понедельник, 6 декабря 2010 г.

Описание работы вируса Virus.Win32. Sality.bh

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++. Имеет размер 70656 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 574 КБ.

Распространение

Копирует свое тело со случайным именем на все доступные на запись сетевые, логические и съемные диски, при этом расширение файла может быть ".exe", ".pif" или ".cmd", выбираемое случайным образом: 
<X>:\<rnd>.<случайно выбираемое расширение файла>
Где <X> - буква зараженного раздела, <rnd> - случайный набор латинских букв.
Также помещает в корень диска сопровождающий файл: 
<X>:\autorun.inf
который запускает исполняемый файл вредоноса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Копии тела вредоноса и файлу его автозапуска устанавливает атрибуты "скрытый" и "системный".
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR
Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции: 
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.
Поиск файлов для заражения производится на всех разделах жесткого диска и доступных для записи сетевых ресурсах.


Деструктивная активность

Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем: 
uxJLpe1m
  • Запрещает отображение скрытых файлов, добавив информацию в ключ системного реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
"Hidden"=dword:00000002
  • Блокирует запуск Диспетчера задач Windows и Редактора реестра, создавая параметры ключа системного реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
Policies\system]
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1"
  • Изменяет настройки Центра Обеспечения безопасности Windows, изменяя значения параметров ключей системного реестра на следующие: 
    [HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = "1"
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
"UacDisableNotify" = "1"



[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
"UacDisableNotify" = "1"
  • Устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line" 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\
Internet Settings]
"GlobalUserOffline" = "0"
  • Отключает User Account Control (компонент, запрашивающий подтверждение действий, требующих прав администратора): 
    [HKLM\Software\Microsoft\Windows\CurrentVersion\
policies\system]
"EnableLUA" = "0"
  • Добавляет свой оригинальный файл в список доверенных приложений Брандмауэра Windows путем создания следующего ключа системного реестра: 
    [HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"<полный путь к оригинальному файлу троянца>" = 
"<полный путь к оригинальному файлу троянца>:*:Enabled:ipsec"
  • Отключает брандмауэр Windows: 
    [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = "1"
"DoNotAllowExceptions" = "0"
"EnableFirewall" = "0"
  • Отключает запуск ОС в безопасном режиме, удаляя все параметры ключей реестра: 
    [HKLM\System\CurrentControlSet\Control\SafeBoot]
[HKCU\System\CurrentControlSet\Control\SafeBoot]
  • Удаляет файлы с расширениями "exe" и "rar" из временного каталога текущего пользователя Windows: 
    %Temp%
  • Создает ключи реестра, в которых сохраняет свою служебную информацию: 
    [HKCU\Software\Abfx\-1001785200]
"1953719668"=dword:00000079
"-387527960"=dword:00000000
"1566191708"=dword:00000000
"-775055920"=dword:00000023
"1178663748"=dword:00000183
"-1162583880"="0A00687474703A2F2F63696B6D61796564656B7061
7263612E636F6D2F696D616765732F6C6F676F732E67696600687474
703A2F2F6272756365676172726F642E636F6D2F696D616765732F6C
6F676F732E67696600687474703A2F2F6362626173696D6576692E63
6F6D2F696D616765732F6C6F676F732E67696600687474703A2F2F62
72616E64616F656D61746F732E636F6D2E62722F696D616765732F6C
6F676F692E67696600687474703A2F2F6361676C617274656B6E696B
2E636F6D2F6C6F676F732E67696600687474703A2F2F626861726174
6973616E676C692E696E2F6C6F676F692E67696600687474703A2F2F
636163732E6F72672E62722F6E6F766F736974652F6C6F676F732E67
696600687474703A2F2F62757461636D2E676F2E726F2F6C6F676F73
2E67696600687474703A2F2F626F7961626174656D6C2E6B31322E74
722F696D616765732F6C6F676F732E67696600687474703A2F2F6361
73627967726F75702E636F6D2F696D616765732F6C6F676F732E6769
66"
"791135788"="8D047AF7229C9B8962BA0482D99D368E2F27DA435BE
2A7386A33EDC80BF5E291731E9D01A5491DAF960D9F12BEF04EC659
3B061C5B93136EC6BFEC34C08A20B0C1FA17DCC2BD245ECA59601A
83B2A1E4EA6D8C1E0D407E7C34901CE485312CA99533EF94DBD09B
AC13BC887C7B5FA8BD183F0B60FDAC439D9A828FBE91ABBD7D"

[HKCU\Software\<имя_пользвателя>914]
  • Устанавливает флаг заражения компьютера в виде записи в системном файле: 
    %WinDir%\system.ini
    добавляет в него следующие строки: 
    [MCIDRV_VER]
DEVICEMB=<rnd2>
    Где <rnd2> - случайное число.
  • Извлекает из своего тела файл: 
    %System%\drivers\fljojo.sys
    Данный файл имеет размер 5157 байт и детектируется антивирусом Касперского как Trojan.Win32.KillAV.ftk. Для запуска на исполнение извлеченного файла создает службу с именем "amsint32": 
    amsint32
    После запуска на исполнение файл удаляется. Извлеченный файл предназначен для блокировки Интернет ресурсов, содержащих следующие строки: 
    upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
  • Останавливает и удаляет службы со следующими именами: 
    AVP
Agnitum Client Security Service
ALG
Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4 Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
MpsSvc
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
wscsvc
XCOMM
  • Загружает файлы со следующих URL: 
    http://cik***ekparca.com/images/logos.gif<rnd3>=<rnd4>
http://br***arrod.com/images/logos.gif<rnd3>=<rnd4>
http://cb***mevi.com/images/logos.gif<rnd3>=<rnd4>
http://br***aoematos.com.br/images/logoi.gif<rnd3>=<rnd4>
http://ca***teknik.com/logos.gif<rnd3>=<rnd4>
http://bh***angli.in/logoi.gif<rnd3>=<rnd4>
http://ca***rg.br/novosite/logos.gif<rnd3>=<rnd4>
http://bu***m.go.ro/logos.gif<rnd3>=<rnd4>
http://bo***eml.k12.tr/images/logos.gif<rnd3>=<rnd4>
http://cas***oup.com/images/logos.gif<rnd3>=<rnd4>
    Где <rnd3> - случайная цифробуквенная последовательность, <rnd4> – случайная цифровая последовательность. Сохраняет загруженные файлы во временном каталоге текущего пользователя Windows со случайными именами: 
    %Temp%\win<rnd5>.exe
    Где <rnd5> – 4 случайные латинские буквы. После успешного сохранения файлы запускаются на исполнение. На момент создания описания ссылки не работали.
  • Завершает процессы с именами: 
    AVPM.
A2GUARD
A2CMD.
A2SERVICE.
A2FREE
AVAST
ADVCHK.
AGB.
AKRNL.
AHPROCMONSERVER.
AIRDEFENSE
ALERTSVC
AVIRA
AMON.
TROJAN.
AVZ.
ANTIVIR
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ASWSCAN
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVEVAL.
AVEVL32.
AVGAM
AVGCC.AVGCHSVX.
AVGCSRVX.
AVGNSX.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVCENTER
AVGNTMGR
AVGSERV.
AVGTRAY.
AVGUARD.
AVGUPSVC.
AVGWDSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVAST
AVSERVER.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR
AVXQUAR.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
BITDEFENDER
CCEVTMGR.
CFP.
CFPCONFIG.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CUREIT
DEFWATCH.
DRVIRUS.
DRWADINS.
DRWEB
DEFENDERDAEMON
DWEBLLIO
DWEBIO
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FILEMON
FIREWALL
FORTICLIENT
FORTITRAY.
FORTISCAN
FPAVSERVER.
FPROTTRAY.
FPWIN.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWARE
GUARDGUI.
GUARDNT.
GUARDXSERVICE.
GUARDXKICKOFF.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IPTRAY.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
KAVST

    IOMON98.
ISAFE.
ISATRAY.
KAV.
KAVMM.
KAVPF.
KAVPFW.
ART.
KAVSVC.
KAVSVCUI.
KMAILMON.
MAMUTU
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTOS.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST
ONLINENT.
OPSSVC.
OP_MON.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PESTPATROL
PNMSRV.
PREVSRV.
PREVX
PSIMSVC.
QUHLPSVC.
QHONLINE.
QHONSVC.
QHWSCSVC.
QHSET.
RFWMAIN.
RTVSCAN.
RTVSCN95.
SALITY
SAPISSVC.
SCANWSCS.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SDRA64.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
TMLISTEN.
TMNTSRV.
TMPROXY.
TNBUTIL.
TRJSCAN.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCRMON.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBSCANX.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZLCLIENT
ZONEALARM
  • Выполняет поиск и удаление файлов с расширениями "drw", ".VDB", ".AVC".
Источник: securitylab.ru
0 коммент.
Ярлыки:

Описание работы вируса Trojan.Win32. Pakes.nds

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 8192 байта. Упакована при помощи UPX. Распакованный размер – около 12 КБ. Написана на C++.



Деструктивная активность

После запуска троянец проверяет доступный в системе объем видеопамяти и если он меньше 32 мегабайт, то троянец завершает свою работу. Также троянец проверяет окружение, в котором он запущен, если это оказалась виртуальная машина "VMWare", то троянец завершает свою работу.
Далее троянец загружает файлы со следующих URL адресов: 
http://ah***jpb.com/ccsuper2.php
http://ah***pb.com/26.exe
http://195.***.240/clicker1.txt
На момент создания описания ссылки не работали.
Сохраняет скачанные файлы в каталог Windows под следующими именами соответственно: 
%WinDir%\kernel32.exe
%WinDir%\system32.exe
%WinDir%\winsock32.exe
После чего троянец запускает на выполнение загруженные файлы и удаляет свое оригинальное тело.
Источник: securitylab.ru
0 коммент.
Ярлыки:

Описание работы вируса Trojan-Dropper.Win32. Small.gfc

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 33792 байта. Написана на C++.



Деструктивная активность

После запуска троянец извлекает из своего тела файл, который сохраняются в системе под следующими именами: 
%Temp%\<rnd>.tmp
%System%\helh.oso
где <rnd> – случайное десятичное число.
Извлеченный файл имеет размер 27136 байт; детектируется Антивирусом Касперского как "Trojan.Win32.Agent.dbed".
Затем троянец запускает экземпляр процесса "SVCHOST.EXE" и внедряет извлеченную библиотеку в адресное пространство данного процесса. После этого троянец удаляет свой оригинальный файл и завершает работу.
Источник: securitylab.ru
0 коммент.
Ярлыки:

Описание работы вируса Exploit.JS. Pdfka.cop

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 2323 байта.



Деструктивная активность

Вредоносный PDF документ содержит в себе два сжатых потока данных, которые, после открытия документа, распаковываются и представляют собой обфусцированный сценарий Java Script. Для выполнения вредоносного кода эксплоит использует уязвимость, которая существует при вызове функции Collab.collectEmailInfo() (CVE-2007-5659), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При успешной эксплуатации уязвимости, вредонос загружает вредоносный файл по следующему URL: 
http://ho***video.in/l.php?i=4
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя под именем: 
%Temp%\pdfupd.exe
На момент создания описания ссылка не работала.
Источник: securitylab.ru
0 коммент.
Ярлыки:

Описание работы вируса Worm.Win32. VBNA.a

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 53248 байт. Написан на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в файл: 
%USERPROFILE%\<имя текущего пользователя>.exe
Файл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Каждый раз при копировании оригинального файла вредоноса определенные участки копии случайным образом модифицируются. К примеру:
Подобные модификации не влияют на размер файла и его функционал, однако позволяют в некоторых случаях обойти сигнатурный анализатор антивируса. Все модифицированные копии, созданные во время написания данного описания, детектировались Антивирусом Касперского как "Worm.Win32.VBNA.fcm".
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра: 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя текущего пользователя>" = "%USERPROFILE%\
<имя текущего пользователя>.exe"
После этого созданная копия запускается на выполнение.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски под следующим именем: 
<имя зараженного раздела>:\<имя текущего пользователя>.exe
Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Вместе со своим исполняемым файлом червь помещает файл: 
<имя зараженного раздела>:\autorun.inf
следующего содержания: 
[AUTOrun]
action=Open folder to view files
shELLExecUtE=tEst.eXe
icoN=sYSteMROoT%\SYStEM32\ShELl32.Dll,4
uSEAuToplaY=1
что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

