	19.11.10	Вирус killVBS.vbs Не так давно почти все флэшки моего города были поражены тотальной эпидемией вируса killVBS.vbs. Этот вирус распространяется исключительно на съемных носителях и запускается сразу при подключении его к компьютеру, потому что Windows слепо повинуется файлу autorun.inf. Благо, начиная с Висты, ситуация изменилась. Кстати, невероятно, но autorun.inf работает и для локальных дисков, по крайней мере в XP. То есть, вы можете запросто назначать диску программу для автозапуска и даже менять иконку диска. Но вернемся к killVBS.vbs. Поскольку вирус этот, собственно, код VB-Скрипта в чистом виде, я не упустил возможности изучить его код и понять, что делает вирус и каким образом без конца самокопируется. Многие антивирусники уже научились распознавать этот тип вирусов, но вот с удалением или даже помещением на карантин происходит большой фейл. Стоит антивируснику удалить или переместить этот файл, он тут же создается снова, на том же месте. Антивирус бьет новую тревогу сразу после удаления вируса, и снова, и снова. Так уставшему юзеру приходится просто проигнорировать бесконечные сообщения антивируса, и оставить killVBS в покое. А все дело в том, что вирус, ясное дело, загружается в оперативку, сохраняет свое содержимое в переменную, и в случае, если его файл на диске был удален, создает его снова и снова. А поскольку это VBScript, то исполняется он, разумеется, не самостоятельно, а файлом WScript.exe, стандартным ЕХЕ-шником для запуска VBS-файлов. Видимо поэтому антивирусы не могут распознать его в процессах. Убить этот вирус очень легко. Достаточно убить процесс wscript.exe через Диспетчер задач, и вирус безоружен. Можно будет беспрепятственно удалить его с диска. Помимо дисков, он еще копирует себя в папку Windows\System32, найдите и убейте его там. После этого поищите сочетание "killVBS.vbs" в реестре и удалите все упоминания о нем. Впрочем, вирус этот довольно безобиден и реальной угрозы не представляет. Вот что он делает: Копирует себя на другие съемные носители и в папку Windows\System32. Прописывает свой автозапуск реестре. Создает файл autorun.inf на всех съемных дисках и прописывает там свой автозапуск. Помимо этого, еще вносит несколько небольших изменений в реестр, которые видны на этом куске кода из вируса: Shells.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL" Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title","" Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","" Shells.RegWrite "HKCR\vbsfile\DefaultIcon","%SystemRoot%\System32\WScript.exe,2" Он постоянно обнуляет заголовок и адрес стартовой страницы в Internet Explorer'е (видимо, автор вируса против использования таких кривых браузеров), меняет значок для vbs-файлов (я так до конца и не понимаю этот шаг) и удаляет в реестре ветку "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL". К сожалению, не знаю для чего это делается. Что касается исходного кода в целом, то он написан в очень странном стиле. В коде есть шокирующие места, выполненные в стиле недо-программистов, узнавших про программирование только вчера. Нет единства в регистре ключевых слов, где-то написано "End If", а где "end if". А еще куча очень странных по логике вложенных if-ов, например: If Drives.DriveType = 1 Or Drives.DriveType = 2 Then If Drives.Path <> "A:" Then If Drives.DriveType = 1 Then If Drives.Path <> "A:" Then <...> Однако при изучении исходника вируса, я навел в коде порядок: расставил отступы, сделал одинаковый регистр у всех слов и прокомментировал самые важные моменты в работе вируса. Желающие посмотреть врагу в лицо, могут скачать его откомментированный исходник в виде TXT-файла: ~~http://vladikcomper.narod.ru/download/killVBS.txt~~ ~~http://upwap.ru/1135430~~ http://zalil.ru/29998591 Только не стоит менять расширение на *.vbs и запускать - вирус вроде рабочий.

Вирус killVBS.vbs

Не так давно почти все флэшки моего города были поражены тотальной эпидемией вируса killVBS.vbs. Этот вирус распространяется исключительно на съемных носителях и запускается сразу при подключении его к компьютеру, потому что Windows слепо повинуется файлу autorun.inf. Благо, начиная с Висты, ситуация изменилась.

Кстати, невероятно, но autorun.inf работает и для локальных дисков, по крайней мере в XP. То есть, вы можете запросто назначать диску программу для автозапуска и даже менять иконку диска.

Но вернемся к killVBS.vbs.
Поскольку вирус этот, собственно, код VB-Скрипта в чистом виде, я не упустил возможности изучить его код и понять, что делает вирус и каким образом без конца самокопируется.

