понедельник, 6 декабря 2010 г.

Описание работы вируса Virus.Win32. Sality.bh

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++. Имеет размер 70656 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 574 КБ.

Распространение

Копирует свое тело со случайным именем на все доступные на запись сетевые, логические и съемные диски, при этом расширение файла может быть ".exe", ".pif" или ".cmd", выбираемое случайным образом:
<X>:\<rnd>.<случайно выбираемое расширение файла>
Где <X> - буква зараженного раздела, <rnd> - случайный набор латинских букв.
Также помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл вредоноса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Копии тела вредоноса и файлу его автозапуска устанавливает атрибуты "скрытый" и "системный".
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR
Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.
Поиск файлов для заражения производится на всех разделах жесткого диска и доступных для записи сетевых ресурсах.


Деструктивная активность

Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
uxJLpe1m
  • Запрещает отображение скрытых файлов, добавив информацию в ключ системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced]
    "Hidden"=dword:00000002
  • Блокирует запуск Диспетчера задач Windows и Редактора реестра, создавая параметры ключа системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
    Policies\system]
    "DisableTaskMgr" = "1"
    "DisableRegistryTools" = "1"
    
  • Изменяет настройки Центра Обеспечения безопасности Windows, изменяя значения параметров ключей системного реестра на следующие:
    [HKLM\SOFTWARE\Microsoft\Security Center]
    "AntiVirusOverride" = "1"
    "AntiVirusDisableNotify" = "1"
    "FirewallDisableNotify" = "1"
    "FirewallOverride" = "1"
    "UpdatesDisableNotify" = "1"
    "UacDisableNotify" = "1"
    
    
    
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
    "AntiVirusDisableNotify" = "1"
    "FirewallDisableNotify" = "1"
    "FirewallOverride" = "1"
    "UpdatesDisableNotify" = "1"
    "UacDisableNotify" = "1"
    
  • Устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
    Internet Settings]
    "GlobalUserOffline" = "0"
    
  • Отключает User Account Control (компонент, запрашивающий подтверждение действий, требующих прав администратора):
    [HKLM\Software\Microsoft\Windows\CurrentVersion\
    policies\system]
    "EnableLUA" = "0"
    
  • Добавляет свой оригинальный файл в список доверенных приложений Брандмауэра Windows путем создания следующего ключа системного реестра:
    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "<полный путь к оригинальному файлу троянца>" = 
    "<полный путь к оригинальному файлу троянца>:*:Enabled:ipsec"
    
  • Отключает брандмауэр Windows:
    [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile]
    "DisableNotifications" = "1"
    "DoNotAllowExceptions" = "0"
    "EnableFirewall" = "0"
    
  • Отключает запуск ОС в безопасном режиме, удаляя все параметры ключей реестра:
    [HKLM\System\CurrentControlSet\Control\SafeBoot]
    [HKCU\System\CurrentControlSet\Control\SafeBoot]
    
  • Удаляет файлы с расширениями "exe" и "rar" из временного каталога текущего пользователя Windows:
    %Temp%
  • Создает ключи реестра, в которых сохраняет свою служебную информацию:
    [HKCU\Software\Abfx\-1001785200]
    "1953719668"=dword:00000079
    "-387527960"=dword:00000000
    "1566191708"=dword:00000000
    "-775055920"=dword:00000023
    "1178663748"=dword:00000183
    "-1162583880"="0A00687474703A2F2F63696B6D61796564656B7061
    7263612E636F6D2F696D616765732F6C6F676F732E67696600687474
    703A2F2F6272756365676172726F642E636F6D2F696D616765732F6C
    6F676F732E67696600687474703A2F2F6362626173696D6576692E63
    6F6D2F696D616765732F6C6F676F732E67696600687474703A2F2F62
    72616E64616F656D61746F732E636F6D2E62722F696D616765732F6C
    6F676F692E67696600687474703A2F2F6361676C617274656B6E696B
    2E636F6D2F6C6F676F732E67696600687474703A2F2F626861726174
    6973616E676C692E696E2F6C6F676F692E67696600687474703A2F2F
    636163732E6F72672E62722F6E6F766F736974652F6C6F676F732E67
    696600687474703A2F2F62757461636D2E676F2E726F2F6C6F676F73
    2E67696600687474703A2F2F626F7961626174656D6C2E6B31322E74
    722F696D616765732F6C6F676F732E67696600687474703A2F2F6361
    73627967726F75702E636F6D2F696D616765732F6C6F676F732E6769
    66"
    "791135788"="8D047AF7229C9B8962BA0482D99D368E2F27DA435BE
    2A7386A33EDC80BF5E291731E9D01A5491DAF960D9F12BEF04EC659
    3B061C5B93136EC6BFEC34C08A20B0C1FA17DCC2BD245ECA59601A
    83B2A1E4EA6D8C1E0D407E7C34901CE485312CA99533EF94DBD09B
    AC13BC887C7B5FA8BD183F0B60FDAC439D9A828FBE91ABBD7D"
    
    [HKCU\Software\<имя_пользвателя>914]
    
  • Устанавливает флаг заражения компьютера в виде записи в системном файле:
    %WinDir%\system.ini
    добавляет в него следующие строки:
    [MCIDRV_VER]
    DEVICEMB=<rnd2>
    
    Где <rnd2> - случайное число.
  • Извлекает из своего тела файл:
    %System%\drivers\fljojo.sys
    Данный файл имеет размер 5157 байт и детектируется антивирусом Касперского как Trojan.Win32.KillAV.ftk. Для запуска на исполнение извлеченного файла создает службу с именем "amsint32":
    amsint32
    После запуска на исполнение файл удаляется. Извлеченный файл предназначен для блокировки Интернет ресурсов, содержащих следующие строки:
    upload_virus
    sality-remov
    virusinfo.
    cureit.
    drweb.
    onlinescan.
    spywareinfo.
    ewido.
    virusscan.
    windowsecurity.
    spywareguide.
    bitdefender.
    pandasoftware.
    agnmitum.
    virustotal.
    sophos.
    trendmicro.
    etrust.com
    symantec.
    mcafee.
    f-secure.
    eset.com
    kaspersky
    
  • Останавливает и удаляет службы со следующими именами:
    AVP
    Agnitum Client Security Service
    ALG
    Amon monitor
    aswUpdSv
    aswMon2
    aswRdr
    aswSP
    aswTdi
    aswFsBlk
    acssrv
    AV Engine
    avast! iAVS4 Control Service
    avast! Antivirus
    avast! Mail Scanner
    avast! Web Scanner
    avast! Asynchronous Virus Monitor
    avast! Self Protection
    AVG E-mail Scanner
    Avira AntiVir Premium Guard
    Avira AntiVir Premium WebGuard
    Avira AntiVir Premium MailGuard
    BGLiveSvc
    BlackICE
    CAISafe
    ccEvtMgr
    ccProxy
    ccSetMgr
    COMODO Firewall Pro Sandbox Driver
    cmdGuard
    cmdAgent
    Eset Service
    Eset HTTP Server
    Eset Personal Firewall
    F-Prot Antivirus Update Monitor
    fsbwsys
    FSDFWD
    F-Secure Gatekeeper Handler Starter
    FSMA
    Google Online Services
    InoRPC
    InoRT
    InoTask
    ISSVC
    KPF4
    KLIF
    LavasoftFirewall
    LIVESRV
    McAfeeFramework
    McShield
    McTaskManager
    MpsSvc
    navapsvc
    NOD32krn
    NPFMntor
    NSCService
    Outpost Firewall main module
    OutpostFirewall
    PAVFIRES
    PAVFNSVR
    PavProt PavPrSrv
    PAVSRV
    PcCtlCom
    PersonalFirewal
    PREVSRV
    ProtoPort Firewall service
    PSIMSVC
    RapApp
    SharedAccess
    SmcService
    SNDSrvc
    SPBBCSvc
    SpIDer FS Monitor for Windows NT
    SpIDer Guard File System Monitor
    SPIDERNT
    Symantec Core LC
    Symantec Password Validation
    Symantec AntiVirus Definition Watcher
    SavRoam
    Symantec AntiVirus
    Tmntsrv
    TmPfw
    UmxAgent
    UmxCfg
    UmxLU
    UmxPol
    vsmon
    VSSERV
    WebrootDesktopFirewallDataService
    WebrootFirewall
    wscsvc
    XCOMM
    
  • Загружает файлы со следующих URL:
    http://cik***ekparca.com/images/logos.gif<rnd3>=<rnd4>
    http://br***arrod.com/images/logos.gif<rnd3>=<rnd4>
    http://cb***mevi.com/images/logos.gif<rnd3>=<rnd4>
    http://br***aoematos.com.br/images/logoi.gif<rnd3>=<rnd4>
    http://ca***teknik.com/logos.gif<rnd3>=<rnd4>
    http://bh***angli.in/logoi.gif<rnd3>=<rnd4>
    http://ca***rg.br/novosite/logos.gif<rnd3>=<rnd4>
    http://bu***m.go.ro/logos.gif<rnd3>=<rnd4>
    http://bo***eml.k12.tr/images/logos.gif<rnd3>=<rnd4>
    http://cas***oup.com/images/logos.gif<rnd3>=<rnd4>
    
    Где <rnd3> - случайная цифробуквенная последовательность, <rnd4> – случайная цифровая последовательность. Сохраняет загруженные файлы во временном каталоге текущего пользователя Windows со случайными именами:
    %Temp%\win<rnd5>.exe
    Где <rnd5> – 4 случайные латинские буквы. После успешного сохранения файлы запускаются на исполнение. На момент создания описания ссылки не работали.
  • Завершает процессы с именами:
    AVPM.
    A2GUARD
    A2CMD.
    A2SERVICE.
    A2FREE
    AVAST
    ADVCHK.
    AGB.
    AKRNL.
    AHPROCMONSERVER.
    AIRDEFENSE
    ALERTSVC
    AVIRA
    AMON.
    TROJAN.
    AVZ.
    ANTIVIR
    APVXDWIN.
    ARMOR2NET.
    ASHAVAST.
    ASHDISP.
    ASHENHCD.
    ASHMAISV.
    ASHPOPWZ.
    ASHSERV.
    ASHSIMPL.
    ASHSKPCK.
    ASHWEBSV.
    ASWUPDSV.
    ASWSCAN
    AVCIMAN.
    AVCONSOL.
    AVENGINE.
    AVESVC.
    AVEVAL.
    AVEVL32.
    AVGAM
    AVGCC.AVGCHSVX.
    AVGCSRVX.
    AVGNSX.
    AVGCC32.
    AVGCTRL.
    AVGEMC.
    AVGFWSRV.
    AVGNT.
    AVCENTER
    AVGNTMGR
    AVGSERV.
    AVGTRAY.
    AVGUARD.
    AVGUPSVC.
    AVGWDSVC.
    AVINITNT.
    AVKSERV.
    AVKSERVICE.
    AVKWCTL.
    AVP.
    AVP32.
    AVPCC.
    AVAST
    AVSERVER.
    AVSCHED32.
    AVSYNMGR.
    AVWUPD32.
    AVWUPSRV.
    AVXMONITOR
    AVXQUAR.
    BDSWITCH.
    BLACKD.
    BLACKICE.
    CAFIX.
    BITDEFENDER
    CCEVTMGR.
    CFP.
    CFPCONFIG.
    CCSETMGR.
    CFIAUDIT.
    CLAMTRAY.
    CLAMWIN.
    CUREIT
    DEFWATCH.
    DRVIRUS.
    DRWADINS.
    DRWEB
    DEFENDERDAEMON
    DWEBLLIO
    DWEBIO
    ESCANH95.
    ESCANHNT.
    EWIDOCTRL.
    EZANTIVIRUSREGISTRATIONCHECK.
    F-AGNT95.
    FAMEH32.
    FILEMON
    FIREWALL
    FORTICLIENT
    FORTITRAY.
    FORTISCAN
    FPAVSERVER.
    FPROTTRAY.
    FPWIN.
    FRESHCLAM.
    EKRN.
    FSAV32.
    FSAVGUI.
    FSBWSYS.
    F-SCHED.
    FSDFWD.
    FSGK32.
    FSGK32ST.
    FSGUIEXE.
    FSMA32.
    FSMB32.
    FSPEX.
    FSSM32.
    F-STOPW.
    GCASDTSERV.
    GCASSERV.
    GIANTANTISPYWARE
    GUARDGUI.
    GUARDNT.
    GUARDXSERVICE.
    GUARDXKICKOFF.
    HREGMON.
    HRRES.
    HSOCKPE.
    HUPDATE.
    IAMAPP.
    IAMSERV.
    ICLOAD95.
    ICLOADNT.
    ICMON.
    ICSSUPPNT.
    ICSUPP95.
    ICSUPPNT.
    IPTRAY.
    INETUPD.
    INOCIT.
    INORPC.
    INORT.
    INOTASK.
    INOUPTNG.
    KAVST
    
    IOMON98.
    ISAFE.
    ISATRAY.
    KAV.
    KAVMM.
    KAVPF.
    KAVPFW.
    ART.
    KAVSVC.
    KAVSVCUI.
    KMAILMON.
    MAMUTU
    MCAGENT.
    MCMNHDLR.
    MCREGWIZ.
    MCUPDATE.
    MCVSSHLD.
    MINILOG.
    MYAGTSVC.
    MYAGTTRY.
    NAVAPSVC.
    NAVAPW32.
    NAVLU32.
    NAVW32.
    NEOWATCHLOG.
    NEOWATCHTRAY.
    NISSERV
    NISUM.
    NMAIN.
    NOD32
    NORMIST.
    NOTSTART.
    NPAVTRAY.
    NPFMNTOR.
    NPFMSG.
    NPROTECT.
    NSCHED32.
    NSMDTR.
    NSSSERV.
    NSSTRAY.
    NTRTSCAN.
    NTOS.
    NTXCONFIG.
    NUPGRADE.
    NVCOD.
    NVCTE.
    NVCUT.
    NWSERVICE.
    OFCPFWSVC.
    OUTPOST
    ONLINENT.
    OPSSVC.
    OP_MON.
    PAVFIRES.
    PAVFNSVR.
    PAVKRE.
    PAVPROT.
    PAVPROXY.
    PAVPRSRV.
    PAVSRV51.
    PAVSS.
    PCCGUIDE.
    PCCIOMON.
    PCCNTMON.
    PCCPFW.
    PCCTLCOM.
    PCTAV.
    PERSFW.
    PERTSK.
    PERVAC.
    PESTPATROL
    PNMSRV.
    PREVSRV.
    PREVX
    PSIMSVC.
    QUHLPSVC.
    QHONLINE.
    QHONSVC.
    QHWSCSVC.
    QHSET.
    RFWMAIN.
    RTVSCAN.
    RTVSCN95.
    SALITY
    SAPISSVC.
    SCANWSCS.
    SAVADMINSERVICE.
    SAVMAIN.
    SAVPROGRESS.
    SAVSCAN.
    SCANNINGPROCESS.
    SDRA64.
    SDHELP.
    SHSTAT.
    SITECLI.
    SPBBCSVC.
    SPHINX.
    SPIDERCPL.
    SPIDERML.
    SPIDERNT.
    SPIDERUI.
    SPYBOTSD.
    SPYXX.
    SS3EDIT.
    STOPSIGNAV.
    SWAGENT.
    SWDOCTOR.
    SWNETSUP.
    SYMLCSVC.
    SYMPROXYSVC.
    SYMSPORT.
    SYMWSC.
    SYNMGR.
    TAUMON.
    TBMON.
    TMLISTEN.
    TMNTSRV.
    TMPROXY.
    TNBUTIL.
    TRJSCAN.
    VBA32ECM.
    VBA32IFS.
    VBA32LDR.
    VBA32PP3.
    VBSNTW.
    VCRMON.
    VPTRAY.
    VRFWSVC.
    VRMONNT.
    VRMONSVC.
    VRRW32.
    VSECOMR.
    VSHWIN32.
    VSMON.
    VSSERV.
    VSSTAT.
    WATCHDOG.
    WEBSCANX.
    WINSSNOTIFY.
    WRCTRL.
    XCOMMSVR.
    ZLCLIENT
    ZONEALARM
    
  • Выполняет поиск и удаление файлов с расширениями "drw", ".VDB", ".AVC".
Источник: securitylab.ru

Описание работы вируса Trojan.Win32. Pakes.nds

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 8192 байта. Упакована при помощи UPX. Распакованный размер – около 12 КБ. Написана на C++.



Деструктивная активность

После запуска троянец проверяет доступный в системе объем видеопамяти и если он меньше 32 мегабайт, то троянец завершает свою работу. Также троянец проверяет окружение, в котором он запущен, если это оказалась виртуальная машина "VMWare", то троянец завершает свою работу.
Далее троянец загружает файлы со следующих URL адресов:
http://ah***jpb.com/ccsuper2.php
http://ah***pb.com/26.exe
http://195.***.240/clicker1.txt
На момент создания описания ссылки не работали.
Сохраняет скачанные файлы в каталог Windows под следующими именами соответственно:
%WinDir%\kernel32.exe
%WinDir%\system32.exe
%WinDir%\winsock32.exe
После чего троянец запускает на выполнение загруженные файлы и удаляет свое оригинальное тело.
Источник: securitylab.ru

Описание работы вируса Trojan-Dropper.Win32. Small.gfc

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 33792 байта. Написана на C++.



Деструктивная активность

После запуска троянец извлекает из своего тела файл, который сохраняются в системе под следующими именами:
%Temp%\<rnd>.tmp
%System%\helh.oso
где <rnd> – случайное десятичное число.
Извлеченный файл имеет размер 27136 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Agent.dbed".
Затем троянец запускает экземпляр процесса "SVCHOST.EXE" и внедряет извлеченную библиотеку в адресное пространство данного процесса. После этого троянец удаляет свой оригинальный файл и завершает работу.
Источник: securitylab.ru

Описание работы вируса Exploit.JS. Pdfka.cop

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 2323 байта.



Деструктивная активность

Вредоносный PDF документ содержит в себе два сжатых потока данных, которые, после открытия документа, распаковываются и представляют собой обфусцированный сценарий Java Script. Для выполнения вредоносного кода эксплоит использует уязвимость, которая существует при вызове функции Collab.collectEmailInfo() (CVE-2007-5659), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При успешной эксплуатации уязвимости, вредонос загружает вредоносный файл по следующему URL:
http://ho***video.in/l.php?i=4
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\pdfupd.exe
На момент создания описания ссылка не работала.
Источник: securitylab.ru

Описание работы вируса Worm.Win32. VBNA.a

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 53248 байт. Написан на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в файл:
%USERPROFILE%\<имя текущего пользователя>.exe
Файл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Каждый раз при копировании оригинального файла вредоноса определенные участки копии случайным образом модифицируются. К примеру:
Подобные модификации не влияют на размер файла и его функционал, однако позволяют в некоторых случаях обойти сигнатурный анализатор антивируса. Все модифицированные копии, созданные во время написания данного описания, детектировались Антивирусом Касперского как "Worm.Win32.VBNA.fcm".
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя текущего пользователя>" = "%USERPROFILE%\
<имя текущего пользователя>.exe"
После этого созданная копия запускается на выполнение.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:
<имя зараженного раздела>:\<имя текущего пользователя>.exe
Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\autorun.inf
следующего содержания:
[AUTOrun]
action=Open folder to view files
shELLExecUtE=tEst.eXe
icoN=sYSteMROoT%\SYStEM32\ShELl32.Dll,4
uSEAuToplaY=1
что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

После запуска вредонос выполняет следующие действия:
  • в бесконечном цикле создает ключи системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "<имя текущего пользователя>" = "%USERPROFILE%\
    <имя текущего пользователя>.exe"
    
    
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced]
    "ShowSuperHidden" = "0"
    
