В поисках очередного способа унижения троянцев вымогателей пришла в голову мысль воспользоваться отложенным переименованием средствами системного реестра. А тут и клиент как нельзя более подходящий подвернулся - Trojan-Ransom.Win32.PogBlock.xg Блокирование системы получается несколько компромиссным: С одной стороны перекрыт практически весь экран, но с другой - эксплорер запущен, о чем свидетельствует наличие меню Пуск. Детальное изучение вредоноса показало, что заражение происходит так: 1. Троянец извлекает из своего тела исполняемый файл и помещает его во временный каталог текущего пользователя. 2. Кроме этого, в тот же каталог, извлекается вредоносная библиотека. 3. Автоматический запуск осуществляется банальным добавлением извлеченного исполняемого файла в ключ: [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] Windows Update Service=COCUME~1 estLOCALS~1Tempuserwgkg.exe Нажмите, чтобы раскрыть... Бывалый антивирусный аналитик ухмыльнется и скажет: Перезагрузка в безопасном режиме позволит избежать запуска троянца. И будет прав. Но мы то хотим использовать необычный способ. Механизм самозащиты троянца заключается в следующем - сообщение о выкупе выводит исполняемый файл. Этот же файл инжектирует код из библиотеки во все запущенные процессы. Этот код следит за тем, запущен ли исполняемый файл и если не обнаруживает вредоносного процесса, то запускает его. Таким образом просто завершить вредоносный процесс не достаточно. При этом троянец постоянно следит и за ключом автозапуска и восстанавливает его в случае удаления. Удалить вредоносный исполняемый файл и библиотеку нельзя, так как они постоянно запущенны. Вот тут самое время вспомнить об отложенном переименовании: В системном реестре начиная с Windows 2000 есть возможность создать в ключе HKLMSYSTEMCurrentControlSetControlSession Manager мультистрочныйпараметр PendingFileRenameOperations Этот параметр предусматривает наличие двух строк: в первой имя файла, который нужно переименовать; во второй - имя, на которое нужно сменить. Если второй строки не задать, то файл будет просто удалён. Причем происходит все это на очень ранней стадии загрузки операционной системы - до того, как срабатывают пользовательские автозапуски. При этом имя файла нужно задавать с полным путём к нему, добавив перед ним два знака вопроса в обратных слешах. В нашем случае путь к вредоносному файлу будет выглядеть так: ??Cocuments and Settings estLocal SettingsTempuserwgkg.exe Нажмите, чтобы раскрыть... Но возникает вопрос: А как же записать это в системный реестр, если весь экран перекрыт требованием выкупа? Поможет в этом... автораннер! Как уже было сказано - эксплорер запущен, а значит и автоматический запуск сработает (если конечно не выключать его). Можно воспользоваться флешкой или записать диск. На сменный носитель нужно поместить autorun.inf примерно такого содержания: Листинг : autorun.inf [autorun] open=run.bat label=ReRans [Content] MusicFiles=false PictureFiles=false VideoFiles=false Нажмите, чтобы раскрыть... Код позаимствован из настоящего троянца-автораннера. На тот же носитель нужно поместить батник, который в данном примере носит незамысловатое название run.bat. В этот файл нужно вписать консольную команду для работы с системным реестром: Листинг : Описание reg add HKLMSYSTEMCurrentControlSetControlSession Manager /v PendingFileRenameOperations /t REG_MULTI_SZ /d ??Cocuments and Settings estLocal SettingsTempuserwgkg.exe2 /f reg add HKLMSYSTEMCurrentControlSetControlSession Manager - добавитьвуказанныйключ. Нажмите, чтобы раскрыть... Вставляем флешку/диск в зараженный компьютер. Перезагружаемся и получаем нормальный рабочий стол А во временном каталоге текущего пользователя мирно лежит переименованный троянец и незапущенная библиотека, с которыми можно продолжать эксперименты: Всё это, разумеется, возможно только после детального изучения троянца, но основная идея - для удаления/переименования можно воспользоваться ключом отложенного переименования, который, в свою очередь, можно автоматически создать при помощи той же технологии, которую используют авторан-черви.