Многие антивирусники уже научились распознавать этот тип вирусов, но вот с удалением или даже помещением на карантин происходит большой фейл. Стоит антивируснику удалить или переместить этот файл, он тут же создается снова, на том же месте. Антивирус бьет новую тревогу сразу после удаления вируса, и снова, и снова. Так уставшему юзеру приходится просто проигнорировать бесконечные сообщения антивируса, и оставить killVBS в покое.

А все дело в том, что вирус, ясное дело, загружается в оперативку, сохраняет свое содержимое в переменную, и в случае, если его файл на диске был удален, создает его снова и снова. А поскольку это VBScript, то исполняется он, разумеется, не самостоятельно, а файлом WScript.exe, стандартным ЕХЕ-шником для запуска VBS-файлов. Видимо поэтому антивирусы не могут распознать его в процессах.

Убить этот вирус очень легко. Достаточно убить процесс wscript.exe через Диспетчер задач, и вирус безоружен. Можно будет беспрепятственно удалить его с диска. Помимо дисков, он еще копирует себя в папку Windows\System32, найдите и убейте его там. После этого поищите сочетание "killVBS.vbs" в реестре и удалите все упоминания о нем.

Впрочем, вирус этот довольно безобиден и реальной угрозы не представляет. Вот что он делает:

Копирует себя на другие съемные носители и в папку Windows\System32.
Прописывает свой автозапуск реестре.
Создает файл autorun.inf на всех съемных дисках и прописывает там свой автозапуск.

Помимо этого, еще вносит несколько небольших изменений в реестр, которые видны на этом куске кода из вируса:

Shells.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL"
Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title",""
Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page",""
Shells.RegWrite "HKCR\vbsfile\DefaultIcon","%SystemRoot%\System32\WScript.exe,2"

Он постоянно обнуляет заголовок и адрес стартовой страницы в Internet Explorer'е (видимо, автор вируса против использования таких кривых браузеров), меняет значок для vbs-файлов (я так до конца и не понимаю этот шаг) и удаляет в реестре ветку "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL". К сожалению, не знаю для чего это делается.

Что касается исходного кода в целом, то он написан в очень странном стиле. В коде есть шокирующие места, выполненные в стиле недо-программистов, узнавших про программирование только вчера. Нет единства в регистре ключевых слов, где-то написано "End If", а где "end if". А еще куча очень странных по логике вложенных if-ов, например:

If Drives.DriveType = 1 Or Drives.DriveType = 2 Then
If Drives.Path <> "A:" Then
  If Drives.DriveType = 1 Then
   If Drives.Path <> "A:" Then
   <...>

Однако при изучении исходника вируса, я навел в коде порядок: расставил отступы, сделал одинаковый регистр у всех слов и прокомментировал самые важные моменты в работе вируса. Желающие посмотреть врагу в лицо, могут скачать его откомментированный исходник в виде TXT-файла: ~~http://vladikcomper.narod.ru/download/killVBS.txt~~ ~~http://upwap.ru/1135430~~ http://zalil.ru/29998591

Только не стоит менять расширение на *.vbs и запускать - вирус вроде рабочий.

		Комментарии: Yanex - 19.11.2010 20:24 Если создать себе ограниченную учетную запись, то он не будет прописывать себя в реестре и копироваться в %windir%\system32. vladikcomper - 20.11.2010 09:09 Да, но ограниченная учетная запись не позволит делать банальных нужных мне вещей - устанавливать новый софт и редактировать реестр. Там по-моему еще глупые ограничения были (вплоть до запрета доступа к определенным разделам на диске и т.п.) WinXP очень кривой в этом плане, без записи с полными правами им нормально не попользуешься. Yanex - 21.11.2010 19:37 Все там нормально :) Есть такая штука, как запуск программ с правами администратора. Можно и regedit так же запускать. Кстати, а зачем реестр редактировать вручную? vladikcomper - 26.11.2010 14:20 Реестр я редко-редко, но редактирую, приходится иногда. Все же ограниченая учетная запись на ХР очень неудобна, она помнится блокирует доступ ко некоторым системным каталогам, да и кароче не пользуется никто ими =Р Еще один намек на неюзабельность kitsemen - 28.11.2010 00:16 Слава богу хоть самокопируется. А могли бы назвать и killallfilesandfoldersonalllogicaldrivesrecursive.vbs Алмаз - 28.12.2010 15:22 Файл не скачаешь =Ъ Ибо они удалили, посчитав этот txt файл за вирус) vladikcomper - 29.12.2010 10:13 Да. А еще посмотри сколько ссылок было, а я их зачеркнул. Потому что удаляли отовсюду. Даже безобидный текстовичок =( Алмаз - 28.03.2011 16:14 Ты мог бы в этой теме этот исходник прикрепить, не заливая в файлообменики) vladikcomper - 03.04.2011 12:24 Лол, Алмаз. Во-первых, это тебе не форум IPB, это мой собственный движок для блогов. Во-вторых, файл, куда бы ты его ни прикрепил, должен где-то хоститься. Интернет не такой уж свободный как кажется, и размещать программы, которые интерпретируются как вирусы, уже не получится на львиной доле файлообменников и хостингов. Все заливаемые файлы контроллируются антивирусами, которые немедленно опознают вирусы и блокируют их. Даже не смотря на то, что расширение файла я сменил на TXT, дабы никто это дело случайно не запустил, антивирусы все равно бьют тревогу. Стоило мне разместить файл в своем домене на narod.ru, весь сайт (!) был заблокирован буквально через несколько часов. Я мог бы перезалить файл на домен yanex.org, но я не хотел подвергать владельца этого домена (моего друга Янекса) опасности. Я не знаю условия, предоставляемые его хостером касаемо данного типа ПО, вдруг из-за моего глупого действия пострадает весь его сайт включая все домены? Поэтому я решил залить файл на файлообменники, но и там мой файл немедленно заблокировали. Таковы современные Интернеты. Дя.Ешшмаи - 09.04.2011 14:53 Влад, а ты его на две части разбей) И банально запакуй в архив. vladikcomper - 10.04.2011 21:03 Можно попробовать, еще хотел просто сделать его HTML-страничкой с тегами + подсветкой синтаксиса, тогда точно за вирус не примут. Но думаю толку от этого исходника особого нет. Хотя нет, толк, может и есть, но я посеял свой фвйл.

