Alman nab вирус что это

Добавлен в вирусную базу Dr.Web: 2007-06-08

Описание добавлено: 2007-06-08

Уязвимые ОС: Win NT-based

%windir%\linkinfo.dll

%systemroot%\system32\drivers\nvmini.sys

%systemroot%\system32\drivers\IsDrv118.sys

Отслеживает подключение новых сменных носителей и, при подключении таковых, создаёт на них файлы boot.exe и autorun.inf.

Скрывает своё присутствие в инфицированной системе, пряча свои установленнные файлы:

nvmini.sys
linkinfo.dll
autorun.inf
boot.exe

а также ветки реестра с подстрокой "nvmini".

Блокирует загрузку драйверов (антируткиты и сетевые фильтры):

ISPUBDRV
ISDRV1
RKREVEAL
PROCEXP
SAFEMON
RKHDRV10
NPF
IRIS
NPPTNT
DUMP_WMIMMC
SPLITTER
EAGLENT

Анализирует таблицы импортов и блокирует драйверы, работающие с KeServiceDescriptorTable.

Блокирует загрузку следующих библиотек:

DLLWM.DLL
DLLHOSTS.DLL
NOTEPAD.DLL
RPCS.DLL
RDIHOST.DLL
RDFHOST.DLL
RDSHOST.DLL
LGSYM.DLL
RUND11.DLL
MDDDSCCRT.DLL
WSVBS.DLL
CMDBCS.DLL
RICHDLL.DLL
WININFO.RXK
WINDHCP.DLL
UPXDHND.DLL

Внедряет свою библиотеку в Explorer.exe

Ожидает свои обновления в файле %windir%\AppPatch\AcLue.dll

Заражает файлы на всех дисках, за исключением системных файлов, защищенных SFC или находящихся в подкаталогах:

\QQ
\WINNT\
\WINDOWS\
LOCAL SETTINGS\TEMP\

Не заражает файлы их списка:

zhengtu.exe
audition.exe
kartrider.exe
nmservice.exe
ca.exe
nmcosrv.exe
nsstarter.exe
maplestory.exe
neuz.exe
zfs.exe
gc.exe
mts.exe
hs.exe
mhclient-connect.exe
dragonraja.exe
nbt-dragonraja2006.exe
wb-service.exe
game.exe
xlqy2.exe
sealspeed.exe
asktao.exe
dbfsupdate.exe
autoupdate.exe
dk2.exe
main.exe
userpic.exe
zuonline.exe
config.exe
mjonline.exe
patcher.exe
meteor.exe
cabalmain.exe
cabalmain9x.exe
cabal.exe
au_unins_web.exe
xy2.exe
flyff.exe
xy2player.exe
trojankiller.exe
patchupdate.exe
ztconfig.exe
woool.exe
wooolcfg.exe

Завершает процессы других вредоносных программ:

sxs.exe
lying.exe
logo1_.exe
logo_1.exe
fuckjacks.exe
spoclsv.exe
nvscv32.exe
svch0st.exe
c0nime.exe
iexpl0re.exe
ssopure.exe
upxdnd.exe
wdfmgr32.exe
spo0lsv.exe
ncscv32.exe
iexplore.exe
iexpl0re.exe
ctmontv.exe
explorer.exe
internat.exe
lsass.exe
smss.exe
svhost32.exe
rundl132.exe
msvce32.exe
rpcs.exe
sysbmw.exe
tempicon.exe
sysload3.exe
run1132.exe
msdccrt.exe
wsvbs.exe
cmdbcs.exe
realschd.exe

Осуществляет попытки распространения по локальной сети, подключаясь как Administrator, используя пароли:

В случае удачи создает в корневом каталоге диска С файл setup.exe и удаленно его запускает.

Осуществляет попытки скачать другие вредоносные программы через браузер по умолчанию, например:
Trojan.PWS.Gamania.4375,Trojan.PWS.Wow.632, Trojan.PWS.Legmir.1949

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированные компьютеры Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

Win32/Alman.NAB [Threat Variant Name]

Category	virus
Aliases	Virus.Win32.Alman.b (Kaspersky)
W32.Almanahe.B!inf (Symantec)
Virus:Win32/Almanahe.B (Microsoft)
Win32.Alman.1 (Dr.Web)

Win32/Alman.NAB is a polymorphic file infector. It uses techniques common for rootkits.

