Технические детали
Бэкдор с функционалом червя, создающий свои копии на локальных и съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 13330 байт.
Инсталляция
Бэкдор копирует свой исполняемый файл как:
%System%/drivers/svchost.exe
а так же в следующие папки:
%Program Files%/Windows Media Player
%Program Files%/Internet Explorer/Connection Wizard
%Program Files%/Common Files/Microsoft Shared
%WinDir%/addins
%System%/dllcache
%System%/IME
%WinDir%/system
c именем состоящим из случайной последовательности прописных букв и расширением .exe.
Распространение
Бэкдор копирует свой исполняемый файл в корень всех съемных дисков со следующим именем:
X:/setup.exe
Также вместе со своим исполняемым файлом бэкдор помещает в корень раздела сопровождающий файл:
X:/autorun.inf, где X – буква съемного раздела.
Данный файл запускает исполняемый файл бэкдора каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.
Деструктивная активность
Данный бэкдор заражает исполняемые файлы. С этой целью вредоносная программа сканирует жесткий диск компьютера в поисках файлов с расширением “.exe”, имеющих PE-формат и функцию “CreateProcessA” в таблице импортов. Если такой файл найден, бэкдор вставляет свой код в конец первой исполняемой секции и перенаправляет точку входа в программу на него. Вставленный код при запуске программы будет запускать произвольную копию бэкдора на жестком диске, путь к которой задан статически.
Таким образом, при каждом запуске зараженной программы будет запускаться и исполняемый файл бэкдора.
Файлы, находящиеся в следующих папках не заражаются:
Movie Maker
Microsoft Frontpage
WINNT
ComPlus Applications;Messenger
NetMeeting
Internet Explorer
Messenger
WindowsUpdate
Windows NT
Recycled
System Volume Information
Documents and Settings
WINDOWS
Outlook Express
Windows Media Player
При запуске бэкдор запускает копию системного процесса svchost.exe и внедряет в него свой код, который выполняет следующие действия:
Получает со следующего адреса:
htpp://wblove917.*****org:917
список адресов для проведения DDOS атаки. Скачанный список сохраняется в файл:
%System%/svchost.ini
После этого бэкдор производит атаку на адреса в списке, посылая по HTTP протоколу большое количество пакетов содержащие мусор следующего вида:
GET ^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET
^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET
*(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.htmlGET
^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET
^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET
Данная атака может вызвать сбои в работе атакуемых веб-серверов.
Также бэкдор скачивает файл по следующему URL:
http://wblove917.*****org/DFG.asp
На момент создания описания данная ссылка не работала.
Скачанный файл сохраняется под следующим именем:
c:/pagefile.pif
После чего запускается на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%/drivers/svchost.exe
X:/setup.exe, где X – буква съемного раздела.
%System%/svchost.ini
c:/pagefile.pif
- Удалить все копии бэкдора на жестком диске компьютера.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