vladikcomper - 20.11.2010 09:09
Да, но ограниченная учетная запись не позволит делать банальных нужных мне вещей - устанавливать новый софт и редактировать реестр. Там по-моему еще глупые ограничения были (вплоть до запрета доступа к определенным разделам на диске и т.п.)
WinXP очень кривой в этом плане, без записи с полными правами им нормально не попользуешься.

Yanex - 21.11.2010 19:37
Все там нормально :)
Есть такая штука, как запуск программ с правами администратора. Можно и regedit так же запускать.
Кстати, а зачем реестр редактировать вручную?

vladikcomper - 26.11.2010 14:20
Реестр я редко-редко, но редактирую, приходится иногда.
Все же ограниченая учетная запись на ХР очень неудобна, она помнится блокирует доступ ко некоторым системным каталогам, да и кароче не пользуется никто ими =Р Еще один намек на неюзабельность

kitsemen - 28.11.2010 00:16
Слава богу хоть самокопируется. А могли бы назвать и killallfilesandfoldersonalllogicaldrivesrecursive.vbs

Алмаз - 28.12.2010 15:22
Файл не скачаешь =Ъ Ибо они удалили, посчитав этот txt файл за вирус)

vladikcomper - 29.12.2010 10:13
Да. А еще посмотри сколько ссылок было, а я их зачеркнул. Потому что удаляли отовсюду. Даже безобидный текстовичок =(

Алмаз - 28.03.2011 16:14
Ты мог бы в этой теме этот исходник прикрепить, не заливая в файлообменики)

vladikcomper - 03.04.2011 12:24
Лол, Алмаз.

Во-первых, это тебе не форум IPB, это мой собственный движок для блогов.

Во-вторых, файл, куда бы ты его ни прикрепил, должен где-то хоститься. Интернет не такой уж свободный как кажется, и размещать программы, которые интерпретируются как вирусы, уже не получится на львиной доле файлообменников и хостингов. Все заливаемые файлы контроллируются антивирусами, которые немедленно опознают вирусы и блокируют их. Даже не смотря на то, что расширение файла я сменил на TXT, дабы никто это дело случайно не запустил, антивирусы все равно бьют тревогу.

Стоило мне разместить файл в своем домене на narod.ru, весь сайт (!) был заблокирован буквально через несколько часов. Я мог бы перезалить файл на домен yanex.org, но я не хотел подвергать владельца этого домена (моего друга Янекса) опасности. Я не знаю условия, предоставляемые его хостером касаемо данного типа ПО, вдруг из-за моего глупого действия пострадает весь его сайт включая все домены? Поэтому я решил залить файл на файлообменники, но и там мой файл немедленно заблокировали.

Таковы современные Интернеты.

Дя.Ешшмаи - 09.04.2011 14:53
Влад, а ты его на две части разбей)
И банально запакуй в архив.

vladikcomper - 10.04.2011 21:03
Можно попробовать, еще хотел просто сделать его HTML-страничкой с тегами + подсветкой синтаксиса, тогда точно за вирус не примут.
Но думаю толку от этого исходника особого нет. Хотя нет, толк, может и есть, но я посеял свой фвйл.

Вирус killVBS.vbs

Комментарии: