Технические детали
Червь, создающий свои копии на логических дисках зараженного компьютера пользователя и доступных для записи сетевых ресурсах. Написан на C++.
Деструктивная активность
В процессе выполнения червь извлекает из своего тела следующую библиотеку:
C:/Documents and Settings/tazebama.dll – 32768 байт.
которая содержит модуль, извлекающий из тела червя следующие его копии:
%Documents and Settings%/tazebama.dl_ - 154751 байт
%Documents and Settings%/hook.dl_ - 154751 байт
Для проверки соединения с Интернет, вредонос устанавливает соединение с одним из следующих ресурсов:
http://www.hotmail.com
http://www.britishcouncil.com
http://www.microsoft.com
http://www.yahoo.com
Далее червь использует приложение "WinRAR", путь к которому находит, прочитав значение следующего ключа реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/App Paths/WinRAR.exe]
для архивирования собственного тела с одним из следующих имен:
GoogleToolbarNotifier.exe
PanasonicDVD_DigitalCam.exe
Antenna2Net.exe
RadioTV.exe
Microsoft MSN.exe
Sony Erikson DigitalCam.exe
IDE Conector P2P.exe
Windows Keys Secrets.exe
FaxSend.exe
RecycleBinProtect.exe
Disk Defragmenter.exe
CD Burner.exe
ShowDesktop.exe
BrowseAllUsers.exe
LockWindowsPartition.exe
Win98compatibleXP.exe
MakeUrOwnFamilyTree.exe
WindowsXp StartMenu Settings.exe
Recycle Bin.exe
Adjust Time.exe
Microsoft Windows Network.exe
HP_LaserJetAllInOneConfig.exe
FloppyDiskPartion.exe
msjavx86.exe
AmericanOnLine.exe
Crack_GoogleEarthPro.exe
Lock Folder.exe
InstallMSN11En.exe
InstallMSN11Ar.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Office2007 Serial.txt.exe
Office2003 CD-Key.doc.exe
Make Windows Original.exe
NokiaN73Tools.exe
WinrRarSerialInstall.exe
My Documents.exe
Readme.doc .exe
My documents .exe
Полученные файлы-архивы используются как вложенные файлы при рассылке писем, которые могут выглядеть следующим образом:
Тема письма:
ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Тело письма:
1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters. 2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters. Download the attached article to read.
Вложенный файл:
PROHIBITED_MATRIMONY.rar
Тема письма:
Windows secrets
Тело письма:
The attached article is on how to make a folder password . If your are interested in this article download it, if you are not delete it.
Вложенный файл:
FolderPW_CH(1).rar
Тема письма:
Canada immigration
Тело письма:
The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn`t convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050. Download the attached file to know about the required forms. The sender of this email got this article from our side and forwarded it to you.
Вложенный файл:
IMM_Forms_E01.rar
Тема письма:
Viruses history
Тело письма:
Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called Trojan.Backdoor which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR. The sender has red the story and forwarded it to you.
Вложенный файл:
virushistory.rar
Тема письма:
Web designer vacancy
Тело письма:
Fortunately, we have recently received your CV/Resume from moister web site and we found it matching the job requirements we offer. If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent. Thanks Regards, Ajy Bokra Computer department. AjyBokra@webconsulting.com
Вложенный файл:
JobDetails.rar
Тема письма:
MBA new vision
Тело письма:
MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on Marketing basics to download. Our web site http://ww w.tazeunv.edu.cr/mba/info.htm Contacts: Human resource Ajy klaf AjyKolav@tazeunv.com The sender has added your name to be informed with our services.
Вложенный файл:
Marketing.rar
Тема письма:
problemo
Тело письма:
When I had opened your last email I received some errors have been saved in the attached file. Please inform me with those errors as soon as possible.
Вложенный файл:
оutlooklog.rar
Тема письма:
hi
Тело письма:
notes.rar Unfortunately, I received unformatted email with an attached file from you. I couldn`t understand what is behind the words. I wish you next time send me a readable file!.I forwarded the attached file again to evaluate your self.