When executed, the virus creates the following files:

%windir%\linkinfo.dll (53248 B, Win32/Alman.NAD)
%systemroot%\drivers\cdralw.sys (15872 B, Win32/Alman.NAD)
%systemroot%\drivers\IsDrv122.sys (15872 B, Win32/Alman.NAD)
%systemroot%\System32\drivers\eftcny.sys

The library linkinfo.dll is loaded and injected into the following process:

explorer.exe

The virus may create the following files:

%windir%\AppPatch\AcPlugin.dll
%windir%\AppPatch\AcPlugin.dll.new
%temp%\%variable%

The following Registry entries are set:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdralw]
- "ErrorControl" = 0
- "Start" = 2
- "Type" = 1
- "Tag" = 7
- "Group" = "Pointer Port"
- "ImagePath" = "system32\DRIVERS\nvmini.sys"
- "DisplayName" = "NVIDIA Compatible Windows Miniport Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdralw\Security]
- "Security"= "%variable%"

The virus may set the following Registry entries:

[HKEY_LOCAL_MACHINE\Software\Google]
- "Version" = "%variable%"
- "%number%" = "%variable%"

A string with variable content is used instead of %number%, %variable% .

Win32/Alman.NAB is a polymorphic file infector.

The virus searches local and network drives for files with one of the following extensions:

Executables are infected by appending the code of the virus to the last section.

The host file is modified in a way that causes the virus to be executed prior to running the original code.

It avoids files which contain any of the following strings in their path:

QQ
WINNT
WINDOWS
LOCAL SETTINGS\TEMP

Files with the following names are not infected:

zhengtu.exe
audition.exe
kartrider.exe
nmservice.exe
ca.exe
nmcosrv.exe
nsstarter.exe
maplestory.exe
neuz.exe
zfs.exe
gc.exe
mts.exe
hs.exe
mhclient-connect.exe
dragonraja.exe
nbt-dragonraja2006.exe
wb-service.exe
game.exe
xlqy2.exe
sealspeed.exe
asktao.exe
dbfsupdate.exe
autoupdate.exe
dk2.exe
main.exe
userpic.exe
zuonline.exe
config.exe
mjonline.exe
patcher.exe
meteor.exe
cabalmain.exe
cabalmain9x.exe
cabal.exe
au_unins_web.exe
xy2.exe
flyff.exe
xy2player.exe
trojankiller.exe
patchupdate.exe
ztconfig.exe
woool.exe
wooolcfg.exe
wow.exe
repair.exe
launcher.exe

The virus searches for computers in the local network.

It tries to copy itself into the root folder of the C:\ drive on a remote machine using the following name:

The file is then remotely executed.

The following usernames are used:

Administrator

The following passwords are used:

(empty password)
admin
1
111
123
aaa
12345
123456789
654321
!@#$
asdf
asdfgh
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
qwer
admin123
love
test123
owner
mypass123
root
letmein
qwerty
abc123
password
monkey
password1

The following information is collected:

The virus attempts to send gathered information to a remote machine.

The virus contains a list of URLs. The HTTP protocol is used in the communication.

The virus can download and execute a file from the Internet.

The file is stored in the following location:

%temp%\%variable%
%windir%\AppPatch\AcPlugin.dll

The virus can modify the following file:

%system%\drivers\RsBoot.sys

The virus disables various security related applications.

The virus terminates processes with any of the following strings in the path:

sxs.exe
lying.exe
logo1_.exe
logo_1.exe
fuckjacks.exe
spoclsv.exe
nvscv32.exe
svch0st.exe
c0nime.exe
iexpl0re.exe
ssopure.exe
upxdnd.exe
wdfmgr32.exe
spo0lsv.exe
ncscv32.exe
iexpl0re.exe
ctmontv.exe
svhost32.exe
rundl132.exe
msvce32.exe
rpcs.exe
sysbmw.exe
tempicon.exe
sysload3.exe
run1132.exe
msdccrt.exe
wsvbs.exe
cmdbcs.exe
\com\lsass.exe
\com\smss.exe
\winnt\iexplore.exe
\system\internat.exe
\winnt\realschd.exe
\windows\iexplore.exe
\windows\realschd.exe
\program files\explorer.exe

The virus hooks the following Windows APIs:

Некоторые определения, встречающиеся в описании.
Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%windir% - каталог, в который установлена ОС Windows.

Детальное описание вируса Win32.Transcorder.B.
1. Источники попадания в машину.
Вирус начал свое распространение примерно в январе-марте 2008 года. Основным источником его распространения являются, как обычно, файло-обменные сети. Вирус может попадать в каталоги установленных на машинах программ файло-обмена в зараженных дистрибутивах программного софта, переданных Вам друзьями или знакомыми. К сожалению, большинство пользователей упорно игнорируют антивирусные программы или просто не обновляют антивирусные базы, в результате чего "просыпают" попадание вируса в свои машины. Как результат, инфицированные компьютеры становятся рассадниками вирусов для десятков или даже сотен др. компьютеров. Потенциальную опасность также могут представлять CD/DVD-диски, записанные на таких "чистых" машинах, т.к. очевидно, что среди записанных на них (дисках) файлов окажутся и инфицированные.
Кроме того, данный вариант вируса способен распространять себя по локальной офисной сети или устанавливаться какой-либо ранее попавшей в компьютер вредоносной программой через сеть Интернет, а также путем копирования инфицированных файлов на СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.), используя технологию активации при помощи вредоносных файлов autorun.inf.

2. Инсталляция в систему и внедрение в процессы ядра ОС Windows.
Руткит-драйвер и сокрытие вредоносных компонентов от глаз пользователя.
Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Transcorder.A . Отличия заключаются в следующем:

- вредоносный linkinfo.dll имеет размер 46592 байта;

- устанавливаемый в систему руткит имеет размер 17152 байта и называется IsDrv118.sys. У руткита поддельная цифровая подпись, передранная с системного драйвера nv4_mini.sys (отличатся только номером версии) для поддержки видеокарт от производителя "NVidia Corporation";

- в записях ключей реестра, связанных с сервисом руткита, имя cdralw заменено на nvmini (т.е. в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvmini\ и др.);

- изменен список файлов, предполагаемых для сокрытия на дисках:

ISPUBDRV
ISDRV1
RKREVEAL
PROCEXP
SAFEMON
RKHDRV10
NPF
IRIS
NPPTNT
DUMP_WMIMMC
SPLITTER
EAGLENT
UPXDHND.DLL
CMDBCS.DLL
WSVBS.DLL
MDDDSCCRT.DLL
RUND11.DLL
LGSYM.DLL
RDSHOST.DLL
RDFHOST.DLL
RDIHOST.DLL
RPCS.DLL
NOTEPAD.DLL
DLLHOSTS.DLL
WINDHCP.DLL
RICHDLL.DLL
WININFO.RXK
DLLWM.DLL

- данный вариант вируса не содержит той ошибки, которая присутствовала в его предыдущей модификации, т.е. процедура сокрытия компонентов зловреда всегда работает корректно.

3. Заражение PE EXE-файлов на локальном компьютере.
Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Transcorder.A . Отличия заключаются в следующем:

- результирующее увеличение размера инфицированной программы по отношению к исходному составляет 38912 байт, однако в некоторых случаях может быть немного больше;

- из списка названий файлов, которые не подлежат заражению, убраны первые 3: launcher.exe, repair.exe и wow.exe.

4. Поиск и заражение файлов на сетевых компьютерах.
Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Transcorder.A . Отличия заключаются в следующем:

- вирус ищет на сетевом диске подкаталог \drivers\, куда копирует свой руткит-драйвер, присваивая ему название ltkglg.sys.

4.1. Заражение СНИ. Потенциальная опасность потери пользовательских данных.
Если к инфицированному компьютеру подключается флэшка, карта памяти или какое-либо иное съемное устройство для записи информации посредством USB-порта, то вирус заражает устройство, записывая в его корень 2 следующих файла:

%drivename%\boot.exe - компрессированная и зашифрованная программа-"мастер" (размер 40960 байт), предназначенная для инсталляции вируса в систему;

%drivename%\Autorun.inf - вредоносный файл-дроппер (размер 143 байта), используемый для автозапуска компонента boot.exe при обращении к инфицированному СНИ через Проводник.

Обоим файлам присвоены для маскировки атрибуты "скрытый" и "системный", а также "только для чтения" и "архивный" ("hidden", "system", "read only" и "archive" соответственно). Первые 2 из перечисленных атрибутов делают компоненты вируса невидимыми для визуального просмотра в том случае, если юзер использует для работы с файлами и папками Проводник или программу-менеджер папок и файлов Total Commnader, у которых в настройках "по умолчанию" отключен показ объектов с данными атрибутами.
Принцип неконтролируемого запуска вируса при обращении к файлу autorun.inf через Проводник основан на свойстве Windows автоматически считывать и выполнять инструкции из файлов определенного формата и с определенными именами при чтении данных с СНИ, представляющих собой автозагрузочные диски для работы под оболочкой Windows. Детально о назначении autorun.inf и неконтролируемом запуске вредоносного кода посредством данного файла я писал в статье о троянской программе Trojan.LittleWorm (aka Win32.Worm.Small).
Дата и время модификации данных файлов соответствует реальному моменту времени, когда вирус произвел их запись на носитель.
Следует сразу отметить, что в процедуре заражения СНИ присутствуют 2 ошибки - простая и опасная. Простая заключается в том, что вирус воспринимает некоторые съемные носители как дополнительное аппаратное устройство, а не носитель информации, поэтому не заражает их. Опасная заключается в том, что вирус скрывает на СНИ, который заразил (заражение производится сразу после подключения устройства к USB-порту), не только вредоносные файлы boot.exe и %\Autorun.inf, но и полностью все содержимое, записанное на носитель. В результате, на инфицированном компьютере невозможно получить доступ или просто увидеть файлы и папки, содержащиеся на инфицированном СНИ; также с него будут "пропадать" прямо на глазах файлы, которые пользователь попытается туда скопировать. В реальности записанная на СНИ информация остается в полной сохранности, только увидеть ее и получить доступ невозможно, пока вирус присутствует в памяти компьютера. В том, что на СНИ есть невидимая информация легко убедиться, если посмотреть в его свойствах и сравнить величины общей емкости и количества свободного места на носителе - они, естественно, будут отличаться. Но при этом многие пользователи бросаются форматировать носитель, опасаясь, что произошло повреждение его формата, в результате чего вся полезная информация на таком носителе таки оказывается полностью утерянной.

5. Действия вируса во время работы в сети Интернет.
Похищение конфиденциальных пользовательских данных.
Этот раздел практически полностью идентичен приведенному в описании варианта Win32.Transcorder.A . Отличия заключаются в следующем:

- название скачиваемого руткита заменено с IsDrv122.sys на IsDrv118.sys;

- в зависимости от некоторых условий, вирус может модифицировать содержимое системного файла %windir%\System32\drivers\etc\hosts, который предназначен для размещения таблицы соответствий IP-адресов именам компьютеров локальной сети или доменным именам сайтов в сети Интернет;

- ссылки, по которым вирус скачивает файлы из сети, имеют следующий вид:

6. Детектирование вируса и лечение машины.
На момент разработки данного описания антивирусные программы уже обнаруживали вирус Win32.Transcorder.B и его компоненты под нижеприведенными номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл Autorun.inf: Worm.Win32.AutoRun.vcz
файл boot.exe: Trojan-Dropper.Win32.Small.axz
файл linkinfo.dll: Trojan-Downloader.Win32.Agent.bsi
файл IsDrv118.sys: Rootkit.Win32.Agent.ga
файл AcPlugin.dll (оба варианта): Trojan-Spy.Win32.FtpSend.b
в зараженных файлах: Virus.Win32.Alman.b (лечит файлы от вируса)

Антивирус BitDefender Professional:
файл Autorun.inf: Trojan.Autorun.LT
файл boot.exe: Win32.Almanahe.B
файл linkinfo.dll: Win32.Almanahe.B
файл IsDrv118.sys: Win32.Almanahe.B
файл AcPlugin.dll (оба варианта): Win32.Almanahe.F
в зараженных файлах: Win32.Almanahe.D (лечит файлы от вируса, оставляя их размер в неизменном виде)

Антивирус DrWeb:
файл Autorun.inf: Win32.HLLW.Autoruner
файл boot.exe: Win32.Alman
файл linkinfo.dll: Win32.Alman
файл IsDrv118.sys: Win32.Alman
файл AcPlugin.dll (оба варианта): Win32.Alman.4
в зараженных файлах: Win32.Alman.1 (лечит файлы от вируса)

