Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++. Имеет размер 70656 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 574 КБ.
Распространение
Копирует свое тело со случайным именем на все доступные на запись сетевые, логические и съемные диски, при этом расширение файла может быть ".exe", ".pif" или ".cmd", выбираемое случайным образом:<X>:\<rnd>.<случайно выбираемое расширение файла>Где <X> - буква зараженного раздела, <rnd> - случайный набор латинских букв.
Также помещает в корень диска сопровождающий файл:
<X>:\autorun.infкоторый запускает исполняемый файл вредоноса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Копии тела вредоноса и файлу его автозапуска устанавливает атрибуты "скрытый" и "системный".
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR
Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT UPX CODEПри заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.
Поиск файлов для заражения производится на всех разделах жесткого диска и доступных для записи сетевых ресурсах.
Деструктивная активность
Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:uxJLpe1m
- Запрещает отображение скрытых файлов, добавив информацию в ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced] "Hidden"=dword:00000002
- Блокирует запуск Диспетчера задач Windows и Редактора реестра, создавая параметры ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\system] "DisableTaskMgr" = "1" "DisableRegistryTools" = "1"
- Изменяет настройки Центра Обеспечения безопасности Windows, изменяя значения параметров ключей системного реестра на следующие:
[HKLM\SOFTWARE\Microsoft\Security Center] "AntiVirusOverride" = "1" "AntiVirusDisableNotify" = "1" "FirewallDisableNotify" = "1" "FirewallOverride" = "1" "UpdatesDisableNotify" = "1" "UacDisableNotify" = "1" [HKLM\SOFTWARE\Microsoft\Security Center\Svc] "AntiVirusDisableNotify" = "1" "FirewallDisableNotify" = "1" "FirewallOverride" = "1" "UpdatesDisableNotify" = "1" "UacDisableNotify" = "1"
- Устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line"
[HKCU\Software\Microsoft\Windows\CurrentVersion\ Internet Settings] "GlobalUserOffline" = "0"
- Отключает User Account Control (компонент, запрашивающий подтверждение действий, требующих прав администратора):
[HKLM\Software\Microsoft\Windows\CurrentVersion\ policies\system] "EnableLUA" = "0"
- Добавляет свой оригинальный файл в список доверенных приложений Брандмауэра Windows путем создания следующего ключа системного реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "<полный путь к оригинальному файлу троянца>" = "<полный путь к оригинальному файлу троянца>:*:Enabled:ipsec"
- Отключает брандмауэр Windows:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = "1" "DoNotAllowExceptions" = "0" "EnableFirewall" = "0"
- Отключает запуск ОС в безопасном режиме, удаляя все параметры ключей реестра:
[HKLM\System\CurrentControlSet\Control\SafeBoot] [HKCU\System\CurrentControlSet\Control\SafeBoot]
- Удаляет файлы с расширениями "exe" и "rar" из временного каталога текущего пользователя Windows:
%Temp%
- Создает ключи реестра, в которых сохраняет свою служебную информацию:
[HKCU\Software\Abfx\-1001785200] "1953719668"=dword:00000079 "-387527960"=dword:00000000 "1566191708"=dword:00000000 "-775055920"=dword:00000023 "1178663748"=dword:00000183 "-1162583880"="0A00687474703A2F2F63696B6D61796564656B7061 7263612E636F6D2F696D616765732F6C6F676F732E67696600687474 703A2F2F6272756365676172726F642E636F6D2F696D616765732F6C 6F676F732E67696600687474703A2F2F6362626173696D6576692E63 6F6D2F696D616765732F6C6F676F732E67696600687474703A2F2F62 72616E64616F656D61746F732E636F6D2E62722F696D616765732F6C 6F676F692E67696600687474703A2F2F6361676C617274656B6E696B 2E636F6D2F6C6F676F732E67696600687474703A2F2F626861726174 6973616E676C692E696E2F6C6F676F692E67696600687474703A2F2F 636163732E6F72672E62722F6E6F766F736974652F6C6F676F732E67 696600687474703A2F2F62757461636D2E676F2E726F2F6C6F676F73 2E67696600687474703A2F2F626F7961626174656D6C2E6B31322E74 722F696D616765732F6C6F676F732E67696600687474703A2F2F6361 73627967726F75702E636F6D2F696D616765732F6C6F676F732E6769 66" "791135788"="8D047AF7229C9B8962BA0482D99D368E2F27DA435BE 2A7386A33EDC80BF5E291731E9D01A5491DAF960D9F12BEF04EC659 3B061C5B93136EC6BFEC34C08A20B0C1FA17DCC2BD245ECA59601A 83B2A1E4EA6D8C1E0D407E7C34901CE485312CA99533EF94DBD09B AC13BC887C7B5FA8BD183F0B60FDAC439D9A828FBE91ABBD7D" [HKCU\Software\<имя_пользвателя>914]
- Устанавливает флаг заражения компьютера в виде записи в системном файле:
%WinDir%\system.ini
добавляет в него следующие строки:[MCIDRV_VER] DEVICEMB=<rnd2>
Где <rnd2> - случайное число. - Извлекает из своего тела файл:
%System%\drivers\fljojo.sys
Данный файл имеет размер 5157 байт и детектируется антивирусом Касперского как Trojan.Win32.KillAV.ftk. Для запуска на исполнение извлеченного файла создает службу с именем "amsint32":
amsint32
После запуска на исполнение файл удаляется. Извлеченный файл предназначен для блокировки Интернет ресурсов, содержащих следующие строки:
upload_virus sality-remov virusinfo. cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity. spywareguide. bitdefender. pandasoftware. agnmitum. virustotal. sophos. trendmicro. etrust.com symantec. mcafee. f-secure. eset.com kaspersky
- Останавливает и удаляет службы со следующими именами:
AVP Agnitum Client Security Service ALG Amon monitor aswUpdSv aswMon2 aswRdr aswSP aswTdi aswFsBlk acssrv AV Engine avast! iAVS4 Control Service avast! Antivirus avast! Mail Scanner avast! Web Scanner avast! Asynchronous Virus Monitor avast! Self Protection AVG E-mail Scanner Avira AntiVir Premium Guard Avira AntiVir Premium WebGuard Avira AntiVir Premium MailGuard BGLiveSvc BlackICE CAISafe ccEvtMgr ccProxy ccSetMgr COMODO Firewall Pro Sandbox Driver cmdGuard cmdAgent Eset Service Eset HTTP Server Eset Personal Firewall F-Prot Antivirus Update Monitor fsbwsys FSDFWD F-Secure Gatekeeper Handler Starter FSMA Google Online Services InoRPC InoRT InoTask ISSVC KPF4 KLIF LavasoftFirewall LIVESRV McAfeeFramework McShield McTaskManager MpsSvc navapsvc NOD32krn NPFMntor NSCService Outpost Firewall main module OutpostFirewall PAVFIRES PAVFNSVR PavProt PavPrSrv PAVSRV PcCtlCom PersonalFirewal PREVSRV ProtoPort Firewall service PSIMSVC RapApp SharedAccess SmcService SNDSrvc SPBBCSvc SpIDer FS Monitor for Windows NT SpIDer Guard File System Monitor SPIDERNT Symantec Core LC Symantec Password Validation Symantec AntiVirus Definition Watcher SavRoam Symantec AntiVirus Tmntsrv TmPfw UmxAgent UmxCfg UmxLU UmxPol vsmon VSSERV WebrootDesktopFirewallDataService WebrootFirewall wscsvc XCOMM
- Загружает файлы со следующих URL:
http://cik***ekparca.com/images/logos.gif<rnd3>=<rnd4> http://br***arrod.com/images/logos.gif<rnd3>=<rnd4> http://cb***mevi.com/images/logos.gif<rnd3>=<rnd4> http://br***aoematos.com.br/images/logoi.gif<rnd3>=<rnd4> http://ca***teknik.com/logos.gif<rnd3>=<rnd4> http://bh***angli.in/logoi.gif<rnd3>=<rnd4> http://ca***rg.br/novosite/logos.gif<rnd3>=<rnd4> http://bu***m.go.ro/logos.gif<rnd3>=<rnd4> http://bo***eml.k12.tr/images/logos.gif<rnd3>=<rnd4> http://cas***oup.com/images/logos.gif<rnd3>=<rnd4>
Где <rnd3> - случайная цифробуквенная последовательность, <rnd4> – случайная цифровая последовательность. Сохраняет загруженные файлы во временном каталоге текущего пользователя Windows со случайными именами:
%Temp%\win<rnd5>.exe
Где <rnd5> – 4 случайные латинские буквы. После успешного сохранения файлы запускаются на исполнение. На момент создания описания ссылки не работали. - Завершает процессы с именами:
AVPM. A2GUARD A2CMD. A2SERVICE. A2FREE AVAST ADVCHK. AGB. AKRNL. AHPROCMONSERVER. AIRDEFENSE ALERTSVC AVIRA AMON. TROJAN. AVZ. ANTIVIR APVXDWIN. ARMOR2NET. ASHAVAST. ASHDISP. ASHENHCD. ASHMAISV. ASHPOPWZ. ASHSERV. ASHSIMPL. ASHSKPCK. ASHWEBSV. ASWUPDSV. ASWSCAN AVCIMAN. AVCONSOL. AVENGINE. AVESVC. AVEVAL. AVEVL32. AVGAM AVGCC.AVGCHSVX. AVGCSRVX. AVGNSX. AVGCC32. AVGCTRL. AVGEMC. AVGFWSRV. AVGNT. AVCENTER AVGNTMGR AVGSERV. AVGTRAY. AVGUARD. AVGUPSVC. AVGWDSVC. AVINITNT. AVKSERV. AVKSERVICE. AVKWCTL. AVP. AVP32. AVPCC. AVAST AVSERVER. AVSCHED32. AVSYNMGR. AVWUPD32. AVWUPSRV. AVXMONITOR AVXQUAR. BDSWITCH. BLACKD. BLACKICE. CAFIX. BITDEFENDER CCEVTMGR. CFP. CFPCONFIG. CCSETMGR. CFIAUDIT. CLAMTRAY. CLAMWIN. CUREIT DEFWATCH. DRVIRUS. DRWADINS. DRWEB DEFENDERDAEMON DWEBLLIO DWEBIO ESCANH95. ESCANHNT. EWIDOCTRL. EZANTIVIRUSREGISTRATIONCHECK. F-AGNT95. FAMEH32. FILEMON FIREWALL FORTICLIENT FORTITRAY. FORTISCAN FPAVSERVER. FPROTTRAY. FPWIN. FRESHCLAM. EKRN. FSAV32. FSAVGUI. FSBWSYS. F-SCHED. FSDFWD. FSGK32. FSGK32ST. FSGUIEXE. FSMA32. FSMB32. FSPEX. FSSM32. F-STOPW. GCASDTSERV. GCASSERV. GIANTANTISPYWARE GUARDGUI. GUARDNT. GUARDXSERVICE. GUARDXKICKOFF. HREGMON. HRRES. HSOCKPE. HUPDATE. IAMAPP. IAMSERV. ICLOAD95. ICLOADNT. ICMON. ICSSUPPNT. ICSUPP95. ICSUPPNT. IPTRAY. INETUPD. INOCIT. INORPC. INORT. INOTASK. INOUPTNG. KAVST
IOMON98. ISAFE. ISATRAY. KAV. KAVMM. KAVPF. KAVPFW. ART. KAVSVC. KAVSVCUI. KMAILMON. MAMUTU MCAGENT. MCMNHDLR. MCREGWIZ. MCUPDATE. MCVSSHLD. MINILOG. MYAGTSVC. MYAGTTRY. NAVAPSVC. NAVAPW32. NAVLU32. NAVW32. NEOWATCHLOG. NEOWATCHTRAY. NISSERV NISUM. NMAIN. NOD32 NORMIST. NOTSTART. NPAVTRAY. NPFMNTOR. NPFMSG. NPROTECT. NSCHED32. NSMDTR. NSSSERV. NSSTRAY. NTRTSCAN. NTOS. NTXCONFIG. NUPGRADE. NVCOD. NVCTE. NVCUT. NWSERVICE. OFCPFWSVC. OUTPOST ONLINENT. OPSSVC. OP_MON. PAVFIRES. PAVFNSVR. PAVKRE. PAVPROT. PAVPROXY. PAVPRSRV. PAVSRV51. PAVSS. PCCGUIDE. PCCIOMON. PCCNTMON. PCCPFW. PCCTLCOM. PCTAV. PERSFW. PERTSK. PERVAC. PESTPATROL PNMSRV. PREVSRV. PREVX PSIMSVC. QUHLPSVC. QHONLINE. QHONSVC. QHWSCSVC. QHSET. RFWMAIN. RTVSCAN. RTVSCN95. SALITY SAPISSVC. SCANWSCS. SAVADMINSERVICE. SAVMAIN. SAVPROGRESS. SAVSCAN. SCANNINGPROCESS. SDRA64. SDHELP. SHSTAT. SITECLI. SPBBCSVC. SPHINX. SPIDERCPL. SPIDERML. SPIDERNT. SPIDERUI. SPYBOTSD. SPYXX. SS3EDIT. STOPSIGNAV. SWAGENT. SWDOCTOR. SWNETSUP. SYMLCSVC. SYMPROXYSVC. SYMSPORT. SYMWSC. SYNMGR. TAUMON. TBMON. TMLISTEN. TMNTSRV. TMPROXY. TNBUTIL. TRJSCAN. VBA32ECM. VBA32IFS. VBA32LDR. VBA32PP3. VBSNTW. VCRMON. VPTRAY. VRFWSVC. VRMONNT. VRMONSVC. VRRW32. VSECOMR. VSHWIN32. VSMON. VSSERV. VSSTAT. WATCHDOG. WEBSCANX. WINSSNOTIFY. WRCTRL. XCOMMSVR. ZLCLIENT ZONEALARM
- Выполняет поиск и удаление файлов с расширениями "drw", ".VDB", ".AVC".
0 коммент.:
Отправить комментарий