понедельник, 6 декабря 2010 г.

Описание работы вируса Virus.Win32. Sality.bh

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++. Имеет размер 70656 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 574 КБ.

Распространение

Копирует свое тело со случайным именем на все доступные на запись сетевые, логические и съемные диски, при этом расширение файла может быть ".exe", ".pif" или ".cmd", выбираемое случайным образом:
<X>:\<rnd>.<случайно выбираемое расширение файла>
Где <X> - буква зараженного раздела, <rnd> - случайный набор латинских букв.
Также помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл вредоноса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Копии тела вредоноса и файлу его автозапуска устанавливает атрибуты "скрытый" и "системный".
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR
Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.
Поиск файлов для заражения производится на всех разделах жесткого диска и доступных для записи сетевых ресурсах.


Деструктивная активность

Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
uxJLpe1m
  • Запрещает отображение скрытых файлов, добавив информацию в ключ системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced]
    "Hidden"=dword:00000002
  • Блокирует запуск Диспетчера задач Windows и Редактора реестра, создавая параметры ключа системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
    Policies\system]
    "DisableTaskMgr" = "1"
    "DisableRegistryTools" = "1"
    
  • Изменяет настройки Центра Обеспечения безопасности Windows, изменяя значения параметров ключей системного реестра на следующие:
    [HKLM\SOFTWARE\Microsoft\Security Center]
    "AntiVirusOverride" = "1"
    "AntiVirusDisableNotify" = "1"
    "FirewallDisableNotify" = "1"
    "FirewallOverride" = "1"
    "UpdatesDisableNotify" = "1"
    "UacDisableNotify" = "1"
    
    
    
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
    "AntiVirusDisableNotify" = "1"
    "FirewallDisableNotify" = "1"
    "FirewallOverride" = "1"
    "UpdatesDisableNotify" = "1"
    "UacDisableNotify" = "1"
    
  • Устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
    Internet Settings]
    "GlobalUserOffline" = "0"
    
  • Отключает User Account Control (компонент, запрашивающий подтверждение действий, требующих прав администратора):
    [HKLM\Software\Microsoft\Windows\CurrentVersion\
    policies\system]
    "EnableLUA" = "0"
    
  • Добавляет свой оригинальный файл в список доверенных приложений Брандмауэра Windows путем создания следующего ключа системного реестра:
    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "<полный путь к оригинальному файлу троянца>" = 
    "<полный путь к оригинальному файлу троянца>:*:Enabled:ipsec"
    
  • Отключает брандмауэр Windows:
    [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile]
    "DisableNotifications" = "1"
    "DoNotAllowExceptions" = "0"
    "EnableFirewall" = "0"
    
  • Отключает запуск ОС в безопасном режиме, удаляя все параметры ключей реестра:
    [HKLM\System\CurrentControlSet\Control\SafeBoot]
    [HKCU\System\CurrentControlSet\Control\SafeBoot]
    
  • Удаляет файлы с расширениями "exe" и "rar" из временного каталога текущего пользователя Windows:
    %Temp%
  • Создает ключи реестра, в которых сохраняет свою служебную информацию:
    [HKCU\Software\Abfx\-1001785200]
    "1953719668"=dword:00000079
    "-387527960"=dword:00000000
    "1566191708"=dword:00000000
    "-775055920"=dword:00000023
    "1178663748"=dword:00000183
    "-1162583880"="0A00687474703A2F2F63696B6D61796564656B7061
    7263612E636F6D2F696D616765732F6C6F676F732E67696600687474
    703A2F2F6272756365676172726F642E636F6D2F696D616765732F6C
    6F676F732E67696600687474703A2F2F6362626173696D6576692E63
    6F6D2F696D616765732F6C6F676F732E67696600687474703A2F2F62
    72616E64616F656D61746F732E636F6D2E62722F696D616765732F6C
    6F676F692E67696600687474703A2F2F6361676C617274656B6E696B
    2E636F6D2F6C6F676F732E67696600687474703A2F2F626861726174
    6973616E676C692E696E2F6C6F676F692E67696600687474703A2F2F
    636163732E6F72672E62722F6E6F766F736974652F6C6F676F732E67
    696600687474703A2F2F62757461636D2E676F2E726F2F6C6F676F73
    2E67696600687474703A2F2F626F7961626174656D6C2E6B31322E74
    722F696D616765732F6C6F676F732E67696600687474703A2F2F6361
    73627967726F75702E636F6D2F696D616765732F6C6F676F732E6769
    66"
    "791135788"="8D047AF7229C9B8962BA0482D99D368E2F27DA435BE
    2A7386A33EDC80BF5E291731E9D01A5491DAF960D9F12BEF04EC659
    3B061C5B93136EC6BFEC34C08A20B0C1FA17DCC2BD245ECA59601A
    83B2A1E4EA6D8C1E0D407E7C34901CE485312CA99533EF94DBD09B
    AC13BC887C7B5FA8BD183F0B60FDAC439D9A828FBE91ABBD7D"
    