Вложенный файл:
doc2.rar
Адреса для рассылки зараженных писем червь собирает из файлов с расширениями:
.hlp
.pdf
.html
.txt
.aspx
.cs
.aspx
.psd
.mdf
.rtf
.htm
.ppt
.php
.asp
.pas
.h
.cpp
.xls
.doc
.rar
.zip
.mdb
Собранные адреса вредонос хранит в лог-файле:
%Application Data%/tazebama/zPharaoh.dat
Червь не отсылает письма, если в имени адресата присутствует хоть одно из следующих слов:
MICROSOFT
KASPER
PANDA
После этого червь заражает некоторые файлы (в зависимости от размеров секций файлов) с расширениями "lnk", "exe" и "scr", зашифровав свое тело и дописав свою основную часть в конец зараженных файлов. Пути к заражаемым файлам червь читает из ключей системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/App Paths]
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
таким же образом заражаются файлы из следующего каталога:
%Documents and Setting%/<имя учетной записи текущего пользователя Windows>/Local Settings/Application Data/Microsoft/CD Burning
Если червь обнаруживает файлы с расширением "doc", тогда в том же каталоге создает свою копию с аналогичным именем, дописывая файлу расширение "exe".
На всех съемных и локальных дисках, кроме диска C:, червь ищет каталоги с файлами. Внутри этих каталогов червь создает свою копию с именем каталога и расширением "exe":
X/<имя каталога>/<имя каталога>.exe
Где X - буква съемного или локального диска компьютера пользователя.
В этих же каталогах червь создает свою копию под одним из следующих имен:
GoogleToolbarNotifier.exe
PanasonicDVD_DigitalCam.exe
Antenna2Net.exe
RadioTV.exe
Microsoft MSN.exe
Sony Erikson DigitalCam.exe
IDE Conector P2P.exe
Windows Keys Secrets.exe
FaxSend.exe
RecycleBinProtect.exe
Disk Defragmenter.exe
CD Burner.exe
ShowDesktop.exe
BrowseAllUsers.exe
LockWindowsPartition.exe
Win98compatibleXP.exe
MakeUrOwnFamilyTree.exe
WindowsXp StartMenu Settings.exe
Recycle Bin.exe
Adjust Time.exe
Microsoft Windows Network.exe
HP_LaserJetAllInOneConfig.exe
FloppyDiskPartion.exe
msjavx86.exe
AmericanOnLine.exe
Crack_GoogleEarthPro.exe
Lock Folder.exe
InstallMSN11En.exe
InstallMSN11Ar.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Office2007 Serial.txt.exe
Office2003 CD-Key.doc.exe
Make Windows Original.exe
NokiaN73Tools.exe
WinrRarSerialInstall.exe
My Documents.exe
Readme.doc .exe
My documents .exe
После этого червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и записывает свое тело во всех ресурсах, открытых на полный доступ под одним из имен приведенных выше.
Также червь пытается создать свои копии в следующих каталогах атакуемых компьютеров:
/%Documents and Settings%
/Start Menu/Programs/Startup
для этого он использует следующие учетные записи:
abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ
0123456789
В корне всех логических дисков, доступных для записи, червь создает копию своего тела с именем "zPharaoh.exe": zPharaoh.exe – 154891 байт. В корне тех же дисков создает файл:
autorun.inf
Данный файл предназначен для автоматического запуска копии червя при обращении к зараженным дискам через проводник Windows.
Червь также может распространяться используя зараженные CD диски, для этого он создает свою копию, а также файл его автозапуска в следующем каталоге:
%ApplicationData%/Microsoft/CD Burning/zPharaoh.exe %ApplicationData%/Microsoft/CD Burning/autorun.inf
Всем копиям червя, а также файлам его автозапуска устанавливаются атрибуты "Только чтение" и "Скрытый.
Далее червь блокирует отображение файлов с атрибутом "cкрытый", системных и защищенных файлов, добавив следующую информацию в ключ системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "2" "HideFileExt" = "1" "ShowSuperHidden" = "0"
После этого червь отключает блокировку автоматического запуска файлов "autorun.inf", удалив следующий параметр ключа реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"NoDriveTypeAutoRun"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
