Технические детали
Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++.
Инсталляция
При запуске, вредоносная программа извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:
%System%/drivers/rnd.sys
где rnd – случайные латинские прописные буквы, например, "INDSNN". Данный файл является драйвером режима ядра, имеет размер 5157 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.ag.
Извлеченный драйвер устанавливается и запускается в системе как сервис с именем "amsint32".
Распространение
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:
.EXE
.SCR
Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредоносная программа копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:
%Temp%/__Rar/the path to the virus’s original file.exe
Для автозапуска своего оригинального файла, вредоносная программа копирует себя на все логические диски под произвольным именем, при этом расширение файла выбирается случайно из следующих значений:
.exe
.pif
.cmd
А также создает в корневом каталоге этих дисков скрытый файл:
x:/autorun.inf
в котором содержится команда для запуска вредоносного файла. Таким образом, при открытии логического диска в "Проводнике" происходит запуск вредоносной программы.
Деструктивная активность
После запуска, для контроля уникальности своего процесса в системе вредоносная программа создает уникальный идентификаторы с именем "Ap1mutx7".
Пытается выполнить загрузку файлов, расположенных по ссылкам:
http://sagocugenc.sa.funpic.de/images/logos.gif
http://www.eleonuccorini.com/images/logos.gif
http://www.cityofangelsmagazine.com/images/logos.gif
http://www.21yybuyukanadolu.com/images/logos.gif
http://yucelcavdar.com/logos_s.gif
http://www.luster-adv.com/gallery/Fusion/images/logos.gif
http://89.119.67.154/testo5/
http://kukutrustnet777.info/home.gif
http://kukutrustnet888.info/home.gif
http://kukutrustnet987.info/home.gif
http://www.klkjwre9fqwieluoi.info/
http://kukutrustnet777888.info/
http://klkjwre77638dfqwieuoi888.info/
Загруженные файлы сохраняются в папке %Temp% и запускаются.
На момент составления описания по вышеуказанным ссылкам вирус скачивал следующие вредоносные программы:
Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu
Все загруженные вирусом вредоносные программы были предназначены для рассылки спама.
Кроме загрузки файлов, вирус может изменять множество параметров операционной системы, в том числе:
- Отключает диспетчер задач и запрещает редактирование реестра, изменяя следующие параметры системного реестра:
[HKСU/Software/Microsoft/Windows/CurrentVersion/Policies/system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
- Изменяет настройки Центра Обеспечения безопасности Windows, создавая следующие параметры ключей реестра:
[HKLM/SOFTWARE/Microsoft/Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM/SOFTWARE/Microsoft/Security Center/Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
- Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden"=dword:00000002
- Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings]
"GlobalUserOffline"=dword:00000000
- Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/system]
"EnableLUA"=dword:00000000
- Добавляет себя в список разрешенных для доступа в сеть приложений встроенного сетевого экрана ОС Windows, сохраняя следующий параметр в ключе реестра:
[HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
"путь_к_оригинальному_файлу_вируса"= "путь_к_оригинальному_файлу_вируса:*:Enabled:ipsec"
- Далее создает ключи реестра, в которых сохраняет свою служебную информацию:
HKCU/Software/rnd
Где rnd - произвольное значение.
- Затем находит файл с именем:
%WinDir%/system.ini
и добавляет в него следующую запись:
[MCIDRV_VER]
DEVICEMB=509102504668 (номер может быть произвольным)
- Отключает запуск ОС в безопасном режиме, удаляя полностью ключи реестра
HKLM/System/CurrentControlSet/Control/SafeBoot
HKCU/System/CurrentControlSet/Control/SafeBoot
- Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:
%Temp%
- Выполняет поиск и удаление файлов со следующими расширениями:
"VDB", "KEY", "AVC", "drw"
- При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки:
upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity. s
pywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
- Останавливает и удаляет службы со следующими именами:
Agnitum Client Security Service
ALG Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4
Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
avp1
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
tmproxy
tcpsr
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP
Также вирус пытается завершить процессы различных антивирусов и широко известных утилит для борьбы с вирусами.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вручную удалить вирус не удастся, так как он скорее всего уже заразил множество исполняемых файлов на вашем компьютере, все они требуют лечения. Для лечения вируса также можно использовать бесплатную утилиту SalityKiller .
- При необходимости восстановить следующие ключи реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/system]
"EnableLUA" = dword:00000000
[HKLM/SOFTWARE/Microsoft/Security Center]
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM/SOFTWARE/Microsoft/Security Center/Svc]
"AntiVirusDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"FirewallOverride"=dword:00000000
"UacDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden"=dword:00000002
- При необходимости удалить следующие значения ключей реестра:
[HKСU/Software/Microsoft/Windows/CurrentVersion/Policies/system]
"DisableRegistryTools"
"DisableTaskMgr"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings]
"GlobalUserOffline"
- Очистить папку %Temp%.
Источник: securelist.com.
|