    Последний ключ отключает отображение скрытых файлов Проводником Windows.
  • Пытается выгрузить из системной памяти следующие процессы:
    reader_sl.exe 
    360tray.exe 
    Avp32.exe 
    Avpcc.exe 
    Avpm.exe 
    Avpupd.exe 
    CCenter.exe 
    Fsgk32.exe 
    KavPFW.exe 
    NISSERV.EXE 
    Navrunr.exe 
    Navw32.exe 
    Navwnt.exe 
    SAVScan.exe 
    avcenter.exe 
    avgnt.exe 
    avguard.exe 
    avp.exe 
    cpd.exe 
    fsav32.exe 
    fsbwsys.exe
    
  • Устанавливает соединение с хостом:
    ns1.the***lour.net
Соединение используется для загрузки на зараженный компьютер других файлов. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайными именами. На момент создания описания файлы не загружались.
Источник: securitylab.ru

Описание работы вируса IM-Worm.Win32. Sohanad.pw

Программа - червь, создающая свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Размер скрипта составляет 28298 байт. Размер скомпилированного скрипта около - 1,02 МБ.

Инсталляция

Если червь запускается с правами администратора – выполняет следующий функционал:
  • Удаляет следующие файлы:
    %System%\setup.ini
    %System%\regsvr.exe
    %System%\winhelp.exe
    %WinDir%\regsvr.exe
    
  • Переименовывает файл:
    %System%\rundll.exe
    в
    %System%\delete.exe
  • Восстанавливает автозапуск "Проводника" перезаписав следующие значения в системный реестр:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell" = "Explorer.exe"
  • Разблокирует запуск "Диспетчера задач" и "Редактора реестра" установив следующие значения в ключе системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableTaskMgr"=0
    "DisableRegistryTools"=0
    
  • Открывает пункт меню "Свoйcтва пaпки" в "Проводнике" и в "Панели инструментов", изменяя следующий ключ реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NofolderOptions" = 0
    
  • Останавливает выполнение запланированных в Windows задач, изменяя ключ реестра:
    [HKLM\System\CurrentControlSet\Services\Schedule] 
    "AtTaskMaxHours" = 0
    
  • Отключает автозапуск приложения "Msn Messsenger", удаляя параметр "Msn Messsenger" из ключа реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Затем червь создает в системном каталоге скрытый каталог с именем "28463" и затем извлекает в него файлы со следующими именами:
System%\28463\svchost.exe
Данный файл имеет размер 525312 байт и детектируется антивирусом Касперского как not-a-virus:Monitor.Win32.Ardamax.te.
%System%\28463\svchost.001
Данный файл имеет размер 2800 байт и детектируется антивирусом Касперского как IM-Worm.Win32.Sohanad.it.
Также копирует себя под такими именами:
%System%\regsvr.exe
%System%\svchost.exe
%WinDir%\regsvr.exe
Всем своим копиям устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Msn Messsenger"="C:\Windows\system32\regsvr.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe regsvr.exe "
Если червь запускается, не имея прав администратора – создает каталог с именем
%Documents and Settings%\%Current User%\Application Data\
support
создает в нем копию своего исполняемого файла с именем:
%Documents and Settings%\%Current User%\Application Data\support\regsvr.exe
Также вредонос извлекает в данный каталог файлы:
%Documents and Settings%\%Current User%\
Application Data\support\svchost.exe
%Documents and Settings%\%Current User%\Application Data\support\svchost.001
и запускает файл "svchost.exe" на выполнение.

Деструктивная активность

Затем червь запускает на выполнение файл:
%System%\28463\svchost.exe
Запрещает запуск редактора реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1
После этого при помощи командной строки создает задание, которое каждый день в 9:00 утра запускает на выполнение файл:
%System%\svchost.exe
Далее открывает на запись файл:
%System%\setup.ini
и сохраняет в него команды автозапуска файла "regsvr.exe":
[Autorun]
Open=regsvr.exe
Shellexecute=regsvr.exe
Shell\Open\command=regsvr.exe
Shell=Open
Файл имеет размер 96 байт и детектируется антивирусом Касперского как Trojan.Win32.AutoRun.ke. Файлу червь устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Также троянец пытается выполнить загрузку файла, который располагается по следующим ссылкам:
http://ya***o.com/setting.xls
http://ya***o.com/setting.doc
и затем сохранить его с именем:
%System%\setting.ini
На момент создания описания ссылка не работала.
Сохраненному файлу устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Загруженный файл хранит в себе ссылки, по которым червь загружает другое вредоносное ПО. Вредонос собирает ссылки, предварительно выполнив чтение из секции "[setting]", файла настроек "setting.ini", значений параметров "website", "filedownload1", "filedownload2", "filedownload3", "filedownload4", "filedownload5". Загруженный исполняемый файл сохраняется в системном каталоге Windows под именем, указанным в параметрах "filedownload1", "filedownload2", "filedownload3", "filedownload4", "filedownload5". Всем загруженным файлам червь устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Затем, с интервалом в 3 секунды, запускает файлы на выполнение.
Далее червь считывает из файла "setting.ini" строки из ключей "tin[X]" и ссылку из ключа "myweb" секции "[setting]". Где X – число от 0 до 9. Если строки и вэб-адрес отсутствуют - червь, по умолчанию, в качестве URL использует адрес – "http://yahoo.com", а в качестве строк используются следующие:
cyber cafe scandal visit www. 
World Business news broadcaster www.
Regular monthly income by wearing your 
shorts at the comfort of your home for more info www.
Nfs carbon download www.
Latest video shot of infosys girl www.
Latest video shot of infosys girl www.
stream Video of Nayanthara and Simbu  www.
Aishwarya Rai videos www.
Free mobile games www.
Nse going to crash for more www.
Далее червь находит главное окно клиента мгновенных сообщений "Yahoo!Messenger" и затем имитируя работу пользователя отправляет сообщение всем пользователям из списка контактов. Телом сообщения является строка, выбранная случайным образом из списка приведенного выше:
Также отправляет данную строку в виде поискового запроса из клиента. С интервалом в 1 секунду, червь пытается завершить процессы "game_y.exe" и "cmder.exe". Ищет и закрывает окна, заголовки которых содержат строки:
System Configuration
Registry
Windows mask
Если червь находит окна с именами "Bkav2006", "[FireLion]" – удаляет параметры "BkavFw" и "IEProtection", с ссылками на исполняемые файлы приложений, из ключа автозагрузки системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

Распространение

Червь получает список всех общедоступных сетевых ресурсов, читая значения параметров ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]
Во всех каталогах, которые открыты на полный доступ, а также подкаталогах, червь рекурсивно размещает копии своих вредоносных файлов:
%WinDir%\regsvr.exe
%System%\regsvr.exe
соответственно под именами
\\<имя_сервера>\<имя_сетевого_ресурса>\New Folder .exe
\\<имя_сервера>\<имя_сетевого_ресурса>\regsvr.exe
Файл с именем:
%System%\setup.ini
сохраняет под именем:
\\<имя_сервера>\<имя_сетевого_ресурса>\autorun.inf
Затем файлу устанавливаются атрибуты "Только на чтение", "Скрытый", "Системный". Также данные файлы копируются на все съемные носители:
X:\autorun.inf
X:\New Folder .exe
X:\regsvr.exe
где X – буква съемного носителя.
После этого создает следующий параметр в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]
"shared"="\\New Folder .exe"
Источник: securitylab.ru

Описание работы вируса Trojan-Clicker.Win32.Wistler.a

Вредоносная программа, выполняющая различные деструктивные действия на компьютере. Установочный файл является приложением Windows (PE–EXE файл), может иметь произвольный размер.

Инсталляция

Для автоматического запуска при каждом следующем старте системы вредоносная программа перезаписывает загрузочную область жесткого диска (MBR). Для этого зловред обращается к устройству \\.PhysicalDriveX через функцию CreateFile.
После этого буткит записывает свои данные в неразмеченную область жесткого диска, находящуюся за последним разделом. Сюда записываются оригинальный MBR, идентификационные данные Wistler'a, по которым можно будет определить факт заражения системы, и четыре PE-EXE файла, выполняющие основной вредоносный функционал данной вредоносной программы.


Деструктивная активность

При загрузке компьютера, после инициализации BIOS, управление передается на зараженную MBR вредоносной программы, которая в свою очередь вызывает программный код, записанный установщиком в неразмеченную область жесткого диска.
После этого буткит с помощью перехвата прерывания int 13h отслеживает вызов следующих системных функций:
BtLoadBootDrivers
IoInitSystem
Таким образом отслеживаются этапы загрузки операционной системы Windows.
После вызова IoInitSystem буткит вновь перехватывает управление и загружает в систему специальный драйвер, предназначенный для скрытого запуска в системе исполняемого PE-EXE файла, который и выполняет основной вредоносный функционал.
Таким образом, основное назначение Trojan-Clicker.Win32.Wistler.a - запуск в скрытном режиме определенных исполняемых файлов, обладающих различным функционалом.
В результате исследования образцов данной вредоносной программы выяснилось, что запускаемые Trojan-Clicker.Win32.Wistler.a файлы имеют два различных основных функционала - Trojan-Clicker и Trojan-DDOS

Trojan-Clicker

Предназначен для несанкционированного пользователем обращения к интернет-страницам с целью увеличение счетчиков посещаемости. В теле программы содержится список адресов, с которыми соединяется зловред.

Trojan-DDOS

Предназначен для организации DDOS атак.
При запуске создает от имени пользователя "system" новый процесс svchost.exe, в адресное пространство которого записывает свой основной вредоносный код.
После этого, от имени процесса "svchost.exe" программа периодически обращается к управляющему серверу:
http://77.91.225.187/t.php?getCmd&id=_
&rng=&v=4
Где и имя и уникальный идентификатор компьютера соответственно.
С данного адреса вредоносная программа может получать следующие основные команды:
ddos
(может иметь дополнительные параметры, например "-icmp", "-udp", "-http", "-syn") - проведение Denial of Service атаки на определенный сервер.
dae
- загрузка и запуск других вредоносных программ.
nat
- установка на компьютере службы Network Address Translation для анонимного доступа злоумышленника к различным сетевым ресурсам с использования зараженного компьютера.
update
- загрузка и установка новой версии вредоносной программы.
 
Источник: securitylab.ru

Описание работы вируса Trojan.Win32. StartPage.acxl

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 60720 байт. Упакована Petite. Распакованный размер – около 143 КБ. Написана на C++.



Деструктивная активность

После запуска троянец выполняет следующие действия:
  • извлекает из своего тела файл:
    %System%\update.reg
    (6344 байта; детектируется Антивирусом Касперского как "Trojan.Win32.StartPage.acxl")
  • Запускает редактор системного реестра "regedit.exe" с параметрами:
    /s %System%\update.reg
    При этом из извлеченного файла в системный реестр импортируется следующая информация:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    HideDesktopIcons\ClassicStartMenu]
    "{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"
    
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    HideDesktopIcons\NewStartPanel]
    "{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}]
    "@" = "Internet Explorer"
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}
    \DefaultIcon]
    "@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell]
    "@" = ""
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\D]
    "@" = "??(&D)"
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
    D\Command]
    "@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
    Open]
    "@" = "????"
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
    Open\Command]
    "@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe 
    http://www.9***4.com/?100021"
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??]
    "@" = "??"
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??\
    Command]
    "@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
    
    [HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\ShellFolder]
    "@" = ""
    "Attributes" = "0000000a"
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}]
    "@" = "Internet Explorer"
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\DefaultIcon]
    "@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell]
    "@" = ""
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\D]
    "@" = "??(&D)"
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\D\Command]
    "@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\Open]
    "@" = "????"
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\Open\Command]
    "@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe 
    http://www.9***4.com/?100021"
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\??]
    "@" = "??"
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\Shell\??\Command]
    "@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
    
    [HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
    A93278894599}\ShellFolder]
    "@" = ""
    "Attributes" = "0000000a"
    
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Desktop\NameSpace]
    "@" = ""
    
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Desktop\NameSpace\{86AEFBE8-763F-0647-899C-A93278894599}]
    "@" = "Ineter Iexplorer.exe"
    
  • Удаляет файл:
    %System%\update.reg
  • Находит в системе окно с именем класса "SysListView32", и имитирует нажатие клавиши F5 в данном окне.
  • Внедряет в адресное пространство процессов:
    conime.exe
    wscntfy.exe
    mspaint.exe
    
    исполняемый код, выполняющий следующие действия (размер дампа кода – 122880 байт; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.BHO.lt"):
  • создаются файлы:
    %System%\winldr.atd (0 байт)
    %System%\sysdrvd.cio (0 байт)
    
  • Для контроля уникальности процесса в системе создается уникальный идентификатор с именем:
    jj
  • Удаляется файл:
    %System%\baidu32.dll
  • Из внедренного кода извлекается файл:
    %System%\baidu32.dll
    (69632 байта; детектируется Антивирусом Касперского как "Trojan.Win32.BHO.aihe")
  • Путем запуска системной утилиты "regsvr32.exe" извлеченная библиотека инсталлируется в систему. При этом создаются следующие ключи системного реестра:
    [HKCR\IEHlprObj.IEHlprObj.1]
    "(Default)" = "IEHlprObj Class"
    
    [HKCR\IEHlprObj.IEHlprObj.1\CLSID]
    "(Default)" = "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"
    
    [HKCR\IEHlprObj.IEHlprObj]
    "(Default)" = "IEHlprObj Class"
    
    [HKCR\IEHlprObj.IEHlprObj\CurVer]
    "(Default)" = "IEHlprObj.IEHlprObj.1"
    
    [HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
    "(Default)" = "IEHlprObj Class"
    
    [HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
    ProgID]
    "(Default)" = "IEHlprObj.IEHlprObj.1"
    
    [HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
    \VersionIndependentProgID]
    "(Default)" = "IEHlprObj.IEHlprObj"
    
    [HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
    InprocServer32]
    "(Default)" = "%System%\baidu32.dll"
    "ThreadingModel" = "Apartment"
    
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
    
    [HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0]
    "(Default)" = "IEHelper 1.0 Type Library"
    
    [HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\FLAGS]
    "(Default)" = "0"
    
    [HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\0\win32]
    "(Default)" = "%System%\baidu32.dll"
    
    [HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\HELPDIR]
    "(Default)" = "%System%"
    
    [HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}]
    "(Default)" = "IIEHlprObj"
    
    [HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
    ProxyStubClsid]
    "(Default)" = "{00020424-0000-0000-C000-000000000046}"
    
    [HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
    ProxyStubClsid32]
    "(Default)" = "{00020424-0000-0000-C000-000000000046}"
    
    [HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
    TypeLib]
    "(Default)" = "{CE7C3CE2-4B15-11D1-ABED-709549C10000}"
    "Version" = "1.0"
    
  • После паузы в 9 минут производится попытка установки соединения с сервером:
    update.9***4.com
    Если соединение успешно установлено, троянец переходит в цикл обработки команд. По команде злоумышленника могут выполняться такие действия как
    • загрузка и запуск файлов;
    • организация DoS-атак;
    • рассылка спама.
    Библиотека "%System%\baidu32.dll" инсталлируется как плагин для браузера Internet Explorer:
    и реализует функционал, позволяющий отслеживать адреса посещаемых пользователем страниц, а также данные, вводимые пользователем в различные формы авторизации. Собранная информация отправляется на сервера:
    www.g***00.com
    www.cp***yj.com
    www.9***4.com
    
Источник: securitylab.ru

Описание работы вируса Trojan.Win32. Qhost.oyj

Троянская программа, блокирующая доступ к Интернет ресурсам. Является приложением Windows (PE-EXE файл). Имеет размер 233472 байта. Написана на C++.