    [HKCU\Software\<имя_пользвателя>914]
    
  • Устанавливает флаг заражения компьютера в виде записи в системном файле:
    %WinDir%\system.ini
    добавляет в него следующие строки:
    [MCIDRV_VER]
    DEVICEMB=<rnd2>
    
    Где <rnd2> - случайное число.
  • Извлекает из своего тела файл:
    %System%\drivers\fljojo.sys
    Данный файл имеет размер 5157 байт и детектируется антивирусом Касперского как Trojan.Win32.KillAV.ftk. Для запуска на исполнение извлеченного файла создает службу с именем "amsint32":
    amsint32
    После запуска на исполнение файл удаляется. Извлеченный файл предназначен для блокировки Интернет ресурсов, содержащих следующие строки:
    upload_virus
    sality-remov
    virusinfo.
    cureit.
    drweb.
    onlinescan.
    spywareinfo.
    ewido.
    virusscan.
    windowsecurity.
    spywareguide.
    bitdefender.
    pandasoftware.
    agnmitum.
    virustotal.
    sophos.
    trendmicro.
    etrust.com
    symantec.
    mcafee.
    f-secure.
    eset.com
    kaspersky
    
  • Останавливает и удаляет службы со следующими именами:
    AVP
    Agnitum Client Security Service
    ALG
    Amon monitor
    aswUpdSv
    aswMon2
    aswRdr
    aswSP
    aswTdi
    aswFsBlk
    acssrv
    AV Engine
    avast! iAVS4 Control Service
    avast! Antivirus
    avast! Mail Scanner
    avast! Web Scanner
    avast! Asynchronous Virus Monitor
    avast! Self Protection
    AVG E-mail Scanner
    Avira AntiVir Premium Guard
    Avira AntiVir Premium WebGuard
    Avira AntiVir Premium MailGuard
    BGLiveSvc
    BlackICE
    CAISafe
    ccEvtMgr
    ccProxy
    ccSetMgr
    COMODO Firewall Pro Sandbox Driver
    cmdGuard
    cmdAgent
    Eset Service
    Eset HTTP Server
    Eset Personal Firewall
    F-Prot Antivirus Update Monitor
    fsbwsys
    FSDFWD
    F-Secure Gatekeeper Handler Starter
    FSMA
    Google Online Services
    InoRPC
    InoRT
    InoTask
    ISSVC
    KPF4
    KLIF
    LavasoftFirewall
    LIVESRV
    McAfeeFramework
    McShield
    McTaskManager
    MpsSvc
    navapsvc
    NOD32krn
    NPFMntor
    NSCService
    Outpost Firewall main module
    OutpostFirewall
    PAVFIRES
    PAVFNSVR
    PavProt PavPrSrv
    PAVSRV
    PcCtlCom
    PersonalFirewal
    PREVSRV
    ProtoPort Firewall service
    PSIMSVC
    RapApp
    SharedAccess
    SmcService
    SNDSrvc
    SPBBCSvc
    SpIDer FS Monitor for Windows NT
    SpIDer Guard File System Monitor
    SPIDERNT
    Symantec Core LC
    Symantec Password Validation
    Symantec AntiVirus Definition Watcher
    SavRoam
    Symantec AntiVirus
    Tmntsrv
    TmPfw
    UmxAgent
    UmxCfg
    UmxLU
    UmxPol
    vsmon
    VSSERV
    WebrootDesktopFirewallDataService
    WebrootFirewall
    wscsvc
    XCOMM
    
