Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 29184 байта. Упакована неизвестным упаковщиком. Распакованный размер - около 80 Кб. Написана на С++.
При выполнении какого-либо из следующих условий вредоносная программа завершает свое выполнение:
- Если на компьютере пользователя обнаружен хоть один из следующих файлов:
%System%/drivers/hgfs.sys
%System%/drivers/prleth.sys
%System%/drivers/vmhgfs.sys
- При обнаружении в своем адресном пространстве следующих библиотек:
dbghelp.dll
sbiedll.dll
- При наличии строки
VBOX
в значении параметра ключа системного реестра:
[HKLM/HARDWARE/Description/System]
"SystemBiosVersion" =
- Имя пользователя компьютера было одним из следующих:
CurrentUser
Sandbox
- Имя компьютера пользователя было:
sandbox
- Значение параметра ключа системного реестра
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion]
"ProductId" =
было одним из следующих:
55274-640-2673064-23950
76487-644-3177037-23510
76487-337-8429955-22614
- Платформа текущей операционной системы отлична от Windows NT. После этого проверяет имя, под которым был запущен.
- Если имя было произвольным, тогда вредонос ищет процесс с именем "cfp.exe". Если данный процесс был запущен, тогда вредоносная программа перемещает свое оригинальное тело во временный каталог текущего пользователя Windows со случайным именем "~TMrnd.tmp" (где rnd - случайный набор латинских букв и цифр):
%Temp%/~TMrnd.tmp
и завершает свое выполнение.
Если же процесс "cfp.exe" не был обнаружен, тогда вредоносная программа создает копию своего оригинального тела:
%Temp%/~TM54EA3A.TMP
После чего производит внедрение своего тела в адресное пространство процесса с именем "explorer.exe".
Далее перемещает свое тело во временный каталог текущего пользователя Windows:
%Temp%/~TMrnd.tmp
- Если имя было "explorer.exe", тогда вредонос создает уникальный идентификатор для контроля уникальности своего потока в системе с именем:
_SYSTEM_4D2EF3A_
Далее проверяет наличие файла:
%Temp%/~TM54EA3A.TMP
при обнаружении данного файла, читает значение параметра ключа системного реестра:
[HKCUSoftware/Microsoft/Windows/CurrentVersion/
Explorer/Shell Folders] "Startup" =
В данном ключе реестра находится путь к каталогу автозапуска Windows. После этого перемещает обнаруженный файл:
%Temp%/~TM54EA3A.TMP
в файл каталога автозапуска Windows со следующим именем:
{каталог автозапуска Windows}/zavupd32.exe
Данному файлу вредонос устанавливает атрибуты "только чтение" и "системный", а также дату создания, такую как у системного файла:
%System%/smss.exe
Обычно каталог автозапуска Windows находится по следующему пути:
C:/Documents and Settings/{имя текущего пользователя Windows}/Главное меню/Программы/Автозагрузка
Затем вредонос создает и запускает процесс с именем "svchost.exe", в адресное пространство данного процесса внедряет вредоносный код.
- Если имя было"zavupd32.exe", тогда вредонос ищет процесс с именем "cfp.exe". Если данный процесс был запущен, тогда вредоносная программа перемещает свое оригинальное тело во временный каталог текущего пользователя Windows со случайным именем "~TMrnd.tmp" (где rnd - случайный набор латинских букв и цифр):
%Temp%/~TMrnd.tmp
и завершает свое выполнение.
Если же процесс "cfp.exe" не был обнаружен, тогда создает и запускает процесс с именем "svchost.exe", в адресное пространство данного процесса внедряет вредоносный код.
Во время своей работы вредоносная программа производит поиск перехватчиков в следующих функциях библиотек "kernel32.dll" и "ntdll.dll":
CreateRemoteThread
WriteProcessMemory
VirtualProtectEx
VirtualAllocEx
NtAllocateVirtualMemory
NtWriteVirtualMemory
NtProtectVirtualMemory
NtCreateThread
NtAdjustPrivilegesToken
NtOpenProcess
NtOpenThread
NtQueueApcThread
NtSetValueKey
при обнаружении снимает их. Для этого создает временные копии вышеупомянутых библиотек во временном каталоге текущего пользователя Windows со случайными именами:
%Temp%/~TM.tmp
Таким образом вредонос противодействует технологиям автоматического анализа программ для обнаружения их вредоносной активности.
Произведя внедрение в адресное пространство созданного процесса "svchost.exe", вредоносная программа в цикле с периодичностью 30 секунд отправляет запросы на следующий ресурс:
im****ax.ru
запрос выглядит следующим образом:
GET /ne*****ller.php?action=bot&entity_list=&uid=1&first={"0" или "1" — в зависимости от количества запусков}&guid=
{серийный номер тома}&rnd=981633
По данному запросу получает другие вредоносные файлы и ключи их расшифровки. Расшифрованные вредоносные программы записывает во временный каталог текущего пользователя Windows с именами "wpvrnd2.exe", (где rnd2 - случайный набор цифр)
%Temp%/wpvrnd2.exe
На момент создания описания сервер был недоступен.
После успешного сохранения вредонос запускает загруженные файлы на исполнение, после чего отправляет второй запрос:
GET /pu*****troller.php?action=report&guid=0&rnd=853764&uid=&entity=1260187840
После чего производит запись в свой лог-файл:
%Application Data%/wiaservg.log
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: