Вирус hidrag что это
Детальное описание вируса Win32.HLLP.HiDrag.
1. Источники попадания в машину.
Основным источником распространения данного вируса являются, как обычно, файло-обменные сети. Вирус может попадать в каталоги установленных на машинах программ файло-обмена как под видом "полезных" программ, так и просто в зараженных дистрибутивах программного софта, переданных Вам друзьями или знакомыми. К сожалению, большинство пользователей упорно игнорируют антивирусные программы или просто не обновляют антивирусные базы, в результате чего "просыпают" попадание вируса в свои машины. Как результат, инфицированные компьютеры становятся рассадниками вирусов для десятков или даже сотен других компьютеров. Потенциальную опасность также могут представлять CD/DVD-диски, записанные на таких "чистых" машинах, т.к. очевидно, что среди записанных на них (дисках) файлов окажутся и инфицированные. Не исключается также и возможность подхватить данный вирус в том случае, если Вы пользуетесь для переноса/хранения информации флэшками (USB Flash Memory Storage) или дискетами.
2. Инсталляция в систему.
Win32.HLLP.HiDrag представляет собой резидентную Windows-программу (т.н. PE EXE-файл, содержащий в своем заголовке метку "PE"; к таковым относятся программы с 32-битным кодом, написанные на языках высокого уровня, таких как, например, C++ Builder, Borland Turbo Pascal (Delphi) и пр., создаваемые для работы в среде Windows). Дееспособен под всеми существующими на сегодняшний день ОС Windows.
Код программы Win32.HLLP.HiDrag защищен крипт-кодом, который расшифровывается при запуске вируса с помощью специально встроенной процедуры расшифровки прямо в память машины без создания каких-либо временных файлов.
Схематически строение кода вируса выглядит следующим образом:
Данный файл обладает следующими характерными особенностями:
- размер файла: 36352 байта ;
- атрибуты: "Архивный" и "Системный" ("archive" и "hidden", благодаря чему при настройках системы "по умолчанию" данный файл невозможно обнаружить, т.к. Windows не показывает "скрытые" файлы);
- дата модификации: 24.08.2001 года (всегда одна и та же);
- время модификации: значение переменной "hh" (часы) выбирается из вариантов "21" или "22"; значения переменных "mm" и "ss" (минуты и секунды соответственно) - либо "00", либо берутся от зараженного файла, из которого был произведен запуск вируса.
Файл svchost.exe остается резидентно в памяти компьютера вплоть до завершения работы Windows. Для возможности активизации этого файла при каждом старте системы вирус создает ключ под названием "PowerManager" в регистрах автозапуска системного реестра:
Также вирус расшифровывает и записывает в дополнительную секцию данного файла (см. вышеприведенную схему) цифровую подпись, которая полностью идентична Microsoft'овской и передрана из одноименного системного файла Windows XP - WINDOWS\SYSTEM32\svchost.exe. В результате этого, вирус получает возможность маскироваться в системе под внутренний сервисный процесс. При просмотре свойств данного файла система видит его как один из компонентов ядра:
, где %path% - местоположение запущенного вирусного файла, а name.ext - его название. Таким образом, роль компонента svchost.exe выполняет запущенный пользователем файл с оригинальной вирусной программой. При этом в системном каталоге файл svchost.exe не создается. Если в дальнейшем будет запущен какой-либо из зараженных файлов, то svchost.exe будет создан в системном каталоге, однако вирус не будет дописывать в системный реестр дополнительный ключ и активным по-прежнему останется вышеописанный файл.
3. Заражение файлов.
После инсталляции в систему вирус ждет несколько минут, не производя никаких действий, чтобы скрыть свое присутствие в системе и какую-либо видимую активность. Затем начинает поиск и заражение PE EXE- (программ) и SCR- (экранных заставок) файлов. Этот процесс протекает по следующей схеме: сперва вирус ищет 6 файлов указанных форматов в корневом системном каталоге, т.е.
Затем останавливает процесс поиска и заражения файлов, ждет 5-10 минут и заражает еще 6 файлов, после чего опять ждет указанный промежуток времени и возобновляет данную процедуру.
Сразу следует сказать, что вирус выбирает для заражения только те файлы, размер которых превышает примерно 110 кб, а остальные не трогает. Перед заражением каждого файла, чтобы скрыть свое присутствие в системе, вирус считывает его (файла) атрибуты, дату и время модификации, заражает файл, а затем присваивает ему эти исходные данные назад. В результате этого, система не фиксирует данные зараженные файлы, как измененные, что существенно затрудняет визуальный поиск последних.
