Технические детали
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 24776 байт. Упакован неизвестным упаковщиком. Распакованный размер – около 56 КБ. Написан на C++.
Инсталляция
После запуска червь перемещает содержимое файла:
%System%/spoolsv.exe
в файл:
c:/tm.sa
Далее червь копирует свое тело в следующие файлы:
%System%/spoolsv.exe
%System%/dllcache/spoolsv.exe
При этом для своего оригинального файла червь устанавливает атрибуты "скрытый" (hidden) и "системный" (system).
Для автоматического запуска созданной копии процессом "explorer.exe" при каждом следующем старте системы червь создает ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
"internetnet" = "%System%/spoolsv.exe"
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
ZGVZ.PIF
Вместе со своим исполняемым файлом червь помещает файл:
имя зараженного раздела:/AUTORUN.INF
следующего содержания:
[AutoRun]
shell/open=ґтї?(&O)
shell/open/Command=ZGVZ.PIF
shell/open/Default=1
shell/explore=ЧКФґ№ЬАнЖч(&X)
shell/explore/command=ZGVZ.PIF
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
- создает уникальный идентификатор с именем:
CHASHADUAN
- Удаляет файлы:
%System%mfc71.dll
C:/Program Files/Kingsoft/Kingsoft Internet Security 2008/KASBrowserShield.DLL
D:/Program Files/Kingsoft/Kingsoft Internet Security 2008/kasbrowsershield.dll
- Запускает системную утилиту "cacls.exe" со следующими параметрами:
%System%/packet.dll /e /p everyone:f
%System%/pthreadVC.dll /e /p everyone:f
%System%/wpcap.dll /e /p everyone:f
%System%/npptools.dll /e /p everyone:f
%System%/drivers/acpidisk.sys /e /p everyone:f
%System%/wanpacket.dll /e /p everyone:f
Это позволяет открыть общий доступ к вышеперечисленным файлам.
- Останавливает работу службы "Beep". После этого бинарный файл данной службы:
%System%/drivers/beep.sys
заменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2304 байта, детектируется Антивирусом Касперского как "Worm.Win32.AutoRun.vmn". После замены бинарного файла работа службы "Beep" возобновляется.
- Выгружает из системной памяти следующие процессы:
360Safe.exe
360tray.exe
360rpt.EXE
Runiep.exe
Rsaupd.exe
RAv.exe
RSTray.exe
CCenter.EXE
RAVMON.EXE
Ravservice.EXE
ScanFrm.exe
rsnetsrv.EXE
RAVTRAY.EXE
RAVMOND.EXE
GuardField.exe
Ravxp.exe
GFUpd.exe
kmailmon.exe
kavstart.exe
KAVPFW.EXE
kwatch.exe
kav32.exe
kissvc.exe
UpdaterUI.exe
rfwsrv.exe
rfwProxy.exe
Rfwstub.exe
RavStub.exe
rfwmain.exe
TBMon.exe
nod32kui.exe
nod32krn.exe
KASARP.exe
FrameworkService.exe
scan32.exe
VPC32.exe
VPTRAY.exe
AntiArp.exe
KRegEx.exe
KvXP.kxp
kvsrvxp.kxp
kvsrvxp.exe
KVWSC.ExE
Iparmor.exe
Avp.EXE
VsTskMgr.exe
EsuSafeguard.exe
wuauclt.exe
- Останавливает работу следующих служб:
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Kingsoft Internet Security Common Service
Symantec AntiVirus
norton AntiVirus server
DefWatch
Symantec AntiVirus Drivers Services
Symantec AntiVirus Definition Watcher
Norton AntiVirus Server
- Запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c net1 start server
/c sc delete spooler
Это приводит запуску службы "server" и удалению службы "spooler".
- Запускает процесс
%Program files%/Internet Explorer/IEXPLORE.EXE
- Находит в системе окно с именем класса "IEFrame" и внедряет адресное пространство процесса, соответствующего этому окну, исполняемый код, загружающий из сети Интернет файлы по следующим ссылкам:
http://a.w***7.com/dd/x.gif
http://a.w***7.com/dd/1.exe
http://a.w***7.com/dd/2.exe
http://a.w***7.com/dd/3.exe
http://a.w***7.com/dd/4.exe
http://a.w***7.com/dd/5.exe
http://a.w***7.com/dd/6.exe
http://a.w***7.com/dd/7.exe
http://a.w***7.com/dd/8.exe
http://a.w***7.com/dd/9.exe
http://a.w***7.com/dd/10.exe
На момент создания описания ссылки не работали.
Загруженные файлы сохраняются в системе соответственно под следующими именами:
%Program Files%/ccdd.pif
%Documents and Settings%/1ts.pif
%Documents and Settings%/2ts.pif
%Documents and Settings%/3t.pif
%Documents and Settings%/4.pif
%Documents and Settings%/5.pif
%Documents and Settings%/6ts.pif
%Documents and Settings%/7.pif
%Documents and Settings%/8.pif
%Documents and Settings%/9ts.pif
%Documents and Settings%/10ts.pif
После успешной загрузки файлы запускаются на выполнение.
- Создает ключи системного реестра:
[HKLMSoftware/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Application name]
"debugger"= "%System%/dllcache/spoolsv.exe"
Всего создается 61 ключ. Подстрока Application name принимает следующие значения:
360rpt.EXE
360safe.EXE
360tray.EXE
360safebox.EXE
safeboxTray.EXE
AVP.EXE
AVP.COM
AvMonitor.EXE
Ravservice.EXE
RAVTRAY.EXE
CCenter.EXE
IceSword.EXE
Iparmor.EXE
KVMonxp.KXP
KVSrvXP.EXE
KVWSC.EXE
Navapsvc.EXE
Nod32kui.EXE
nod32krn.EXE
KRegEx.EXE
Frameworkservice.EXE
Mmsk.EXE
Ast.EXE
WOPTILITIES.EXE
Regedit.EXE
AutoRunKiller.EXE
VPC32.EXE
VPTRAY.EXE
ANTIARP.EXE
KASARP.EXE
RAV.EXE
kwatch.EXE
kmailmon.EXE
kavstart.EXE
KAVPFW.EXE
Runiep.EXE
GuardField.EXE
GFUpd.EXE
Rfwstub.EXE
rfwmain.EXE
RavStub.EXE
rsnetsvr.EXE
ScanFrm.EXE
RsMain.EXE
Rsaupd.EXE
rfwProxy.EXE
rfwsrv.EXE
msconfig.EXE
SREngLdr.EXE
ArSwp.EXE
RSTray.EXE
QQDoctor.EXE
TrojanDetector.EXE
RSTray.EXE
Trojanwall.EXE
TrojDie.KXP
PFW.EXE
HijackThis.EXE
KPfwSvc.EXE
kissvc.EXE
kav32.EXE
- Изменяет значение ключа системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/
Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "2"
Это приводит к отключению отображения скрытых файлов и папок.
- Удаляет ключи системного реестра:
[HKLM/System/CurrentControlSet/Control/SafeBoot/Minimal]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
[HKLM/System/CurrentControlSet/Control/SafeBoot/Network]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"360Safetray"
"360Safebox"
"KavStart"
"vptray"
- Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют строки:
NOD32
Process
Mcafee
Firewall
virus
anti
worm
SREng
то это окно будет закрыто, а процесс, соответствующий окну, завершен.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- При помощи ( "Диспетчера задач") завершить процесс "IEXPLORE.EXE".
- Удалить ключи системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
"internetnet" = "%System%spoolsv.exe"
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Application name]
"debugger"= "%System%/dllcache/spoolsv.exe"
- Восстановить исходное значение ключа системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "2"
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%/spoolsv.exe
%System%/dllcache/spoolsv.exe
ZGVZ.PIF
имя зараженного раздела:/AUTORUN.INF
%Program Files%/ccdd.pif
%Documents and Settings%/1ts.pif
%Documents and Settings%/2ts.pif
%Documents and Settings%/3t.pif
%Documents and Settings%/4.pif
%Documents and Settings%/5.pif
%Documents and Settings%/6ts.pif
%Documents and Settings%/7.pif
%Documents and Settings%/8.pif
%Documents and Settings%/9ts.pif
%Documents and Settings%/10ts.pif
- Сохранить файл
c:/tm.sa
как
%System%/spoolsv.exe
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
