понедельник, 6 декабря 2010 г.

Описание работы вируса IM-Worm.Win32. Sohanad.pw

Программа - червь, создающая свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Размер скрипта составляет 28298 байт. Размер скомпилированного скрипта около - 1,02 МБ.

Инсталляция

Если червь запускается с правами администратора – выполняет следующий функционал:
  • Удаляет следующие файлы:
    %System%\setup.ini
    %System%\regsvr.exe
    %System%\winhelp.exe
    %WinDir%\regsvr.exe
    
  • Переименовывает файл:
    %System%\rundll.exe
    в
    %System%\delete.exe
  • Восстанавливает автозапуск "Проводника" перезаписав следующие значения в системный реестр:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell" = "Explorer.exe"
  • Разблокирует запуск "Диспетчера задач" и "Редактора реестра" установив следующие значения в ключе системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableTaskMgr"=0
    "DisableRegistryTools"=0
    
  • Открывает пункт меню "Свoйcтва пaпки" в "Проводнике" и в "Панели инструментов", изменяя следующий ключ реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NofolderOptions" = 0
    
  • Останавливает выполнение запланированных в Windows задач, изменяя ключ реестра:
    [HKLM\System\CurrentControlSet\Services\Schedule] 
    "AtTaskMaxHours" = 0
    
  • Отключает автозапуск приложения "Msn Messsenger", удаляя параметр "Msn Messsenger" из ключа реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Затем червь создает в системном каталоге скрытый каталог с именем "28463" и затем извлекает в него файлы со следующими именами:
System%\28463\svchost.exe
Данный файл имеет размер 525312 байт и детектируется антивирусом Касперского как not-a-virus:Monitor.Win32.Ardamax.te.
%System%\28463\svchost.001
Данный файл имеет размер 2800 байт и детектируется антивирусом Касперского как IM-Worm.Win32.Sohanad.it.
Также копирует себя под такими именами:
%System%\regsvr.exe
%System%\svchost.exe
%WinDir%\regsvr.exe
Всем своим копиям устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Msn Messsenger"="C:\Windows\system32\regsvr.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe regsvr.exe "
Если червь запускается, не имея прав администратора – создает каталог с именем
%Documents and Settings%\%Current User%\Application Data\
support
создает в нем копию своего исполняемого файла с именем:
%Documents and Settings%\%Current User%\Application Data\support\regsvr.exe
Также вредонос извлекает в данный каталог файлы:
%Documents and Settings%\%Current User%\
Application Data\support\svchost.exe
%Documents and Settings%\%Current User%\Application Data\support\svchost.001
и запускает файл "svchost.exe" на выполнение.

Деструктивная активность

Затем червь запускает на выполнение файл:
%System%\28463\svchost.exe
Запрещает запуск редактора реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1
После этого при помощи командной строки создает задание, которое каждый день в 9:00 утра запускает на выполнение файл:
%System%\svchost.exe
Далее открывает на запись файл:
%System%\setup.ini
и сохраняет в него команды автозапуска файла "regsvr.exe":
[Autorun]
Open=regsvr.exe
Shellexecute=regsvr.exe
Shell\Open\command=regsvr.exe
Shell=Open
Файл имеет размер 96 байт и детектируется антивирусом Касперского как Trojan.Win32.AutoRun.ke. Файлу червь устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Также троянец пытается выполнить загрузку файла, который располагается по следующим ссылкам:
http://ya***o.com/setting.xls
http://ya***o.com/setting.doc
и затем сохранить его с именем:
%System%\setting.ini
На момент создания описания ссылка не работала.
Сохраненному файлу устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Загруженный файл хранит в себе ссылки, по которым червь загружает другое вредоносное ПО. Вредонос собирает ссылки, предварительно выполнив чтение из секции "[setting]", файла настроек "setting.ini", значений параметров "website", "filedownload1", "filedownload2", "filedownload3", "filedownload4", "filedownload5". Загруженный исполняемый файл сохраняется в системном каталоге Windows под именем, указанным в параметрах "filedownload1", "filedownload2", "filedownload3", "filedownload4", "filedownload5". Всем загруженным файлам червь устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Затем, с интервалом в 3 секунды, запускает файлы на выполнение.
Далее червь считывает из файла "setting.ini" строки из ключей "tin[X]" и ссылку из ключа "myweb" секции "[setting]". Где X – число от 0 до 9. Если строки и вэб-адрес отсутствуют - червь, по умолчанию, в качестве URL использует адрес – "http://yahoo.com", а в качестве строк используются следующие:
cyber cafe scandal visit www. 
World Business news broadcaster www.
Regular monthly income by wearing your 
shorts at the comfort of your home for more info www.
Nfs carbon download www.
Latest video shot of infosys girl www.
Latest video shot of infosys girl www.
stream Video of Nayanthara and Simbu  www.
Aishwarya Rai videos www.
Free mobile games www.
Nse going to crash for more www.
Далее червь находит главное окно клиента мгновенных сообщений "Yahoo!Messenger" и затем имитируя работу пользователя отправляет сообщение всем пользователям из списка контактов. Телом сообщения является строка, выбранная случайным образом из списка приведенного выше:
Также отправляет данную строку в виде поискового запроса из клиента. С интервалом в 1 секунду, червь пытается завершить процессы "game_y.exe" и "cmder.exe". Ищет и закрывает окна, заголовки которых содержат строки:
System Configuration
Registry
Windows mask
Если червь находит окна с именами "Bkav2006", "[FireLion]" – удаляет параметры "BkavFw" и "IEProtection", с ссылками на исполняемые файлы приложений, из ключа автозагрузки системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

Распространение

Червь получает список всех общедоступных сетевых ресурсов, читая значения параметров ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]
Во всех каталогах, которые открыты на полный доступ, а также подкаталогах, червь рекурсивно размещает копии своих вредоносных файлов:
%WinDir%\regsvr.exe
%System%\regsvr.exe
соответственно под именами
\\<имя_сервера>\<имя_сетевого_ресурса>\New Folder .exe
\\<имя_сервера>\<имя_сетевого_ресурса>\regsvr.exe
Файл с именем:
%System%\setup.ini
сохраняет под именем:
\\<имя_сервера>\<имя_сетевого_ресурса>\autorun.inf
Затем файлу устанавливаются атрибуты "Только на чтение", "Скрытый", "Системный". Также данные файлы копируются на все съемные носители:
X:\autorun.inf
X:\New Folder .exe
X:\regsvr.exe
где X – буква съемного носителя.
После этого создает следующий параметр в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]
"shared"="\\New Folder .exe"
Источник: securitylab.ru

0 коммент.:

Отправить комментарий