Поведение

Virus, компьютерный вирус.

Технические детали

Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).

Инсталляция

При запуске вирус извлекает из своего тела следующие файлы:

%WinDir%AppPatchdeamon.dll — имеет размер 3072 байта;
%WinDir%c_126.nls — имеет размер 31744 байта.

Вредоносная программа создает ключ реестра, куда записывает ссылку на свой исполняемый файл:

[HKCRCLSID{C111980D-B372-44b4-8095-1B6060E8C647}]

Деструктивная активность

Вирус заражает все доступные для записи исполняемые файлы Windows (PE-EXE) на всех дисках зараженного компьютера и во всех доступных сетевых папках. Не заражаются файлы со следующими именами:

wooolcfg.exe, woool.exe, ztconfig.exe, patchupdate.exe, trojankiller.exe, xy2player.exe, flyff.exe, xy2.exe, au_unins_web.exe, cabal.exe, cabalmain9x.exe, cabalmain.exe, meteor.exe, patcher.exe, mjonline.exe, config.exe, zuonline.exe, userpic.exe, main.exe, dk2.exe, autoupdate.exe, dbfsupdate.exe, asktao.exe, sealspeed.exe, xlqy2.exe, game.exe, wb-service.exe, nbt-dragonraja2006.exe, dragonraja.exe, mhclient-connect.exe, hs.exe, mts.exe, gc.exe, zfs.exe, neuz.exe, maplestory.exe, nsstarter.exe, nmcosrv.exe, ca.exe, nmservice.exe, kartrider.exe, audition.exe, zhengtu.exe.

При инфицировании файлов вирус записывает свой исполняемый файл впереди их оригинального содержимого. Для заражения файлов, находящихся в сетевых папках, вирус пытается подключиться к удаленным компьютерам с учетной записью «Administrator», используя один из следующих паролей:

zxcv, qazwsx, qaz, qwer, !@#$%^&*(), !@#$%^&*(, !@#$%^&*, !@#$%^&, !@#$%^, !@#$%, aasdf, sdfgh, !@#$, 654321, 123456, 12345, 1234, 123, 111.

Вирус сообщает на сайт злоумышленника информацию о количестве свободного места на диске С:, версию операционной системы и браузера Internet Explorer, а также о наличии в системе драйверов с одним из следующих имен:

Hooksys, KWatch3, KregEx, KLPF, NaiAvFilter1, NAVAP, AVGNTMGR, AvgTdi, nod32drv, PavProtect, TMFilter, BDFsDrv, VETFDDNT.

Эти сведения отсылаются в параметрах запроса к сайту злоумышленника:

http://****mrw0rldwide.com/co.asp?action=post&HD=<кол-во свободного места>&OT=<версия ос>&IV=<версия IE>&AV=<установленные драйвера>

Также вирус получает по следующей ссылке список файлов, предназначенных для загрузки из сети Интернет:

http://****mrw0rldwide.com/z.dat

Затем скачивает файлы из данного списка во временную папку Windows и запускает их на исполнение.

На момент создания описания вирус загружал файлы по ссылкам:

http://down****net/css.jpg
http://down****net/wow.jpg

И сохранял их соответствующим образом:

%Temp%css.jpg — имеет размер 62792 байта, детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.afd;
%Temp%wow.jpg — имеет размер 40241 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.WOW.sv.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить вредоносный процесс.
2. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить ключ системного реестра:

[HKCRCLSID{C111980D-B372-44b4-8095-1B6060E8C647}]

4. Удалить файлы:

%WinDir%AppPatchdeamon.dll
%WinDir%c_126.nls
%Temp%css.jpg
%Temp%wow.jpg

5. Удалить все копии вируса с жесткого диска.
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: viruslist.com.

перейти в архив