Для справки:

Win32.HLLW.Kati

(Possible_Otorun8, TROJ_DLOADER.RMD, Trojan-Downloader.Win32.VB.bnp, Downloader.gen.a, Worm/VB.CN.27, W32/Autorun.worm.g, WORM_VB.ELL, TROJ_DLOADER.EVR, IM-Worm.Win32.VB.cn, TROJ_DLOADER.ZCD, Trojan.Downloader.VB.VKV, W32/YahLover.worm.gen, TR/Dldr.VB.bnp, Generic.dx, Downloader.VB.AIM, TR/Dldr.VB.bnp.6, I-Worm/VB.TG, Generic Downloader.a, TR/Dldr.VB.bnp.5)

Добавлен в вирусную базу Dr.Web:    2007-09-17 18:08:32

Тип вируса: Червь

Уязвимые ОС: WinNT-based

Размер: 117 248 байт

Упакован: UPX


Техническая информация

Написан на языке программирования Visual Basic.

При своём запуске создаёт несколько копий исходного файла:
%Systemroot%\System32\ctfmon.exe
%Systemroot%\System32\рsagоr18.sys
%Systemroot%\System32\АHTОMSYS19.exe
%Systemroot%\System32\DETER177\smss.exe
%Systemroot%\System32\DETER177\svсhоst.exe
%Systemroot%\System32\DETER177\lsass.exe

Все файлы имеют атрибут "Скрытый". Одновременно в памяти находятся две копии червя. При попытке завершить одну из них, происходит её автоматический перезапуск. Помимо этого, некоторые символы в именах файлов-носителей являются кириллическими.

Для обеспечения своего запуска при каждом старте Windows регистрирует созданные копии в системном реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

lsass = %Systemroot%\System32\DETER177\lsass.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

сtfmоn.exe = %Systemroot%\system32\сtfmon.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Shell = Explorer.exe %Systemroot%\system32\АHTОMSYS19.exe

Осуществляет попытки определить окна программ мгновенного обмена сообщениями и, при обнаружении таковых, вставляет в них текст ""Я незнаю ее там помоему небыло(((... вот, посмотри {ссылка на архив}".

Обладает функционалом работы с электронной почтой.

При наличии подмонтированного flash-накопителя создаёт на нём свою копию flash.scr с иконкой папки.

Уничтожает файлы *.doc, *.xls, *.rtf, перезаписывая их мусорным текстом инвективного содержания. В файлы в формате *.bmp, *.jpg вставляет свой jpeg с надписью Penetrator.

Может создать файлы cdburn.exe и соответствующий autorun.inf в каталоге%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning.

Обладает возможностью создания копий своего файла в каталогах общего доступа, пути к которым сохранены в %USERPROFILE%\NetHood.

Отслеживает отображение предупреждающих окон разраличных антивирусов и межсетевых экранов и закрывает их. Помимо этого, отслеживает запуск Regedit и сдвигает его окно за пределы экрана.


Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также все доступные на момент сканирования flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Восстановить графические файлы *.bmp, *.jpg, а также документы *.doc, *.xls, *.rtf из резервных копий.

Рекомендации по восстановлению системы

Загрузить ОС Windows в Безопасном режиме (Safe Mode).
Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

http://vms.drweb.com/virus/?i=172407&lng=ru

Исправлено iPhoeniX (09.06.09 03:18)

iPhoeniX написал(а):

Написан на языке программирования Visual Basic.

*ля, дожили - вирусы уже на васике пишут.

Wic, Каспер по новому вирю пока не мычит, не телится. Гляну через несколько дней, может, что и будет.

Trojan-Downloader.Win32.VB.bnp

Время детектирования    15 окт 2007 13:14 MSK
Время выпуска обновления    15 окт 2007 13:14 MSK
Описание опубликовано    15 май 2008 19:47 MSK

Технические детали

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic.

Инсталляция

После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":

%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe

После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".

Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":

%System%\ctfmon.exe
%System%\АHTОMSYS19.exe

Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:

[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"

[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"

Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.

Деструктивная активность

Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"

Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"

Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню "Свойства папки" для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = "1"

После чего троянец создает в системном каталоге Windows скрытый файл "рsаdоr18.dll":

%System%\рsаdоr18.dll

В этот файл троянец помещает следующие адреса электронной почты:

ot01_***@mail.ru
ot02_***@mail.ru

Также троянец извлекает из своего тела руткит "рsagоr18.sys". Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов "рsаdоr18.dll" и "АHTОMSYS19.exe", а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов.