Когда в корневом каталоге C:\WINDOWS все соответствующие файлы заражены, вирус переходит к заражению по вышеуказанной схеме в следующих подкаталогах системной директории:
для Windows 9X/ME:
C:\WINDOWS\SYSTEM\
для Windows 2K/XP:
C:\WINDOWS\SYSTEM32\
, включая файлы и во всех поддиректориях данных каталогов. Позднее вирус переходит к заражению файлов во всех подкаталогах системной директории
Что касается заражения прочих файлов, распололоженных в остальных папках системного диска, а также на др. логических дисках машины, включая и сетевые, открытые для полного или частичного доступа, то оно происходит в зависимости от каких-то внутренних счетчиков вируса. По этой причине файлы на таких дисках довольно долгое время могут оставаться чистыми.
При поиске новых файлов для заражения вирус проверяет их на наличие своего кода: сравнивает свой основной код из установленного в систему файла с начальным содержимым файла-"жертвы", благодаря чему каждый зараженный файл содержит только 1 копию вируса. При запуске уже зараженного файла вирус сперва лечит его, а потом запускает на выполнение (об этом детально будет расказано далее по тексту).
4. Принцип заражения файлов.
При заражении файлов вирус обходит атрибут "только для чтения" ("read only") и использует довольно сложный алгоритм записи своего кода в файлы. При этом применяет метод, используемый в свое время в старых файловых вирусах HLLP-семейства (High Level Language Program): перезаписывает обнаруженный EXE- или SCR-файл своим кодом, к которому дописывает в конец код оригинальной программы. Однако вирус не просто записывает свое тело перед кодом оригинальной программы, а реконструирует последнюю, меняя в ней порядок расположения логических секций и шифруя ее заголовок, первую и одну из центральных секций. Схематически это выглядит так:
- управление получает находящаяся в нашем файле копия вируса, которая обращается к файлу WINDOWS\ svchost.exe и вызывает в нем специальную подпроцедуру, после чего работа зараженного файла завершается;
- получив вызов от своей копии из зараженного файла, вирусный svchost.exe (далее просто "вирус") считывает его (зараженного файла) местоположение и сохраняет данную информацию в системной памяти как переменную А;
- по данным из переменной А вирус находит наш зараженный файл, расшифровывает и считывает из него ту часть кода, которая содержит схему реконструкции оригинальной программы после заражения, и сохраняет эти данные в системной памяти как переменную В;
- далее вирус считывает характеристики зараженного файла (его атрибуты, дату и время модификации) и сохраняет эти данные в системной памяти как переменную С;
- затем вирус удаляет свою копию из нашего зараженного файла, а также блок со схемой его (файла) реконструирования, после чего, руководствуясь данными из переменной В, расшифровывает закриптованные блоки зараженного файла, а затем переставляет все блоки файла к исходному виду, который он (файл) имел до заражения;
- и последнее, что делает вирус, - это присваивает файлу соответствующие характеристики, которые считывает из переменной С, удаляет из памяти переменные А,В,С и пересохраняет файл, после чего запускает его на выполнение.
Такой способ лечения вируса самим вирусом довольно оригинальный и даже на маломощных машинах вызывает задержку при запуске оригинальной программы из зараженного файла максимум всего на пару секунд. Однако есть и негативная сторона: при запуске зараженного файла с носителя, на который невозможна поточная запись (например, CD-диск или флэшка/дискета с джампером, переключенным в положение "блокировка записи"), оригинальная программа просто не запустится. Также она не сможет быть запущена и в том случае, если зараженный файл запускается на чистой от Win32.HLLP.HiDrag машине, но в директории WINDOWS которой уже присутствует актиная программа какого-либо др. вируса или троянца с названием svchost.exe .
5. Прочее.
В коде вируса содержатся следующие зашифрованные тексты:
Hidden Dragon virus. Born in a tropical swamp.
Manages the power save features of the computer.
Свое первое название - "Hidrag" - вирус получил по фрагментам первого текста - " Hi dden Drag on"; второе - "Jeefo" - по фрагменту кода этого же текста в зашифрованном виде, который случайным образом выглядит в теле вируса как "I jeefo !".
6. Детектирование вируса и лечение машины.
На момент создания данного описания антивирусные программы обнаруживают вирус под следующими номенклатурными названиями:
Антивирус Kaspersky AntiVirus : Virus.Win32.Hidrag.a (лечит зараженные файлы)
Антивирус BitDefender Professional : Win32.Jeefo.A (лечит зараженные файлы)
Trojan-Downloader.Win32.Small.bsuj
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
подробнее
Trojan-Downloader.Win32.Small.bsum
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
подробнееTrojan-Downloader.Win32.Agent.djuz
Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.
подробнееTrojan-Downloader.Java.Agent.kf
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.
подробнееTrojan-Downloader.Java.Agent.lc
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.
Virus, компьютерный вирус
Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++. Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).
При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:
При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).
После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки
Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.
Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу.
В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.
При этом заражение файлов не происходит, если выполняется одно из следующих условий:
Все строковые константы в теле вируса зашифрованы.
Рекомендации по удалению
-
Удалить ключ реестра:
Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.
Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.
Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.
Вредонос получает права администратора, деактивировать которые невозможно.
Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.
Windows не предоставляет графический интерфейс для просмотра полного списка.
Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.
Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.
На данный момент только компания AT&T прекратила использование супер cookie-файлов.
По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.
ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.
Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.
тут тоже жалуются на подобную беду.. посмотри, может, поможет.
![]()
- . ушел.
![]()
![]()
![]()
![]()
| QUOTE (Vinny @ Jul 18 2006, 22:27) |
| может попробовать снять диск и пролечить на другой машине ? |
![]()
- Плохой :)
![]()
![]()
![]()
| QUOTE (Dr.DeatH @ Jul 19 2006, 09:23) |
| Он вроде не заражет файл svchost, а создает себя с таким же именем но в другой папке. Нормальный svchost.exe лежит system32. Т.е. вирус можно спокойно удалять. |
![]()
- reader-writer
![]()
![]()
![]()
Был.
То что он безобидный - гон. У меня проги некоторые перестали запускаться.
Выход - это перейти в защищенный режим и запустить прилагаемую программку. Плюс, еще надо удалить svhost.exe из папки Windows.
P.S. у меня было около 3000 зараженных файлов
P.P.S. У файлика надо убрать ".jpg"
| QUOTE (gargos @ Jul 18 2006, 22:24) |
| вирус заразил системный процесс svchost.exe и не лечиться. Юзаю антивирус Касперского 5.0. |
![]()
- _
![]()
![]()
![]()
![]()
![]()
| QUOTE (ASUS @ Sep 13 2006, 16:47) |
| Если вирусняк зарозил тебе SVCHOT, то ты его ни как не вылечишь, тебе надо будет ждать пока полностью система не крякнется или побыринькомя её переустановить! |
Гм. Похоже, у нас появился очередной "птиц-говорун".
1. Если нечего сказать, то лучше молчать.
2. SVCHOST (f вовсе не "горячий")
3. Отвечать на темы двухмесячной давности, конечно, не возбраняется, но по существу.
Я доступно излагаю?
Из шести ваших сообщений у меня претензии минимум к трем. Может, мне проще грохнуть вас сразу?
Trojan-Downloader.Win32.Small.bsuj
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
подробнееTrojan-Downloader.Win32.Small.bsum
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
подробнееTrojan-Downloader.Win32.Agent.djuz
Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.
подробнееTrojan-Downloader.Java.Agent.kf
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.
подробнееTrojan-Downloader.Java.Agent.lc
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.
Virus, компьютерный вирус
Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++. Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).
При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:
При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).
После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки
Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.
Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу.
В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.
При этом заражение файлов не происходит, если выполняется одно из следующих условий:
Все строковые константы в теле вируса зашифрованы.
Рекомендации по удалению
-
Удалить ключ реестра:
Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.
Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.
Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.
Вредонос получает права администратора, деактивировать которые невозможно.
Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.
Windows не предоставляет графический интерфейс для просмотра полного списка.
Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.
Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.
На данный момент только компания AT&T прекратила использование супер cookie-файлов.
По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.
ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.
Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.
Версия системы:
7.88 (11.04.2020)
JS-v.1.44 | CSS-v.3.39
Общие новости:
13.04.2020, 00:02
Последний вопрос:
24.04.2020, 20:46
Всего: 152134
Последний ответ:
24.04.2020, 15:09
Всего: 260038
Последняя рассылка:
24.04.2020, 19:15
Администрирование, установка, настройка, восстановление, командная строка и консоль ОС Windows.
[администратор рассылки: Андреенков Владимир (Академик)]
| Коцюрбенко Алексей Владимирович Статус: Старший модератор Рейтинг: 1027 | solowey Статус: Профессионал Рейтинг: 552 |  | CradleA Статус: Профессор Рейтинг: 547 |
| | Перейти к консультации №: | |
Help Эксперты! Что за вирус Win32.Hidrag. Этот вирус нашел у меня Антивирус Касперского. Hellp. Что мне делать? Как Вылечить файлы?
Состояние: Консультация закрыта
| Консультировал: John Freeman Дата отправки: 18.04.2005, 23:58
|
