Технические детали
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 420925 байта. Упакован UPX. Распакованный размер – около 871 КБ.
Инсталляция
После запуска червь выполняет следующие действия:
- Копирует себя по пути:
%System%/win32/csrss.exe
%System%/csrss.exe
%System%/domain.exe
файлы создаются с атрибутами "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
- Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующий ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
LOGONDOMAIN "@" IPADDRESS = %System%/domain.exe
- Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "2"
"HideFileExt" = "1"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Polices/Explorer]
"NofolderOptions" = "1"
Распространение
Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под именем:
имя зараженного раздела:/iostream.exe
Вместе со своим исполняемым файлом червь помещает файл:
имя зараженного раздела:/autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Производит поиск на всех доступных для записи сетевых, логических и съемных дисках файлов без расширения и копирует себя по найденному пути с именем:
имя файла.exe
Производит поиск на всех доступных для записи сетевых, логических и съемных дисках папок и копирует себя по найденному пути с именем:
имя папки.exe
Созданным файлам присваиваются атрибуты "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
- Создает нового пользователя root с паролем 3645923527 и добавляет его в группу «Administrators».
- Если среди запущенных процессов присутствует:
"rundll32.exe",
то открывает сетевой доступ к диску:
%Homedrive%
- Разрешает удаленные подключения к компьютеру пользователя по протоколу RDP, создавая следующие ключи системного реестра:
[HKLM/System/CurrentControlSet/Control/Terminal Server]
"fDenyTSConnections" = 0
"MaxOutstandingConnect" = 143
"EnableConcurrentSessions" = 9
- Отключает редактор реестра и диспетчер задач, создавая следующие ключи системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Polices/System]
"DisableTaskMgr" = "0"
"DisableRegistryTools" = "0"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для его удаления необходимо выполнить следующие действия:
- Удалить следующие файлы:
%System%/win32/csrss.exe
%System%/csrss.exe
%System%/domain.exe
- Удалить ключ реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
LOGONDOMAIN "@" IPADDRESS = %System%/domain.exe
- Изменить следующие записи системного реестра на первоначальные:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden"
"HideFileExt"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Polices/System]
"DisableTaskMgr"
"DisableRegistryTools"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Polices/Explorer]
"NofolderOptions"
[HKLM/System/CurrentControlSet/Control/Terminal Server]
"fDenyTSConnections"
"MaxOutstandingConnect"
"EnableConcurrentSessions"
- Запретить сетевой доступ к диску:
%Homedrive%
- Удалить пользователя root.
- Удалить на всех сетевых, логических и съемных дисках файлы:
имя зараженного раздела:/iostream.exe
имя зараженного раздела:/autorun.inf
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