При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке.

Во время работы троянец отслеживает появление в системе окон со следующими заголовками:

NOD32 2.5 Control Center
Сканер NOD32 по требованию - [Профиль центра управления - Локально]
Сканер NOD32 по требованию - [Профиль контекстного меню]
NOD32 - Предупреждение
Пpeдупpeждeниe Редактор конфиг
урации NOD32 - [Untitled]
Антивирус Касперского Personal
0- выполняется проверка...
Карантин
Настройка обновления
Настройка карантина и резервного хранилища
Выберите файл для отправки на исследование
AVP.MessageDialog
AVP.MainWindow
AVP.Product_Notification
AVP.SettingsWindow
AVP.ReportWindow
Agnitum Outpost Firewall - configuration.cfg
Настройка системы
Редактор реестра
RegEdit_RegEdit

В случае обнаружения такие окна будут закрываться автоматически.

Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем "CDburn.exe" и создает файл "autorun.inf" со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.

Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:

Я незнаю ее там помоему небыло(((... вот, посмотри http://softclub.land.ru/seeing/katie.rar

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).

2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

3. Удалить файлы, созданные троянцем:

%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe
%System%\рsаdоr18.dll

4. Удалить ключи системного реестра:

[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"

5. Перезагрузить компьютер в обычном режиме.

6. Заменить ключи системного реестра:

[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"

на

[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"

----------------------------------------------------------------------------------------------------------------

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
"HideFileExt" = "1"

на

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = ""
"ShowSuperHidden" = ""
"HideFileExt" = ""

----------------------------------------------------------------------------------------------------------------

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = "1"

на

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = ""

7. Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:

CDburn.exe
autorun.inf

Если такие файлы существуют, удалить их.

8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
   
Trojan-Downloader

Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.

Другие модификации

Trojan-Downloader.Win32.VB.acl

Trojan-Downloader.Win32.VB.aka

Trojan-Downloader.Win32.VB.an

Trojan-Downloader.Win32.VB.be

Trojan-Downloader.Win32.VB.bj

Trojan-Downloader.Win32.VB.bqz

Trojan-Downloader.Win32.VB.dc

Trojan-Downloader.Win32.VB.ft

Trojan-Downloader.Win32.VB.gd

Trojan-Downloader.Win32.VB.gp

Trojan-Downloader.Win32.VB.if

Trojan-Downloader.Win32.VB.jl

Trojan-Downloader.Win32.VB.n

Другие названия

Trojan-Downloader.Win32.VB.bnp («Лаборатория Касперского») также известен как:

Trojan: Generic Downloader.a (McAfee)
Mal/Behav-043 (Sophos)
Trojan.Downloader-15571 (ClamAV)
W32/Penetrator.A.worm (Panda)
W32/Downldr2.BEZK (FPROT)
Worm:Win32/Rotrumas.A (MS(OneCare))
Win32.HLLW.Kati (DrWeb)
Win32/VB.NNJ worm (Nod32)
Trojan.Downloader.VB.VKV (BitDef7)
Win32:Trojan-gen {Other} (AVAST)
Worm.Win32.VB (Ikarus)
Downloader.VB.AIM (AVG)
TR/VB.Agen.178688.A (AVIRA)
Downloader (NAV)
Trojan.DL.Win32.VB.bnp (Rising)
TROJ_DLOADER.RMD (TrendMicro)

http://www.securelist.com/ru/descriptio … n32.VB.bnp

Исправлено iPhoeniX (09.06.09 03:35)

Короче, Кати - лезет через осла, с флешек и просто запуском шаловливыми ручками, я так понял.

Однако, всё что нашёл про этот новый чудо - вирус - с сайта вебера и не по существу, а он любит рассказывать страшные сказки.

Можно предположить, что данный троянец, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator

Лично я, вчитываясь в эту строку, понимаю лишь то, что он, как и кати, грызёт файлы, в отличие от большинства современных вирусов - стремящихся только загнать комп в ботнет.

В общем же, заметка про Trojan.KillFiles.904 это не обзор вируса, она больше похожа на пресс релиз для сми для васьков - попугать и заставить задуматься о покупке антивируса.

запугали =))

Исправлено 8erN (10.06.09 01:40)

Правильная мысль. Один раз установить Linux и можно навсегда забыть о вирусах, антивирусах, файрволах и прочей ненужной пользователю ерунде.

А его можно где-нить скачать или найти?))) Эксперимент провести охота)))