Технические детали
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы и сменные носители.
Инсталляция
При запуске программа копирует свой исполняемый файл в директорию:
%Program Directory%/Microsoft Common/svchost.exe
Где %Program Directory% - cтандартная папка для установки новых программ, например “C:/Program Files”
Для автоматического запуска при каждом следующем старте системы программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/explorer.exe]
"Debugger"="%Program Directory%/Microsoft Common/svchost.exe"
Также программа извлекает из себя и устанавливает в системе специальный драйвер, с помощью которого скрываются исполняемые файлы программы. Драйвер копируется в системную директорию по адресу:
%System%/drivers/ip6fw.sys
Деструктивная активность
При запуске программа встраивает свой вредоносный код в адресное пространство процесса svchost.exe и внутри этого системного процесса выполняет следующий вредоносный функционал:
Соединяется с командным сервером http://dia***.cn/emo/, с которого получает команды на скачивание и запуск других вредоносных программ.
При запуске отправляет управляющему серверу следующий HTTP запрос:
GET http://dia***.cn/emo/ld.php/emo/ld.php?v=1&rs=S/N&n=1&uid=1
Где S/N - уникальный идентификатор, зависящий от оборудования, установленного на зараженной машине.
В ответ на данный запрос сервер отправляет ответное сообщение, содержащее следующие символы:
“d url_to_download” или “x url_to_download” – по этой команде вредоносная программа скачивает во временную папку файл по указанной ссылке и запускает его.
“w wait_time” – по этой команде программа ожидает некоторое время, указанное в параметре и повторяет запрос к серверу.
Также добавляет себя в список доверенных приложений Windows Firewall.
Распространение по сети
Копирует себя на сменные носители, создавая на них файл autorun.inf, внутри которого содержится ссылка на запуск исполняемого файла вредоносной программы.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл, созданный троянцем:
%Program Directory%/Microsoft Common/svchost.exe
- Изменить значение ключа системного реестра:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ImageFile Execution Options/explorer.exe]
"Debugger"="%Program Directory%/Microsoft Common/svchost.exe"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|