  • Загружает файлы со следующих URL:
    http://cik***ekparca.com/images/logos.gif<rnd3>=<rnd4>
    http://br***arrod.com/images/logos.gif<rnd3>=<rnd4>
    http://cb***mevi.com/images/logos.gif<rnd3>=<rnd4>
    http://br***aoematos.com.br/images/logoi.gif<rnd3>=<rnd4>
    http://ca***teknik.com/logos.gif<rnd3>=<rnd4>
    http://bh***angli.in/logoi.gif<rnd3>=<rnd4>
    http://ca***rg.br/novosite/logos.gif<rnd3>=<rnd4>
    http://bu***m.go.ro/logos.gif<rnd3>=<rnd4>
    http://bo***eml.k12.tr/images/logos.gif<rnd3>=<rnd4>
    http://cas***oup.com/images/logos.gif<rnd3>=<rnd4>
    
    Где <rnd3> - случайная цифробуквенная последовательность, <rnd4> – случайная цифровая последовательность. Сохраняет загруженные файлы во временном каталоге текущего пользователя Windows со случайными именами:
    %Temp%\win<rnd5>.exe
    Где <rnd5> – 4 случайные латинские буквы. После успешного сохранения файлы запускаются на исполнение. На момент создания описания ссылки не работали.
  • Завершает процессы с именами:
    AVPM.
    A2GUARD
    A2CMD.
    A2SERVICE.
    A2FREE
    AVAST
    ADVCHK.
    AGB.
    AKRNL.
    AHPROCMONSERVER.
    AIRDEFENSE
    ALERTSVC
    AVIRA
    AMON.
    TROJAN.
    AVZ.
    ANTIVIR
    APVXDWIN.
    ARMOR2NET.
    ASHAVAST.
    ASHDISP.
    ASHENHCD.
    ASHMAISV.
    ASHPOPWZ.
    ASHSERV.
    ASHSIMPL.
    ASHSKPCK.
    ASHWEBSV.
    ASWUPDSV.
    ASWSCAN
    AVCIMAN.
    AVCONSOL.
    AVENGINE.
    AVESVC.
    AVEVAL.
    AVEVL32.
    AVGAM
    AVGCC.AVGCHSVX.
    AVGCSRVX.
    AVGNSX.
    AVGCC32.
    AVGCTRL.
    AVGEMC.
    AVGFWSRV.
    AVGNT.
    AVCENTER
    AVGNTMGR
    AVGSERV.
    AVGTRAY.
    AVGUARD.
    AVGUPSVC.
    AVGWDSVC.
    AVINITNT.
    AVKSERV.
    AVKSERVICE.
    AVKWCTL.
    AVP.
    AVP32.
    AVPCC.
    AVAST
    AVSERVER.
    AVSCHED32.
    AVSYNMGR.
    AVWUPD32.
    AVWUPSRV.
    AVXMONITOR
    AVXQUAR.
    BDSWITCH.
    BLACKD.
    BLACKICE.
    CAFIX.
    BITDEFENDER
    CCEVTMGR.
    CFP.
    CFPCONFIG.
    CCSETMGR.
    CFIAUDIT.
    CLAMTRAY.
    CLAMWIN.
    CUREIT
    DEFWATCH.
    DRVIRUS.
    DRWADINS.
    DRWEB
    DEFENDERDAEMON
    DWEBLLIO
    DWEBIO
    ESCANH95.
    ESCANHNT.
    EWIDOCTRL.
    EZANTIVIRUSREGISTRATIONCHECK.
    F-AGNT95.
    FAMEH32.
    FILEMON
    FIREWALL
    FORTICLIENT
    FORTITRAY.
    FORTISCAN
    FPAVSERVER.
    FPROTTRAY.
    FPWIN.
    FRESHCLAM.
    EKRN.
    FSAV32.
    FSAVGUI.
    FSBWSYS.
    F-SCHED.
    FSDFWD.
    FSGK32.
    FSGK32ST.
    FSGUIEXE.
    FSMA32.
    FSMB32.
    FSPEX.
    FSSM32.
    F-STOPW.
    GCASDTSERV.
    GCASSERV.
    GIANTANTISPYWARE
    GUARDGUI.
    GUARDNT.
    GUARDXSERVICE.
    GUARDXKICKOFF.
    HREGMON.
    HRRES.
    HSOCKPE.
    HUPDATE.
    IAMAPP.
    IAMSERV.
    ICLOAD95.
    ICLOADNT.
    ICMON.
    ICSSUPPNT.
    ICSUPP95.
    ICSUPPNT.
    IPTRAY.
    INETUPD.
    INOCIT.
    INORPC.
    INORT.
    INOTASK.
    INOUPTNG.
    KAVST
    
