Программа - червь, создающая свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Размер скрипта составляет 28298 байт. Размер скомпилированного скрипта около - 1,02 МБ.
Инсталляция
Если червь запускается с правами администратора – выполняет следующий функционал:- Удаляет следующие файлы:
%System%\setup.ini %System%\regsvr.exe %System%\winhelp.exe %WinDir%\regsvr.exe
- Переименовывает файл:
%System%\rundll.exe
в%System%\delete.exe
- Восстанавливает автозапуск "Проводника" перезаписав следующие значения в системный реестр:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe"
- Разблокирует запуск "Диспетчера задач" и "Редактора реестра" установив следующие значения в ключе системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=0 "DisableRegistryTools"=0
- Открывает пункт меню "Свoйcтва пaпки" в "Проводнике" и в "Панели инструментов", изменяя следующий ключ реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NofolderOptions" = 0
- Останавливает выполнение запланированных в Windows задач, изменяя ключ реестра:
[HKLM\System\CurrentControlSet\Services\Schedule] "AtTaskMaxHours" = 0
- Отключает автозапуск приложения "Msn Messsenger", удаляя параметр "Msn Messsenger" из ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
System%\28463\svchost.exeДанный файл имеет размер 525312 байт и детектируется антивирусом Касперского как not-a-virus:Monitor.Win32.Ardamax.te.
%System%\28463\svchost.001Данный файл имеет размер 2800 байт и детектируется антивирусом Касперского как IM-Worm.Win32.Sohanad.it.
Также копирует себя под такими именами:
%System%\regsvr.exe %System%\svchost.exe %WinDir%\regsvr.exeВсем своим копиям устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Msn Messsenger"="C:\Windows\system32\regsvr.exe" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe regsvr.exe "Если червь запускается, не имея прав администратора – создает каталог с именем
%Documents and Settings%\%Current User%\Application Data\ supportсоздает в нем копию своего исполняемого файла с именем:
%Documents and Settings%\%Current User%\Application Data\support\regsvr.exeТакже вредонос извлекает в данный каталог файлы:
%Documents and Settings%\%Current User%\ Application Data\support\svchost.exe %Documents and Settings%\%Current User%\Application Data\support\svchost.001и запускает файл "svchost.exe" на выполнение.
Деструктивная активность
Затем червь запускает на выполнение файл:%System%\28463\svchost.exeЗапрещает запуск редактора реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=1После этого при помощи командной строки создает задание, которое каждый день в 9:00 утра запускает на выполнение файл:
%System%\svchost.exeДалее открывает на запись файл:
%System%\setup.iniи сохраняет в него команды автозапуска файла "regsvr.exe":
[Autorun] Open=regsvr.exe Shellexecute=regsvr.exe Shell\Open\command=regsvr.exe Shell=OpenФайл имеет размер 96 байт и детектируется антивирусом Касперского как Trojan.Win32.AutoRun.ke. Файлу червь устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Также троянец пытается выполнить загрузку файла, который располагается по следующим ссылкам:
http://ya***o.com/setting.xls http://ya***o.com/setting.docи затем сохранить его с именем:
%System%\setting.iniНа момент создания описания ссылка не работала.
Сохраненному файлу устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Загруженный файл хранит в себе ссылки, по которым червь загружает другое вредоносное ПО. Вредонос собирает ссылки, предварительно выполнив чтение из секции "[setting]", файла настроек "setting.ini", значений параметров "website", "filedownload1", "filedownload2", "filedownload3", "filedownload4", "filedownload5". Загруженный исполняемый файл сохраняется в системном каталоге Windows под именем, указанным в параметрах "filedownload1", "filedownload2", "filedownload3", "filedownload4", "filedownload5". Всем загруженным файлам червь устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Затем, с интервалом в 3 секунды, запускает файлы на выполнение.
Далее червь считывает из файла "setting.ini" строки из ключей "tin[X]" и ссылку из ключа "myweb" секции "[setting]". Где X – число от 0 до 9. Если строки и вэб-адрес отсутствуют - червь, по умолчанию, в качестве URL использует адрес – "http://yahoo.com", а в качестве строк используются следующие:
cyber cafe scandal visit www. World Business news broadcaster www. Regular monthly income by wearing your shorts at the comfort of your home for more info www. Nfs carbon download www. Latest video shot of infosys girl www. Latest video shot of infosys girl www. stream Video of Nayanthara and Simbu www. Aishwarya Rai videos www. Free mobile games www. Nse going to crash for more www.Далее червь находит главное окно клиента мгновенных сообщений "Yahoo!Messenger" и затем имитируя работу пользователя отправляет сообщение всем пользователям из списка контактов. Телом сообщения является строка, выбранная случайным образом из списка приведенного выше:
System Configuration Registry Windows maskЕсли червь находит окна с именами "Bkav2006", "[FireLion]" – удаляет параметры "BkavFw" и "IEProtection", с ссылками на исполняемые файлы приложений, из ключа автозагрузки системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Распространение
Червь получает список всех общедоступных сетевых ресурсов, читая значения параметров ключа реестра:[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ WorkgroupCrawler\Shares]Во всех каталогах, которые открыты на полный доступ, а также подкаталогах, червь рекурсивно размещает копии своих вредоносных файлов:
%WinDir%\regsvr.exe %System%\regsvr.exeсоответственно под именами
\\<имя_сервера>\<имя_сетевого_ресурса>\New Folder .exe \\<имя_сервера>\<имя_сетевого_ресурса>\regsvr.exeФайл с именем:
%System%\setup.iniсохраняет под именем:
\\<имя_сервера>\<имя_сетевого_ресурса>\autorun.infЗатем файлу устанавливаются атрибуты "Только на чтение", "Скрытый", "Системный". Также данные файлы копируются на все съемные носители:
X:\autorun.inf X:\New Folder .exe X:\regsvr.exeгде X – буква съемного носителя.
После этого создает следующий параметр в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ WorkgroupCrawler\Shares] "shared"="\\New Folder .exe"
0 коммент.:
Отправить комментарий