После запуска вредонос выполняет следующие действия:
  • в бесконечном цикле создает ключи системного реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя текущего пользователя>" = "%USERPROFILE%\
<имя текущего пользователя>.exe"


[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
"ShowSuperHidden" = "0"
    Последний ключ отключает отображение скрытых файлов Проводником Windows.
  • Пытается выгрузить из системной памяти следующие процессы: 
    reader_sl.exe 
360tray.exe 
Avp32.exe 
Avpcc.exe 
Avpm.exe 
Avpupd.exe 
CCenter.exe 
Fsgk32.exe 
KavPFW.exe 
NISSERV.EXE 
Navrunr.exe 
Navw32.exe 
Navwnt.exe 
SAVScan.exe 
avcenter.exe 
avgnt.exe 
avguard.exe 
avp.exe 
cpd.exe 
fsav32.exe 
fsbwsys.exe
  • Устанавливает соединение с хостом: 
    ns1.the***lour.net
Соединение используется для загрузки на зараженный компьютер других файлов. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайными именами. На момент создания описания файлы не загружались.
Источник: securitylab.ru
0 коммент.
Ярлыки:

Описание работы вируса IM-Worm.Win32. Sohanad.pw

Программа - червь, создающая свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Размер скрипта составляет 28298 байт. Размер скомпилированного скрипта около - 1,02 МБ.

Инсталляция

Если червь запускается с правами администратора – выполняет следующий функционал:
  • Удаляет следующие файлы: 
    %System%\setup.ini
%System%\regsvr.exe
%System%\winhelp.exe
%WinDir%\regsvr.exe
  • Переименовывает файл: 
    %System%\rundll.exe
    в 
    %System%\delete.exe
  • Восстанавливает автозапуск "Проводника" перезаписав следующие значения в системный реестр: 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
  • Разблокирует запуск "Диспетчера задач" и "Редактора реестра" установив следующие значения в ключе системного реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0
"DisableRegistryTools"=0
  • Открывает пункт меню "Свoйcтва пaпки" в "Проводнике" и в "Панели инструментов", изменяя следующий ключ реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NofolderOptions" = 0
  • Останавливает выполнение запланированных в Windows задач, изменяя ключ реестра: 
    [HKLM\System\CurrentControlSet\Services\Schedule] 
"AtTaskMaxHours" = 0
  • Отключает автозапуск приложения "Msn Messsenger", удаляя параметр "Msn Messsenger" из ключа реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Затем червь создает в системном каталоге скрытый каталог с именем "28463" и затем извлекает в него файлы со следующими именами: 
System%\28463\svchost.exe
Данный файл имеет размер 525312 байт и детектируется антивирусом Касперского как not-a-virus:Monitor.Win32.Ardamax.te. 
%System%\28463\svchost.001
Данный файл имеет размер 2800 байт и детектируется антивирусом Касперского как IM-Worm.Win32.Sohanad.it.
Также копирует себя под такими именами: 
%System%\regsvr.exe
%System%\svchost.exe
%WinDir%\regsvr.exe
Всем своим копиям устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Msn Messsenger"="C:\Windows\system32\regsvr.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe regsvr.exe "
Если червь запускается, не имея прав администратора – создает каталог с именем 
%Documents and Settings%\%Current User%\Application Data\
support
создает в нем копию своего исполняемого файла с именем: 
%Documents and Settings%\%Current User%\Application Data\support\regsvr.exe
Также вредонос извлекает в данный каталог файлы: 
%Documents and Settings%\%Current User%\
Application Data\support\svchost.exe
%Documents and Settings%\%Current User%\Application Data\support\svchost.001
и запускает файл "svchost.exe" на выполнение.

Деструктивная активность

Затем червь запускает на выполнение файл: 
%System%\28463\svchost.exe
Запрещает запуск редактора реестра: 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1
После этого при помощи командной строки создает задание, которое каждый день в 9:00 утра запускает на выполнение файл: 
%System%\svchost.exe
Далее открывает на запись файл: 
%System%\setup.ini
и сохраняет в него команды автозапуска файла "regsvr.exe": 
[Autorun]
Open=regsvr.exe
Shellexecute=regsvr.exe
Shell\Open\command=regsvr.exe
Shell=Open
Файл имеет размер 96 байт и детектируется антивирусом Касперского как Trojan.Win32.AutoRun.ke. Файлу червь устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Также троянец пытается выполнить загрузку файла, который располагается по следующим ссылкам: 
http://ya***o.com/setting.xls
http://ya***o.com/setting.doc
и затем сохранить его с именем: 
%System%\setting.ini
На момент создания описания ссылка не работала.
Сохраненному файлу устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Загруженный файл хранит в себе ссылки, по которым червь загружает другое вредоносное ПО. Вредонос собирает ссылки, предварительно выполнив чтение из секции "[setting]", файла настроек "setting.ini", значений параметров "website", "filedownload1", "filedownload2", "filedownload3", "filedownload4", "filedownload5". Загруженный исполняемый файл сохраняется в системном каталоге Windows под именем, указанным в параметрах "filedownload1", "filedownload2", "filedownload3", "filedownload4", "filedownload5". Всем загруженным файлам червь устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Затем, с интервалом в 3 секунды, запускает файлы на выполнение.
Далее червь считывает из файла "setting.ini" строки из ключей "tin[X]" и ссылку из ключа "myweb" секции "[setting]". Где X – число от 0 до 9. Если строки и вэб-адрес отсутствуют - червь, по умолчанию, в качестве URL использует адрес – "http://yahoo.com", а в качестве строк используются следующие: 
cyber cafe scandal visit www. 
World Business news broadcaster www.
Regular monthly income by wearing your 
shorts at the comfort of your home for more info www.
Nfs carbon download www.
Latest video shot of infosys girl www.
Latest video shot of infosys girl www.
stream Video of Nayanthara and Simbu  www.
Aishwarya Rai videos www.
Free mobile games www.
Nse going to crash for more www.
Далее червь находит главное окно клиента мгновенных сообщений "Yahoo!Messenger" и затем имитируя работу пользователя отправляет сообщение всем пользователям из списка контактов. Телом сообщения является строка, выбранная случайным образом из списка приведенного выше:
Также отправляет данную строку в виде поискового запроса из клиента. С интервалом в 1 секунду, червь пытается завершить процессы "game_y.exe" и "cmder.exe". Ищет и закрывает окна, заголовки которых содержат строки: 
System Configuration
Registry
Windows mask
Если червь находит окна с именами "Bkav2006", "[FireLion]" – удаляет параметры "BkavFw" и "IEProtection", с ссылками на исполняемые файлы приложений, из ключа автозагрузки системного реестра: 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

Распространение

Червь получает список всех общедоступных сетевых ресурсов, читая значения параметров ключа реестра: 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]
Во всех каталогах, которые открыты на полный доступ, а также подкаталогах, червь рекурсивно размещает копии своих вредоносных файлов: 
%WinDir%\regsvr.exe
%System%\regsvr.exe
соответственно под именами 
\\<имя_сервера>\<имя_сетевого_ресурса>\New Folder .exe
\\<имя_сервера>\<имя_сетевого_ресурса>\regsvr.exe
Файл с именем: 
%System%\setup.ini
сохраняет под именем: 
\\<имя_сервера>\<имя_сетевого_ресурса>\autorun.inf
Затем файлу устанавливаются атрибуты "Только на чтение", "Скрытый", "Системный". Также данные файлы копируются на все съемные носители: 
X:\autorun.inf
X:\New Folder .exe
X:\regsvr.exe
где X – буква съемного носителя.
После этого создает следующий параметр в ключе реестра: 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]
"shared"="\\New Folder .exe"
Источник: securitylab.ru
0 коммент.
Ярлыки:

Описание работы вируса Trojan-Clicker.Win32.Wistler.a

Вредоносная программа, выполняющая различные деструктивные действия на компьютере. Установочный файл является приложением Windows (PE–EXE файл), может иметь произвольный размер.

Инсталляция

Для автоматического запуска при каждом следующем старте системы вредоносная программа перезаписывает загрузочную область жесткого диска (MBR). Для этого зловред обращается к устройству \\.PhysicalDriveX через функцию CreateFile.
После этого буткит записывает свои данные в неразмеченную область жесткого диска, находящуюся за последним разделом. Сюда записываются оригинальный MBR, идентификационные данные Wistler'a, по которым можно будет определить факт заражения системы, и четыре PE-EXE файла, выполняющие основной вредоносный функционал данной вредоносной программы.


Деструктивная активность

При загрузке компьютера, после инициализации BIOS, управление передается на зараженную MBR вредоносной программы, которая в свою очередь вызывает программный код, записанный установщиком в неразмеченную область жесткого диска.
После этого буткит с помощью перехвата прерывания int 13h отслеживает вызов следующих системных функций: 
BtLoadBootDrivers
IoInitSystem
Таким образом отслеживаются этапы загрузки операционной системы Windows.
После вызова IoInitSystem буткит вновь перехватывает управление и загружает в систему специальный драйвер, предназначенный для скрытого запуска в системе исполняемого PE-EXE файла, который и выполняет основной вредоносный функционал.
Таким образом, основное назначение Trojan-Clicker.Win32.Wistler.a - запуск в скрытном режиме определенных исполняемых файлов, обладающих различным функционалом.
В результате исследования образцов данной вредоносной программы выяснилось, что запускаемые Trojan-Clicker.Win32.Wistler.a файлы имеют два различных основных функционала - Trojan-Clicker и Trojan-DDOS

Trojan-Clicker

Предназначен для несанкционированного пользователем обращения к интернет-страницам с целью увеличение счетчиков посещаемости. В теле программы содержится список адресов, с которыми соединяется зловред.

Trojan-DDOS

Предназначен для организации DDOS атак.
При запуске создает от имени пользователя "system" новый процесс svchost.exe, в адресное пространство которого записывает свой основной вредоносный код.
После этого, от имени процесса "svchost.exe" программа периодически обращается к управляющему серверу: 
http://77.91.225.187/t.php?getCmd&id=_
&rng=&v=4
Где и имя и уникальный идентификатор компьютера соответственно.
С данного адреса вредоносная программа может получать следующие основные команды: 
ddos
(может иметь дополнительные параметры, например "-icmp", "-udp", "-http", "-syn") - проведение Denial of Service атаки на определенный сервер. 
dae
- загрузка и запуск других вредоносных программ. 
nat
- установка на компьютере службы Network Address Translation для анонимного доступа злоумышленника к различным сетевым ресурсам с использования зараженного компьютера. 
update
- загрузка и установка новой версии вредоносной программы.
 
Источник: securitylab.ru
0 коммент.
Ярлыки:

Описание работы вируса Trojan.Win32. StartPage.acxl

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 60720 байт. Упакована Petite. Распакованный размер – около 143 КБ. Написана на C++.



Деструктивная активность

После запуска троянец выполняет следующие действия:
  • извлекает из своего тела файл: 
    %System%\update.reg
    (6344 байта; детектируется Антивирусом Касперского как "Trojan.Win32.StartPage.acxl")
  • Запускает редактор системного реестра "regedit.exe" с параметрами: 
    /s %System%\update.reg
    При этом из извлеченного файла в системный реестр импортируется следующая информация: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\NewStartPanel]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}]
"@" = "Internet Explorer"

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}
\DefaultIcon]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell]
"@" = ""

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\D]
"@" = "??(&D)"

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
D\Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
Open]
"@" = "????"

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
Open\Command]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe 
http://www.9***4.com/?100021"

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??]
"@" = "??"

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??\
Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\ShellFolder]
"@" = ""
"Attributes" = "0000000a"

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}]
"@" = "Internet Explorer"

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\DefaultIcon]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell]
"@" = ""

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\D]
"@" = "??(&D)"

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\D\Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\Open]
"@" = "????"

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\Open\Command]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe 
http://www.9***4.com/?100021"

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\??]
"@" = "??"

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\??\Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\ShellFolder]
"@" = ""
"Attributes" = "0000000a"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace]
"@" = ""

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace\{86AEFBE8-763F-0647-899C-A93278894599}]
"@" = "Ineter Iexplorer.exe"
  • Удаляет файл: 
    %System%\update.reg
  • Находит в системе окно с именем класса "SysListView32", и имитирует нажатие клавиши F5 в данном окне.
  • Внедряет в адресное пространство процессов: 
    conime.exe
wscntfy.exe
mspaint.exe
    исполняемый код, выполняющий следующие действия (размер дампа кода – 122880 байт; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.BHO.lt"):
  • создаются файлы: 
    %System%\winldr.atd (0 байт)
%System%\sysdrvd.cio (0 байт)
  • Для контроля уникальности процесса в системе создается уникальный идентификатор с именем: 
    jj
  • Удаляется файл: 
    %System%\baidu32.dll
  • Из внедренного кода извлекается файл: 
    %System%\baidu32.dll
    (69632 байта; детектируется Антивирусом Касперского как "Trojan.Win32.BHO.aihe")
  • Путем запуска системной утилиты "regsvr32.exe" извлеченная библиотека инсталлируется в систему. При этом создаются следующие ключи системного реестра: 
    [HKCR\IEHlprObj.IEHlprObj.1]
"(Default)" = "IEHlprObj Class"

[HKCR\IEHlprObj.IEHlprObj.1\CLSID]
"(Default)" = "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"

[HKCR\IEHlprObj.IEHlprObj]
"(Default)" = "IEHlprObj Class"

[HKCR\IEHlprObj.IEHlprObj\CurVer]
"(Default)" = "IEHlprObj.IEHlprObj.1"

[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
"(Default)" = "IEHlprObj Class"

[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
ProgID]
"(Default)" = "IEHlprObj.IEHlprObj.1"

[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
\VersionIndependentProgID]
"(Default)" = "IEHlprObj.IEHlprObj"

[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
InprocServer32]
"(Default)" = "%System%\baidu32.dll"
"ThreadingModel" = "Apartment"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]

[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0]
"(Default)" = "IEHelper 1.0 Type Library"

[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\FLAGS]
"(Default)" = "0"

[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\0\win32]
"(Default)" = "%System%\baidu32.dll"

[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\HELPDIR]
"(Default)" = "%System%"

[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}]
"(Default)" = "IIEHlprObj"

[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
TypeLib]
"(Default)" = "{CE7C3CE2-4B15-11D1-ABED-709549C10000}"
"Version" = "1.0"
  • После паузы в 9 минут производится попытка установки соединения с сервером: 
    update.9***4.com
    Если соединение успешно установлено, троянец переходит в цикл обработки команд. По команде злоумышленника могут выполняться такие действия как
    • загрузка и запуск файлов;
    • организация DoS-атак;
    • рассылка спама.
    Библиотека "%System%\baidu32.dll" инсталлируется как плагин для браузера Internet Explorer:
    и реализует функционал, позволяющий отслеживать адреса посещаемых пользователем страниц, а также данные, вводимые пользователем в различные формы авторизации. Собранная информация отправляется на сервера: 
    www.g***00.com
www.cp***yj.com
www.9***4.com
Источник: securitylab.ru
0 коммент.
Ярлыки:

Описание работы вируса Trojan.Win32. Qhost.oyj

Троянская программа, блокирующая доступ к Интернет ресурсам. Является приложением Windows (PE-EXE файл). Имеет размер 233472 байта. Написана на C++.



Деструктивная активность

Данная троянская программа извлекается и запускается на исполнение другой вредоносной программой, детектирующейся антивирусом Касперского как Trojan.Win32.Qhost.oyk.
В зависимости от параметра, с которым был запущен, троянец может выполнять следующие действия:
  • Если имя параметра было "-restore": Не позволяет удалить свой файл. Останавливает работу службы с именем "srv32", после чего запускает на исполнение свое тело с параметром "-start".
  • Если имя параметра было "-service": Вызывает функцию "StartServiceCtrlDispatcher" для установки связи главного потока процесса службы "srv32" с диспетчером управления службами.
  • Если имя параметра было "-start": Запускает службу с именем "srv32". Служба предназначена для завершения и блокировки запуска следующих процессов: 
    ta_skmgr.exe
Tas_kmgr.exe
regedit.exe
Regedit.exe
rstrui.exe
Rstrui.exe
msconfig.exe
Msconfig.exe
MSConfig.exe
MSCONFIG.EXE
apache.exe
nginx.exe
lighthttpd.exe
    Таким образом троянец блокирует запуск:
    1. приложения восстановления системы;
    2. утилиты для управления автозапуском программ и загрузкой Windows;
    3. программы для просмотра и редактирования реестра;
    4. процессов веб-серверов "Apache", "lighttpd" и "nginx".
    При этом имя процесса "Диспетчера задач Windows" указано с ошибкой —"ta_skmgr.exe". Троянец поднимает на зараженной машине веб-сервер. Таким образом при обращении к зараженной машине пользователь увидит следующее окно:
    Где предлагается отправить SMS с текстом "503745002411" на короткий номер "6681".
    Поскольку троянец, извлекающий данную вредоносную программу, модифицировал файл "hosts": 
    %System%\drivers\etc\hosts
    то пользователь также будет видеть окно с предложением отправить SMS при обращении к следующим ресурсам: 
    vkontakte.com
www.vkontakte.ru
www.odnoklassniki.ru
livejournal.com
yahoo.com
mail.ru
www.yandex.com
facebook.ru
www.rambler.ru
yandex.com
aport.ru
vk.com
www.habrahabr.ru
www.vkontakte.com
www.odnoklassniki.com
www.lj.ru
www.google.com
google.com
facebook.com
bing.com
www.mail.ru
www.vk.com
www.facebook.ru
vkontakte.ru
www.facebook.com
www.bash.org.ru
www.aport.ru
www.bing.com
odnoklassniki.com
rambler.ru
fishki.net
odnoklassniki.ru
www.qip.ru
livejournal.ru
www.livejournal.com
yandex.ru
habrahabr.ru
www.livejournal.ru
www.yahoo.com
www.fishki.net
www.yandex.ru
bash.org.ru
www.google.ru
    Помимо этого служба препятствует изменению оригинального тела троянца, а также файла "hosts": 
    %System%\drivers\etc\hosts
    Таким образом противодействуя попыткам пользователя или антивирусной программы при восстановлении полноценной работы системы.
  • Если имя параметра было "-stop": Останавливает выполнение службы с именем "srv32".
  • Если имя параметра было "-install": Создает службу с именем "srv32" при этом в реестр добавляется следующая информация: 
    [HKLM\SYSTEM\CurrentControlSet\Services\srv32]
"Type" = "10"
"Start" = "2"
"ErrorControl" = "1"
"ImagePath" = "<путь к оригинальному телу троянца> -
service"
"DisplayName"="Network Responder Service"
"ObjectName"="LocalSystem"
"Description"="Provides network traffic transformation, 
addressing, name resolution and/or intrusion prevention 
services for a home or small office network."
    Таким образом служба троянца будет запускаться при каждом следующем старте системы.
  • Если имя параметра было "uninstall": Удаляет тело троянца и удаляет службу с именем "srv32".
Источник: securitylab.ru
0 коммент.
Ярлыки:

Описание работы вируса Trojan-Downloader. WMA.GetCodec.ae

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является видео-файлом в формате WMV. Имеет размер 4185879 байт.



Деструктивная активность

Троянец использует реализованную в проигрывателе Windows Media возможность встраивания в поток видео команды сценария "URLAndExit". Это позволяет во время воспроизведения потока загружать из сети Интернет файл под видом необходимого кодека для Windows Media Player. Загрузка файла выполняется по следующей URL: 
http://my.div***dec.com?r=wmp&title=a
Загруженный файл сохраняется в каталоге "%Temporary Internet Files%". На момент создания описания загружался CAB-архив, размером 472074 байта, содержащий следующие файлы: 
wvc1dmod.dll (1184984 байта)
wvc1dmo.inf (1516 байт)
Источник: securitylab.ru
0 коммент.
Ярлыки:
Подписаться на: Сообщения (Atom)