мегакомпьютеров никакой деструкции, противодействия АВ, маскировки...

тут имхо одной личностью не обошлось. китайцы могли быть на их месте, но не продумали все поэтому не смогли сделать эпидемию.

Да особо не навредил. Иногда правда svchost падал, сетевые принтеры не отзывались, ну и некоторые сетевые программы

svchost падает только под 2k, это результат работы эксплойта.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#17 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 19 Январь 2009 - 15:41

но не продумали все поэтому не смогли сделать эпидемию.

Ну да, ну да... 9 миллионов - это, конечно, не эпидемия. http://forum.drweb.com/public/style_emoticons/default/smile.png
С уважением,
Борис А. Чертенко aka Borka.

#18 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 735 Сообщений:

Отправлено 19 Январь 2009 - 15:59

но не продумали все поэтому не смогли сделать эпидемию.

Ну да, ну да... 9 миллионов - это, конечно, не эпидемия. http://forum.drweb.com/public/style_emoticons/default/smile.png

китайцы начали эксплуатировать дыру еще в том году. но спалили все ходы и не выдержали нагрузки, сервера легли почти сразу (несколько тысяч заражений). потом видно какие то ребята по кумекав, решили сделать все гораздо грамотней, и у них все получилось как мы видим. ;)
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#19 egg222

egg222

    Member

  • Posters
  • 165 Сообщений:

Отправлено 05 Февраль 2009 - 12:08

А сколько весят заплатки? Я хочу поставить их но у меня простой модем и не хочу сидеть за машиной оч долго.и сейчас у меня 49.2 кб/с
Worms-Бийск (мой любительский сайт)
Кстати - играйте в Worms!
AMD Athlon 64 X2 4000+ (2099 Ггц)\992 Mb RAM\ATI RADEON 200 SERIES 128Mb + NVIDIA GEFORCE 9600GSO 768 MB\DVD-RAM\Windows XP SP3 build ZverCD Proffessional+Windows 7 Максимальная 32-bit
С уважением, Артём
(aka egg222)

#20 pig

pig

    Бредогенератор

  • Helpers
  • 10 623 Сообщений:

Отправлено 05 Февраль 2009 - 14:20

Знакомых админов нет?
Почтовый сервер Eserv тоже работает с Dr.Web


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых