Поведение
Worm, сетевой червь.
Технические детали
Червь, создающий свои копии на съемных носителях информации. Является приложением Windows (PE-EXE файл). Имеет размер 115760 байт.
Инсталляция
После запуска червь копирует свой исполняемый файл в системный каталог Windows:
%System%/kavo.exe
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"kava" = "%System%/kavo.exe"
Также червь извлекает из своего тела следующий файл:
%System%/kavo0.dll
Данный файл имеет размер 89088 байт и детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.mbs.
Также червь извлекает из своего тела файл размером 31545 байт:
%Temp%/.dll
Распространение
Червь копирует свой исполняемый файл в корень каждого раздела со следующим именем:
X:/XAdeIect.com
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
X:/autorun.inf
где X – буква раздела.
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность
Червь подгружает извлеченную библиотеку во все запущенные в системе процессы.
Также червь перехватывает нажатия клавиш клавиатуры и мыши, если запущен один из следующих процессов:
maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe
Червь собирает информацию об учетных записях игроков следующих игр:
ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver
Собранные данные отправляются на сайт злоумышленника.
Также червь изменяет значения следующих параметров ключей системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "0"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "2"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"ShowSuperHidden" = "0"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Pocilies/Explorer]
"NoDriveTypeAutoRun" = "0x91"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл:
%System%/kavo.exe
- Перезагрузить компьютер.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"kava" = "%System%/kavo.exe"
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "0"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "2"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"ShowSuperHidden" = "0"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Pocilies/Explorer]
"NoDriveTypeAutoRun" = "0x91"
- Удалить файлы:
%Temp%/.dll
%System%/kavo0.dll
- Удалить файлы со всех съемных дисков:
X:/XAdeIect.com
X:/autorun.inf
где X – буква диска.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
