Технические детали
Вредоносная программа, перехватывающая обращения пользователя к различным сайтам, перенаправляя их на адреса злоумышленника. Кроме этого содержит функционал для рассылки фишинговых писем. Распространяется по электронной почте и используя Peer-to-Peer сети. Является приложением Windows (PE-EXE файл). Имеет размер ~300 кБайт. Написана на С++.
Инсталляция
После запуска вредоносная программа копирует свой исполняемый файл в системный каталог windows:
%system%\HPWuSchdq.exe
А также извлекает из себя и создает на диске исполняемый файл, который также является частью вредоносной программы:
%appdata%\SystemProc\lsass.exe
Для автоматического запуска при каждом следующем старте системы добавляет ссылку на свои исполняемые файлы в следующие ключи автозапуска системного реестра:
[HKСU\Software\Microsoft\Windows\CurrentVersion\Run]
"HP Software Updater v1.2"="%system%\HPWuSchdq.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"RTHDBPL"="%appdata%\SystemProc\lsass.exe"
Добавляет свой файл в список доверенный приложений Windows Firewall:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\Auth orizedApplications\List]
"%system%\HPWuSchdq.exe"="%system%\HPWuSchdq.exe:*:Enabled:Explorer"
Также программа может создавать следующие значения ключа реестра, в которых хранит свои настройки:
[HKСU\Identities]
"Curr version"
"Inst Date"
"Last Date"
"Send Inst"
"First Start"
"Popup count"
"Popup date"
"Popup time"
"KillSelf"
Деструктивная активность
После установки программа сообщает серверу об удачном заражении компьютера по следующему адресу:
http://contr***.com/inst.php?aid=blackout
Определяет местоположение компьютера по его ip адресу, запрашивая его с сайта:
http://whatis***.com/automation/n09230945.asp
Далее программа следит за работой следующих браузеров:
Internet Explorer
Opera
Google Chrome
Mozilla Firefox
Если пользователь заходит на страницу, в заголовке которой содержится одно и слов:
cialis pharma casino finance mortgage insurance gambling health hotel travel
antivirus antivir pocker poker video vocations design graphic football footbal
estate baseball books gifts money spyware credit loans dating myspace
virus verizon amazon iphone software mobile music craigslist sport medical school
wallpaper military weather twitter fashion spybot trading tramadol flower
cigarettes doctor flights airlines comcast
Программа перехватывает это запрос к странице, и перенаправляет его на адрес:
http://oxobla***.com/se.php?pop=1&aid=YmxhY2tvdX
QA9D8&sid=<rnd>&key=<keyword>
Где <rnd>- сгенерированное число, <keyword> - одно из указанных выше ключевых слов.
Также программа отслеживает все поисковые запросы пользователя, которые он вводит в следующих поисковых системах:
google
yahoo
live
msn
bing
youtobe
Информация вводимая в строку поиска отправляется на адрес:
http://tetro***.com/request.php?aid=blackout&ver=25
Программа выполняет поиск всех Email адресов на компьютере, по которым далее рассылает следующие письма:
В этом письме ссылка "visit our verification page" направляет пользователя на поддельную фишинговую страницу http://bar***.ath.cx/LogIn.html, контролируемую злоумышленником.
На данной странице пользователю предлагается ввести конфиденциальные данные для доступа к системе интернет-банкинга Barclays Bank.
Завершает процессы известных антивирусов и антивирусных утилит, в том числе
Kaspersky Anti-Virus
Antivirus System Tray Tool
Avira Internet Security
AntiVir PersonalEdition Classic Service
Rising Process Communication Center
При этом также удаляя ссылки на них из ключа автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Может блокировать доступ к сайтам различных антивирусных компаний.
Отключает службу контроля пользовательских учетных записей (User Account Control) в Windows Vista/7:
[HKLM\SOFTWARE\Microsoft\Security Center]
"UACDisableNotify"=dword:00000001 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA"=dword:00000000
А также отключает следующие сервисы:
ERSvc - Служба регистрации ошибок (Error Reporting Service)
wscsvc - Служба центра обеспечения безопасности(Windows Security Center Service)
Программа скачивает обновление с одного из следующих адресов:
http://simfree***.com/update.php?sd=2010-04-27&aid=blackout
http://posit***.com/update.php?sd=2010-04-27&aid=blackout
http://rts***.com/update.php?sd=2010-04-27&aid=blackout
http://quli***.com/update.php?sd=2010-04-27&aid=blackout
Новая версия вредоносной программы скачивается в файл C:\autoexec.exe и запускается, после чего этот файл удаляется.
На момент создания описания ссылка не работала.
Распространение
Для распространения по электронной почте, программа рассылает себя в следующих письмах, прикрепляя свой исполняемый файл в приложение к письму под разными именами:
Также распространяется используя Peer-to-Peer сети, копируя себя в следующие расшаренные папки:
%ProgramFiles%\winmx\shared\
%ProgramFiles%\tesla\files\
%ProgramFiles%\limewire\shared\
%ProgramFiles%\morpheus\my shared folder\
%ProgramFiles%\emule\incoming\
%ProgramFiles%\edonkey2000\incoming\
%ProgramFiles%\bearshare\shared\
%ProgramFiles%\grokster\my grokster\
%ProgramFiles%\icq\shared folder\
%ProgramFiles%\kazaa lite k++\my shared folder\
%ProgramFiles%\kazaa lite\my shared folder\
%ProgramFiles%\kazaa\my shared folder\
Под следующими именами:
YouTubeGet 5.6.exe
Youtube Music Downloader 1.3.exe
WinRAR v3.x keygen [by HiXem].exe
Windows2008 keygen and activator.exe
[+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe
Windows Password Cracker + Elar3 key.exe
[Eni0j0 team] Windows 7 Ultimate keygen.exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe
Website Hacker.exe
[Eni0j0 team] Vmvare keygen.exe
VmWare 7.x keygen.exe
UT 2003 KeyGen.exe
Twitter FriendAdder 2.3.9.exe
Tuneup Ultilities 2010.exe
[antihack tool] Trojan Killer v2.9.4173.exe
Total Commander7 license+keygen.exe
Super Utilities Pro 2009 11.0.exe
Sub7 2.5.1 Private.exe
Sophos antivirus updater bypass.exe
sdbot with NetBIOS Spread.exe
[fixed]RapidShare Killer AIO 2010.exe
Rapidshare Auto Downloader 3.8.6.exe
Power ISO v4.4 + keygen milon.exe
[patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe
[patched, serial not needed] PDF to Word Converter 3.4.exe
PDF password remover (works with all acrobat reader).exe
Password Cracker.exe
Norton Internet Security 2010 crack.exe
Norton Anti-Virus 2010 Enterprise Crack.exe
Norton Anti-Virus 2005 Enterprise Crack.exe
NetBIOS Hacker.exe
NetBIOS Cracker.exe
[patched, serial not need] Nero 9.x keygen.exe
Myspace theme collection.exe
MSN Password Cracker.exe
Mp3 Splitter and Joiner Pro v3.48.exe
Motorola, nokia, ericsson mobil phone tools.exe
Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
Microsoft Visual Studio KeyGen.exe
Microsoft Visual C++ KeyGen.exe
Microsoft Visual Basic KeyGen.exe
McAfee Total Protection 2010 [serial patch by AnalGin].exe
Magic Video Converter 8.exe
LimeWire Pro v4.18.3 [Cracked by AnalGin].exe
L0pht 4.0 Windows Password Cracker.exe
K-Lite Mega Codec v5.2 Portable.exe
K-Lite Mega Codec v5.2.exe
Keylogger unique builder.exe
Kaspersky Internet Security 2010 keygen.exe
Kaspersky AntiVirus 2010 crack.exe
IP Nuker.exe
Internet Download Manager V5.exe
Image Size Reducer Pro v1.0.1.exe
ICQ Hacker Trial version [brute].exe
Hotmail Hacker [Brute method].exe
Hotmail Cracker [Brute method].exe
Half-Life 2 Downloader.exe
Grand Theft Auto IV [Offline Activation + mouse patch].exe
Google SketchUp 7.1 Pro.exe
G-Force Platinum v3.7.6.exe
FTP Cracker.exe
DVD Tools Nero 10.x.x.x.exe
Download Boost 2.0.exe
Download Accelerator Plus v9.2.exe
Divx Pro 7.x version Keymaker.exe
DivX 5.x Pro KeyGen generator.exe
DCOM Exploit archive.exe
Daemon Tools Pro 4.8.exe
Counter-Strike Serial key generator [Miona patch].exe
CleanMyPC Registry Cleaner v6.02.exe
Brutus FTP Cracker.exe
Blaze DVD Player Pro v6.52.exe
BitDefender AntiVirus 2010 Keygen.exe
Avast 5.x Professional.exe
Avast 4.x Professional.exe
Ashampoo Snap 3.xx [Skarleot Group].exe
AOL Password Cracker.exe
AOL Instant Messenger (AIM) Hacker.exe
AnyDVD HD v.6.3.1.8 Beta incl crack.exe
Anti-Porn v13.x.x.x.exe
Alcohol 120 v1.9.x.exe
Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe
Adobe Illustrator CS4 crack.exe
Adobe Acrobat Reader keygen.exe
Ad-aware 2010.exe
[patched, serial not needed] Absolute Video Converter 6.2-7.exe