Деструктивная активность

Данная троянская программа извлекается и запускается на исполнение другой вредоносной программой, детектирующейся антивирусом Касперского как Trojan.Win32.Qhost.oyk.
В зависимости от параметра, с которым был запущен, троянец может выполнять следующие действия:
  • Если имя параметра было "-restore": Не позволяет удалить свой файл. Останавливает работу службы с именем "srv32", после чего запускает на исполнение свое тело с параметром "-start".
  • Если имя параметра было "-service": Вызывает функцию "StartServiceCtrlDispatcher" для установки связи главного потока процесса службы "srv32" с диспетчером управления службами.
  • Если имя параметра было "-start": Запускает службу с именем "srv32". Служба предназначена для завершения и блокировки запуска следующих процессов:
    ta_skmgr.exe
    Tas_kmgr.exe
    regedit.exe
    Regedit.exe
    rstrui.exe
    Rstrui.exe
    msconfig.exe
    Msconfig.exe
    MSConfig.exe
    MSCONFIG.EXE
    apache.exe
    nginx.exe
    lighthttpd.exe
    
    Таким образом троянец блокирует запуск:
    1. приложения восстановления системы;
    2. утилиты для управления автозапуском программ и загрузкой Windows;
    3. программы для просмотра и редактирования реестра;
    4. процессов веб-серверов "Apache", "lighttpd" и "nginx".
    При этом имя процесса "Диспетчера задач Windows" указано с ошибкой —"ta_skmgr.exe". Троянец поднимает на зараженной машине веб-сервер. Таким образом при обращении к зараженной машине пользователь увидит следующее окно:
    Где предлагается отправить SMS с текстом "503745002411" на короткий номер "6681".
    Поскольку троянец, извлекающий данную вредоносную программу, модифицировал файл "hosts":
    %System%\drivers\etc\hosts
    то пользователь также будет видеть окно с предложением отправить SMS при обращении к следующим ресурсам:
    vkontakte.com
    www.vkontakte.ru
    www.odnoklassniki.ru
    livejournal.com
    yahoo.com
    mail.ru
    www.yandex.com
    facebook.ru
    www.rambler.ru
    yandex.com
    aport.ru
    vk.com
    www.habrahabr.ru
    www.vkontakte.com
    www.odnoklassniki.com
    www.lj.ru
    www.google.com
    google.com
    facebook.com
    bing.com
    www.mail.ru
    www.vk.com
    www.facebook.ru
    vkontakte.ru
    www.facebook.com
    www.bash.org.ru
    www.aport.ru
    www.bing.com
    odnoklassniki.com
    rambler.ru
    fishki.net
    odnoklassniki.ru
    www.qip.ru
    livejournal.ru
    www.livejournal.com
    yandex.ru
    habrahabr.ru
    www.livejournal.ru
    www.yahoo.com
    www.fishki.net
    www.yandex.ru
    bash.org.ru
    www.google.ru
    
    Помимо этого служба препятствует изменению оригинального тела троянца, а также файла "hosts":
    %System%\drivers\etc\hosts
    Таким образом противодействуя попыткам пользователя или антивирусной программы при восстановлении полноценной работы системы.
  • Если имя параметра было "-stop": Останавливает выполнение службы с именем "srv32".
  • Если имя параметра было "-install": Создает службу с именем "srv32" при этом в реестр добавляется следующая информация:
    [HKLM\SYSTEM\CurrentControlSet\Services\srv32]
    "Type" = "10"
    "Start" = "2"
    "ErrorControl" = "1"
    "ImagePath" = "<путь к оригинальному телу троянца> -
    service"
    "DisplayName"="Network Responder Service"
    "ObjectName"="LocalSystem"
    "Description"="Provides network traffic transformation, 
    addressing, name resolution and/or intrusion prevention 
    services for a home or small office network."
    
    Таким образом служба троянца будет запускаться при каждом следующем старте системы.
  • Если имя параметра было "uninstall": Удаляет тело троянца и удаляет службу с именем "srv32".
Источник: securitylab.ru

Описание работы вируса Trojan-Downloader. WMA.GetCodec.ae

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является видео-файлом в формате WMV. Имеет размер 4185879 байт.



Деструктивная активность

Троянец использует реализованную в проигрывателе Windows Media возможность встраивания в поток видео команды сценария "URLAndExit". Это позволяет во время воспроизведения потока загружать из сети Интернет файл под видом необходимого кодека для Windows Media Player. Загрузка файла выполняется по следующей URL:
http://my.div***dec.com?r=wmp&title=a
Загруженный файл сохраняется в каталоге "%Temporary Internet Files%". На момент создания описания загружался CAB-архив, размером 472074 байта, содержащий следующие файлы:
wvc1dmod.dll (1184984 байта)
wvc1dmo.inf (1516 байт)
Источник: securitylab.ru