    IOMON98.
    ISAFE.
    ISATRAY.
    KAV.
    KAVMM.
    KAVPF.
    KAVPFW.
    ART.
    KAVSVC.
    KAVSVCUI.
    KMAILMON.
    MAMUTU
    MCAGENT.
    MCMNHDLR.
    MCREGWIZ.
    MCUPDATE.
    MCVSSHLD.
    MINILOG.
    MYAGTSVC.
    MYAGTTRY.
    NAVAPSVC.
    NAVAPW32.
    NAVLU32.
    NAVW32.
    NEOWATCHLOG.
    NEOWATCHTRAY.
    NISSERV
    NISUM.
    NMAIN.
    NOD32
    NORMIST.
    NOTSTART.
    NPAVTRAY.
    NPFMNTOR.
    NPFMSG.
    NPROTECT.
    NSCHED32.
    NSMDTR.
    NSSSERV.
    NSSTRAY.
    NTRTSCAN.
    NTOS.
    NTXCONFIG.
    NUPGRADE.
    NVCOD.
    NVCTE.
    NVCUT.
    NWSERVICE.
    OFCPFWSVC.
    OUTPOST
    ONLINENT.
    OPSSVC.
    OP_MON.
    PAVFIRES.
    PAVFNSVR.
    PAVKRE.
    PAVPROT.
    PAVPROXY.
    PAVPRSRV.
    PAVSRV51.
    PAVSS.
    PCCGUIDE.
    PCCIOMON.
    PCCNTMON.
    PCCPFW.
    PCCTLCOM.
    PCTAV.
    PERSFW.
    PERTSK.
    PERVAC.
    PESTPATROL
    PNMSRV.
    PREVSRV.
    PREVX
    PSIMSVC.
    QUHLPSVC.
    QHONLINE.
    QHONSVC.
    QHWSCSVC.
    QHSET.
    RFWMAIN.
    RTVSCAN.
    RTVSCN95.
    SALITY
    SAPISSVC.
    SCANWSCS.
    SAVADMINSERVICE.
    SAVMAIN.
    SAVPROGRESS.
    SAVSCAN.
    SCANNINGPROCESS.
    SDRA64.
    SDHELP.
    SHSTAT.
    SITECLI.
    SPBBCSVC.
    SPHINX.
    SPIDERCPL.
    SPIDERML.
    SPIDERNT.
    SPIDERUI.
    SPYBOTSD.
    SPYXX.
    SS3EDIT.
    STOPSIGNAV.
    SWAGENT.
    SWDOCTOR.
    SWNETSUP.
    SYMLCSVC.
    SYMPROXYSVC.
    SYMSPORT.
    SYMWSC.
    SYNMGR.
    TAUMON.
    TBMON.
    TMLISTEN.
    TMNTSRV.
    TMPROXY.
    TNBUTIL.
    TRJSCAN.
    VBA32ECM.
    VBA32IFS.
    VBA32LDR.
    VBA32PP3.
    VBSNTW.
    VCRMON.
    VPTRAY.
    VRFWSVC.
    VRMONNT.
    VRMONSVC.
    VRRW32.
    VSECOMR.
    VSHWIN32.
    VSMON.
    VSSERV.
    VSSTAT.
    WATCHDOG.
    WEBSCANX.
    WINSSNOTIFY.
    WRCTRL.
    XCOMMSVR.
    ZLCLIENT
    ZONEALARM
    
  • Выполняет поиск и удаление файлов с расширениями "drw", ".VDB", ".AVC".
Источник: securitylab.ru

0 коммент.:

Отправить комментарий