Технические детали
Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 171519 байт. Написана на С++.
Деструктивная активность
После запуска, для контроля уникальности своего процесса в системе вредонос создает уникальные идентификаторы с именами "Op1mutx9", "Ap1mutx7". Затем вредонос в отдельном потоке создает копию своего оригинального процесса. Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000002
Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline"=dword:00000000
Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]
Добавляет себя в список разрешенных для доступа в сеть приложений в файервол Windows, сохраняя следующий параметр в ключе реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\
AuthorizedApplications\List] "<путь_к_оригинальному_файлу_червя>"=
"<путь_к_оригинальному_файлу_вируса>:
*:Enabled:ipsec"
Далее создает ключи реестра, в которых сохраняет свою служебную информацию:
[HKCU\Software\<имя_пользвателя>914\903692176]
"1953719636"=dword:00000001 "-387528024"=dword:00000000
"1566191612"=dword:00000000
"-775056048"=dword:0000001e
"1178663588"=dwo rd:0000008f
"1162584072"="0400687474703A2F2F38392E3131392E36372E3135342F7465 73746F352F00687474703A2F2F6B756B7574727573746E65743737372E696E6 66F2F686F6D652E67696600687474703A2F2F6B756B7574727573746E657438 38382E696E666F2F686F6D652E67696600687474703A2F2F6B756B757472757 3746E65743938372E696E666F2F686F6D652E67696600"
"791135564"="7439D18CF99ADB97C70A1EA4EA1DDEB3A46AF9AF9995ACD22 104A39789171EB3633818AD029260106FF7F47FE0DE6244028206B85FFFAD2 26E9742031F5914A424C8AAD11CCC09A683D5C288F7B6E1F47648BB650989 5D8CEFEAA4FC96A6440B61FA7545CEB6A4B60F5D6273763CD021B75224603
D4E837AD74FFC1C93A050D600"
[HKCU\Software\<имя_пользвателя>914]
"T_<rnd>"="rnd"
где rnd– случайные числа.
Затем находит файл с именем:
%WinDir%\system.ini
и добавляет в него следующую запись:
[MCIDRV_VER]
DEVICEMB=1812931242030
После этого вредонос извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:
%System%\drivers\.sys
где rnd – случайные латинские прописные буквы, например, "mgpgjg". Данный файл имеет размер 5509 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.aa. Извлеченный драйвер запускается под видом службы с именем "asc3360pr".
Затем, в отдельных потоках вредонос циклически выполняет следующие действия:
Отключает запуск ОС в безопасном режиме, удаляя параметр "AlternateShell", в ключе реестра:
[HKLM\System\CurrentControlSet\Control\SafeBoot]
а также удаляет ключи со всеми подключами и параметрами:
[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal]
[HKLM\System\CurrentControlSet\Control\SafeBoot\Network]
Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:
%Temp%\
Пытается выполнить загрузку файлов, расположенных по ссылкам:
http://89.***.***.154/testo5/?=
http://*****trustnet777.info/home.gif?=
http://*****trustnet888.info/home.gif?=
http://*****trustnet987.info/home.gif?=
http://www.*****e9fqwieluoi.info/?=
где rnd- случайная цифробуквенная последовательность;
rnd1 – случайная цифровая последовательность.
В случае успешной загрузки – файлы сохраняются с именами:
%Temp%\win.exe
гдеrnd – случайные 4 латинские буквы. Затем каждый файл запускается на выполнение.
На момент создания описания указанные ссылки не работали.
Останавливает и удаляет службы со следующими именами:
AgnitumClientSecurityService
ALG
aswUpdSv
avast!Antivirus
avast!MailScanner
avast!WebScanner
BackWebPlug-in-4476822
bdss
BGLiveSvc
B lackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
EsetService
F-ProtAntivirusUpdateMonitor
fsbwsys
FSDFWD
F-SecureGatekeeperHandlerStarter
f shttps
FSMA
InoRPC
InoRT
InoTask
ISSVC
KPF4
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
N PFMntor
NSCService
OutpostFirewallmainmodule
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
P REVSRV
ProtoPortFirewallservice
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
SymantecCoreLC
Tmntsrv
TmPfw
tmproxy
UmxAgent
UmxCfg
U mxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP
Завершает процессы, содержащие в своем имени следующие строки:
_AVPM.
A2GUARD.
AAVSHIELD.
AVAST
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALMON.
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
AVZ.
ANTIVIR
AN TS.
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCO N.
ATUPDATER.
ATWATCH.
AUPDATE.
AUTODOWN.
AUTOTRACE.
AUTOUPDATE.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL .
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
A VPCC.
AVPM.
AVAST
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BACKWEB-4476822.
BDMCON.
BDNEWS.
BDOESRV.
BDSS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
C LAW95.
CLAW95CF.
CLEANER.
CLEANER3.
CLISVC.
CMGRDIAN.
CUREIT
DEFWATCH.
DOORS.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
E SCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FAST.
FCH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
F PAVUPDM.
F-PROT95.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
EGUI.
FSMA32.
FSMB3 2.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES .
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KM AILMON.
KPFWSVC.
KWATCH.
LOCKDOWN2000.
LOGWATNT.
LUALL.
LUCOMSERVER.
LUUPDATE.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
M INILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NOD32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
N ORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTXCONFIG.
NUPGRADE.
NVC9 5.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST.
PAV.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PS IMSVC.
QHM32.
QHONLINE.
QHONSVC.
QHPF.
QHWSCSVC.
RAVMON.
RAVTIMER.
REALMON.
REALMON95.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
S AVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCAN32.
SCANNINGPROCESS.
CUREIT.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDE RML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SY MWSC.
SYNMGR.
TAUMON.
TBMON.
AVAST
TDS-3.
TEATIMER.
TFAK.
THAV.
THSM.
TMAS.
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJS CAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCHK.
VCRMON.
VETTRAY.
VIRUSKEEPER.
VPTRAY.
VRFWSVC.
VRMONNT.
VR MONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBPROXY.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WI NSS.
WINSSNOTIFY.
WRADMIN.
WRCTRL.
XCOMMSVR.
ZATUTOR.
ZAUINST.
ZLCLIENT.
ZONEALARM. Ищет окна с текстом "dr.web", "cureit" и завершает процессы, которые создают данные окна.
Выполняет поиск и удаление файлов с расширением "VDB", "KEY", "AVC", "drw".
При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки:
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal .
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
Заражение файлов
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:
EXE
SCR
Вирус не заражает файлы размером больше 20971520 байт и меньше 512 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредонос копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:
%Temp%\__Rar\<имя запускаемого файла>.exe
Автозагрузка
Для автозапуска своего оригинального файла, вредонос создает в корневом каталоге всех логических дисков скрытый файл:
:\autorun.inf
в котором сохраняет команды запуска файла вредоноса. При открытии логического диска в "Проводнике" происходит автозагрузка вредоноса.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
При помощи Диспетчера задач завершить вредоносный процесс.
Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить ключ реестра (как работать с реестром?):
[HKCU\Software\<имя_пользвателя>914]
Удалить параметры в ключах реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000002 [HKLM\System\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List] "<путь_к_оригинальному_файлу_червя>"="
<путь_к_оригинальному_файлу_червя>:*:Enabled:ipsec"
При необходимости включить UAC (User Account Control):
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA" = dword:00000001
Восстановить работу остановленных вредоносом служб.
При наличии удалить файл:
%Temp%\win<rnd>.exe
гдеrnd – случайные 4 латинские буквы