Технические детали
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Имеет размер 530184 байта. Упакован UPX. Распакованный размер – около 730 КБ.
Инсталляция
После запуска червь копирует свое тело в файл:
%System%/csrcs.exe
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на созданную копию в следующие ключи системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"csrcs" = "%System%/csrcs.exe"
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
При этом исполняемый файл червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке Windows в "Безопасном режиме".
Кроме того, червь создает в системном каталоге Windows файлы:
%System%/autorun.inf
%System%/autorun.in
следующего содержания:
[Autorun]
Open=csrcs.exe
Shellexecute=csrcs.exe
Shell/Open/command=csrcs.exe
Shell=Open
Для удаления своего оригинального файла после завершения его работы червь создает файл
%Temp%/s.cmd
содержащий следующие строки:
:try
del "<полный путь к оригинальному файлу червя>"
if exist "<полный путь к оригинальному файлу червя>" goto try
del %0
После этого червь завершает свою работу. Файл "s.cmd" после удаления оригинального файла червя самоуничтожается.
Распространение
Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под следующим именем:
bhnaqi.exe
Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:/autorun.inf
что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваивается атрибут "скрытый".
Деструктивная активность
После запуска червь выполняет следующие действия:
- создает ключ системного реестра:
[HKLM/Software/Microsoft/DRM/amty]
"eggol" = "0"
- Изменяет значения следующих ключей системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "2" "SuperHidden" = "0" "ShowSuperHidden" = "0"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "1"
Это приводит к отключению отображения скрытых файлов.
- Создает файлы:
%Temp%/autdigit.tmp
(9976 байт)
%Temp%/rnd.tmp
(42827 байт)
где digit – случайное шестнадцатеричное число, а rnd – случайная последовательность латинских букв (например: "itosqlu").
Файлы предназначены для временного использования, и удаляются в процессе работы троянца.
- Выполняет попытку соединения со следующими серверами:
http://www.whatismyip.com
http://sou*****asix.com
198.89.***.72
204.12.***.143
Созданное соединение используется для загрузки файлов. Загруженные файлы сохраняются под случайными именами в каталоге:
%Temporary Internet Files%
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить процесс "csrcs.exe".
- Удалить ключи системного реестра (как работать с реестром?):
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"csrcs" = "%System%/csrcs.exe"
[HKLM/Software/Microsoft/DRM/amty]
"eggol" = "0"
- Восстановить исходные значения ключей системного реестра (как работать с реестром?):
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "2" "SuperHidden" = "0" "ShowSuperHidden" = "0"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "1"
- Изменить значение ключа системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
на
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell" = "Explorer.exe"
- Удалить файлы:
%System%/csrcs.exe
%System%/autorun.inf
%System%/autorun.in
%Temp%/aut.tmp
%Temp%/.tmp
bhnaqi.exe
<имя зараженного раздела>:/autorun.inf
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|