В принципе, самостоятельно осуществить процесс лечения от вируса для рядового пользователя просто нереально, если учесть все вышеизложенные приемы, которые использует вирус. Поэтому наиболее оптимальным решением вирусной проблемы, на мой взгляд, является перенос винчестера на др. неинфицированную машину, его подключение к ней, как второстепенного, с последующим пролечиванием всей находящейся на нем информации. В процессе лечения все файлы, неподдающиеся лечению и детектируемые под вышеуказанными номенклатурными названиями, необходимо просто удалить. После лечения некоторые программы могут оказаться нерабочими - причиной является встроенная в такие программы процедура проверки оригинальности их кода, которая заключается в подсчете т.н. CRC-значения (контрольной суммы) определенных участков кода файлов и сопоставлении полученных значений с оригинальными. К таким программам относится, например, Nero Burning ROM (программа для записи СD- и DVD-дисков). Учитывая тот факт, что вылеченные файлы содержат в своих заголовках некоторое количество измененных вирусом байт, вышеуказанная программа и ей подобные при своем запуске сразу же выдают соответствующее сообщение о расхождении значений контрольной суммы с оригинальным и завершают свою работу. Такие файлы также следует заменить.
Следует отметить, что некоторое количество вирусных копий может присутствовать в файлах с расширениями "CHK" (последние являются файлами, резервируемыми некоторыми версиями ОС Windows в случаях обнаружения сбойных кластеров на жестком диске системным приложением Scandisk).

Репутация:
2879

Маньяк

Репутация:
2396

Справжній Львяра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\NVMINI\"ImagePath"= "system32\drivers\nvmini.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\NVMINI\"DisplayName" = "nvmini"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVMINI\0000\Control\"ActiveService" = "nvmini"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVMINI\0000\"Service" = "nvmini"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_NVMINI\0000\Control\"ActiveService" = "nvmini"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_NVMINI\0000\"Service" = "nvmini"

ОСНОВНОЙ ВОПРОС К УВАЖАЕМЫМ СПЕЦАМ!
Как удалить эти записи из реестра? так-как ветки
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_NVMINI\ и ей подобные система не дает удалить даже в SAVE-MODE!
Может есть какая спец програмулина, которая сразу вылечит систему, почистит реестр и вылечит файлы? Хотя файлы лечатся DrWeb-ом, так что достаточно вылечить саму систему!

Может я написал слищком много. но посторался максимально описать проблему и то, что уже было испытано! Помогите плииз! нодо срочно спасать сетку!

Реестр лутше чистить из-под WinPE с ЛайвСД.

5. Посмотри ветки реестра, отвечающие за автозапуск.
Посмотри также список запущенных сервисов и попробуй банально остановить сервисы руткита.
Посмотри список процессов.

Вот последняя инфа по этой заразе:

Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).

При запуске вирус извлекает из своего тела следующие файлы:
* %WinDir%\AppPatch\deamon.dll — имеет размер 3072 байта;
* %WinDir%\c_126.nls — имеет размер 31744 байта.

Вредоносная программа создает ключ реестра, куда записывает ссылку на свой исполняемый файл:
[HKCR\CLSID\]

Вирус заражает все доступные для записи исполняемые файлы Windows (PE-EXE) на всех дисках зараженного компьютера и во всех доступных сетевых папках. Не заражаются файлы со следующими именами:
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

Затем скачивает файлы из данного списка во временную папку Windows и запускает их на исполнение.

И сохранял их соответствующим образом:
* %Temp%\css.jpg — имеет размер 62792 байта, детектируется Антивирусом Касперского
как Trojan-PSW.Win32.OnLineGames.afd;
* %Temp%\wow.jpg — имеет размер 40241 байт, детектируется Антивирусом Касперского
как Trojan-PSW.Win32.WOW.sv.

ЗЫ
Вспомнил, а ты пробовал сканировать систему AVZ в режиме "Блокировать работу RootKit"?

Это пробовал, работает?

Походу 7-й каспер с последними обновлеными базами его лечит полностью.
Бегом в "Варезник" - качай 7-ку (8-я пока бета), обнови базы и лечи.

Репутация:
7

Дух

Благодарности: 347331

Репутация:
2879

Маньяк

Репутация:
2396

Справжній Львяра

Репутация:
7

Дух

Не нашел, потому что nvmini руткит уровня ядра, котрый и скрывает эти файлы. В сейф моде этот драйвер не подгружается, по этому файлы вируса (linkinfo.dll и nvimini.sys) видно.

да, настоящая linkinfo.dll должна находится в c:\windows\system32, а та, которую нужно удалить в C:\windows

Вывести этого алмана трудно, так как он заражает exe файлы.

Репутация:
1

Дух

Благодарности: 347331

Репутация:
2879

Маньяк

Репутация:
2

Дух

Читайте также: