Другие модификации: .bt, .dv, .fx, .ih

Технические детали

Вредоносная программа. Является библиотекой Windows (PE DLL-файл).

Инсталляция

Копирует свой исполняемый файл в следующие папки со случайными именами вида:

%Program Files%/Internet Explorer/rnd.dll
%Program Files%/Windows Media Player/rnd.dll
%Program Files%/WindowsNT/rnd.dll
%Program Files%/Movie Maker/rnd.dll
%SpecialFolder%/rnd.dll
%System%/rnd.dll
%Temp%/rnd.dll

где rnd — случайная последовательность символов.

Для автоматического запуска при следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd" = "rundll32.exe путь к файлу троянца"

где rnd — случайная последовательность символов.

Также удаляет следующий ключ реестра с целью сделать невозможным запуск системы в безопасном режиме:

[HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot]

Удаляет следующий ключ системного реестра, отключая уведовления центра безопасности Windows (Windows Security Center):

[HKLM/Software/Microsoft/Windows/CurrentVersion/explorer/ShellServiceObjects/
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]

Удаляет значение автозапуска для Windows Defender:

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Windows Defender]

Также изменяет значение следующего ключа реестра, добавляя ссылку на службу троянца:

[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SvcHost]
"netsvcs" = "оригинальное значение имя службы троянца"

Для автоматического запуска при следующем старте системы троянец создает службу, которая запускает его библиотеку при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:

[HKLM/SYSTEM/CurrentControlSet/Services/%rnd%]
"Description" = "описание одной из системных служб"
"DisplayName" = "Manager Security"
"ImagePath" = REG_EXPAND_SZ, "%SystemRoot%/system32/svchost.exe -k netsvcs"
"Start" = "dword:0x00000002"
[HKLM/SYSTEM/CurrentControlSet/Services/%rnd%/Parameters]
"ServiceDll" = "%System%/%rnd%.dll"

где %rnd% — случайная последовательность символов.

Отображаемое имя службы составляется из следующих слов:

Policy
Discovery
Storage
Power
Logon
Machine
Browser
Management
Framework
Component
Trusted
Backup
Notify
Audit
Control
Hardware
Windows
Update
Universal
Task
Support
Shell
Security
Network
Monitor
Microsoft
Manager
Installer
Image
Helper
Driver
Config
Center
Boot

Имя службы составляется из комбинации следующих слов:

Time
System
svc
Svc
srv
Srv
Service
Server
serv
prov
mon
mgmt
man
logon
auto
agent
access

А также включает слово из следующего списка:

xml
wuau
wsc
Wmi
Wmdm
win
W32
Trk
Tapi
Sec
Remote
Ras
Ntms
Net
Lanman
Ias
help
Event
Audio
App

Для определения своего присутствия в системе создает следующий уникальный идентификатор:

Global/%rnd%-%rnd%
Global/%rnd%-7

Деструктивная активность

Вредоносная программа проверяет, если текущая дата позднее 1 апреля 2009 года, то запускает свой деструктивный функционал.

Осуществляет проверку на наличие следующих папок в системе:

Adobe
Agent
App
Assemblies
assembly
Boot
Build
Calendar
Collaboration
Common
Components
Cursors
Debug
Defender
Definitions
Digital
Distribution
Documents
Downloaded
en
Explorer
Files
Fonts
Gallery
Games
Globalization
Google
Help
IME
inf
Installer
Intel
Inter
Internet
Java
Journal
Kernel
L2S
Live
Logs
Mail
Maker
Media
Microsoft
Mobile
Modem
Movie
MS
msdownld
NET
New
Office
Offline
Options
Packages
Pages
Patch
Performance
Photo
PLA
Player
Policy
Prefetch
Profiles
Program
Publish
Reference
Registered
registration
Reports
Resources
schemas
Security
Service
Setup
Shell
Software
Speech
System
Tasks
Temp
tmp
tracing
twain
US
Video
Visual
Web
winsxs
Works
Zx

Если данные папки не обнаружены — прекращает свою работу.

При запуске отключает следующие службы в зависимости от модификации:

Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend, WinDefender)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)

Для этого изменяет исходное значение параметра Start для каждой службы на следующее:

"Start" ="dword:0x00000004"

Троянец внедряет свой код в адресное пространство системных процессов:

svchost.exe
explorer.exe (если запись в svchost.exe не была успешной)
services.exe (для Windows 2000)

Внедренный код выполняет основной деструктивный функционал троянца:

Троянец не использует драйвер для доступа к сетевому протоколу, как это было реализовано в черве Kido.

Троянец устанавливает перехваты на следующие API вызовы (из библиотеки dnsrslvr.dll) с целью заблокировать доступ к списку пользовательских доменов:

DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
NetpwPathCanonicalize
InternetGetConnectedState

Блокирует доступ к сайтам и адресам, содержащим следующие строки:

vet.
sans.
nai.
msft.
msdn.
llnwd.
llnw.
kav.
gmer.
cert.
ca.
bit9.
avp.
avg.
windowsupdate
wilderssecurity
virus
virscan
trojan
trendmicro
threatexpert
threat
technet
symantec
sunbelt
spyware
spamhaus
sophos
secureworks
securecomputing
safety.live
rootkit
rising
removal
quickheal
ptsecurity
prevx
pctools
panda
onecare
norton
norman
nod32
networkassociates
mtc.sri
msmvps
msftncsi
mirage
microsoft
mcafee
malware
kaspersky
k7computing
jotti
ikarus
hauri
hacksoft
hackerwatch
grisoft
gdata
freeav
free-av
fortinet
f-secure
f-prot
ewido
etrust
eset
esafe
emsisoft
dslreports
drweb
defender
cyber-ta
cpsecure
conficker
computerassociates
comodo
clamav
centralcommand
ccollomb
castlecops
bothunter
avira
avgate
avast
arcabit
antivir
anti-
ahnlab
agnitum

Завершает процессы, в именах которых присутствуют следующие строки:

wireshark
unlocker
tcpview
sysclean
scct_
regmon
procmon
procexp
ms08-06
mrtstub
mrt.
mbsa.
klwk
kido
kb958
kb890
hotfix
gmer
filemon
downad
confick
avenger
autoruns

Таким образом, троянец блокирует доступ пользователю к основным сайтам где можно скачать обновление антивирусных баз или специальные утилиты удаления вредоносных программ.

Троянец проверяет наличие соединения с Интернет, проверяя подключение к следующим сайтам:

netlog.com, yandex.ru, zedo.com, doubleclick.com, 2ch.net, allegro.pl, hi5.com, seznam.cz, ebay.com, odnoklassniki.ru, myspace.com, go.com, yahoo.com, fastclick.com, sourceforge.net, comcast.net, wikimedia.org, miniclip.com, mininova.org, facebook.com, adultadworld.com, 4shared.com, skyrock.com, biglobe.ne.jp, download.com, youporn.com, adultfriendfinder.com, nicovideo.jp, rambler.ru, foxnews.com, terra.com.br, zshare.net, bigpoint.com, yahoo.co.jp, dell.com, ziddu.com, livejournal.com, mixi.jp, rediff.com, youtube.com, mywebsearch.com, tube8.com, xhamster.com, naver.com, tribalfusion.com, narod.ru, hyves.nl, xiaonei.com, clicksor.com, adsrevenue.net, mail.ru, files.wordpress.com, tinypic.com, ebay.it, digg.com, linkbucks.com, imdb.com, tagged.com, nba.com, msn.com, blogfa.com, recvfrom, livedoor.com, linkedin.com, kaixin001.com, reference.com, megaporn.com, torrentz.com, orange.fr, geocities.com, pcpop.com, paypopup.com, fc2.com, partypoker.com, ask.com, googlesyndication.com, badongo.com, goo.ne.jp, aweber.com, answers.com, espn.go.com, seesaa.net, metroflog.com, aim.com, megaclick.com, metacafe.com, netflix.com, sonico.com, photobucket.com, awempire.com, depositfiles.com, imageshack.us, gougou.com, pornhub.com, mediafire.com, typepad.com, imeem.com, perfspot.com, 56.com, soso.com, ameba.jp, friendster.com, google.com, tuenti.com, imagevenue.com, taringa.net, badoo.com, disney.go.com, livejasmin.com, multiply.com, ucoz.ru, flickr.com, mapquest.com, ameblo.jp, pogo.com, apple.com, cricinfo.com, ebay.co.uk, studiverzeichnis.com, vkontakte.ru, wordpress.com, rapidshare.com, wikipedia.org, icq.com, xnxx.com, veoh.com, ning.com, pconline.com.cn, tudou.com, sakura.ne.jp, fotolog.net, bbc.co.uk, conduit.com, vnexpress.net, ebay.de, craigslist.org, live.com, xvideos.com, ioctlsocket, tianya.cn, alice.it, bebo.com, verizon.net, megaupload.com, kooora.com, thepiratebay.org

Основной функционал

Производит загрузку файлов со следующего URL:

http:///search?q=%rnd2%

где rnd2 — случайное число, URL — ссылка, сформированная по специальному алгоритму в зависимости от текущей даты.

В алгоритме создания доменных имен используется Microsoft Base Cryptographic Provider v1.0 для генерации псевдослучайных значений.

Локализации доменов выбираются из следующего списка:

vn, vc, us, tw, to, tn, tl, tj, tc, su, sk, sh, sg, sc, ru, ro, ps, pl, pk, pe, no, nl, nf, my, mw, mu, ms, mn, me, md, ly, lv, lu, li, lc, la, kz, kn, is, ir, in, im, ie, hu, ht, hn, hk, gy, gs, gr, gd, fr, fm, es, ec, dm, dk, dj, cz, cx, cn, cl, ch, cd, ca, bz, bo, be, at, as, am, ag, ae, ac, com.ve, com.uy, com.ua, com.tw, com.tt, com.tr, com.sv, com.py, com.pt, com.pr, com.pe, com.pa, com.ni, com.ng, com.mx, com.mt, com.lc, com.ki, com.jm, com.hn, com.gt, com.gl, com.gh, com.fj, com.do, com.co, com.bs, com.br, com.bo, com.ar, com.ai, com.ag, co.za, co.vi, co.uk, co.ug, co.nz, co.kr, co.ke, co.il, co.id, co.cr

Новая модификация троянца генерирует 50000 доменных имен в сутки, при этом пропускает следующие группы адресов:

127.x.x.x
169.254.x.x
x.198.x.x
x.255.255.253
224-239.x.x.x
240-255.x.x.x

Из данного списка троянец выбирает 500 произвольных имен и пытается подключиться к ним для загрузки файлов. Если подключение не произошло, через некоторое время выбираются следующие 500 имен.

Также троянец имеет в теле «черный» список IP адресов, принадлежащих компаниям в сфере безопасности — 399 IP адресов.

Текущую дату троянец запрашивает с одного из следующих сайтов:

http://www.w3.org
http://www.ask.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
http://www.rapidshare.com
http://www.imageshack.us
http://www.facebook.com

Если соединение установить не удалось, то используется текущая дата из системы пользователя.

Загруженные файлы сохраняются в папку:

%Temp%/%computer _id%/%rnd%.tmp

где rnd — случайная последовательность символов.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить ключ системного реестра:

[HKLM/SYSTEM/CurrentControlSet/Services/%rnd%]

2. Удалить строку "%System%/rnd.dll" из значения следующего параметра ключа реестра:

[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SvcHost] "netsvcs"

3. Восстановить следующие ключи реестра:

[HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot]
[HKLM/Software/Microsoft/Windows/CurrentVersion/explorer/ShellServiceObjects
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Windows Defender]

4. Перезагрузить компьютер
5. Удалить файлы:

%Program Files%/Internet Explorer/.dll
%Program Files%/Windows Media Player/.dll
%Program Files%/WindowsNT/rnd.dll
%Program Files%/Movie Maker/rnd.dll
%SpecialFolder%/rnd.dll
%System%/rnd.dll
%Temp%/rnd.dll

6. Восстановить режим запуска служб:

wscsvc - Security Center
wuauserv - Automatic updates
BITS - Background Intelligent Transfer Service
WinDefend - Windows Defender
ERSvc - Error Reporting Service
WerSvc - Windows Error Reporting Service

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: viruslist.com.

перейти в архив