Технические детали
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 32601 байт. Упакован FSG. Распакованный размер – около 131 КБ. Написан на C++.
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
имя зараженного раздела:/recycle.{645FF040-5081-101B-9F08-00AA002F954E}/rav32.exe
Вместе со своим исполняемым файлом червь помещает файл:
имя зараженного раздела:/AUTORUN.INF
следующего содержания:
[AutoRun]
open=recycle.{645FF040-5081-101B-9F08-00AA002F954E}/rav32.exe
shell/open=+?¬e(&O)
shell/open/Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}/rav32.exe
shell/open/Default=1
shell/explore=+¦L+¦-Ly¦?(&X)
shell/explore/Command=recycle.
{645FF040-5081-101B-9F08-00AA002F954E}/rav32.exe
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
- запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c sc config ekrn start= disabled
/c sc config sharedaccess start= disabled
Таким образом, отменяется автоматический запуск служб "ekrn", "sharedaccess".
/c taskkill.exe /im ekrn.exe /f
/c taskkill.exe /im egui.exe /f
Это приводит к завершению процессов "ekrn.exe", "egui.exe".
/c net stop wscsvc
/c net stop SharedAccess
Это приводит к остановке служб "wscsvc", "SharedAccess".
- Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%WinDir%/teterndt.dll
(40960 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Geral.ate")
%WinDir%/extextrndt.exe
(12288 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Geral.aot")
%System%/drivers/pcidump.sys
(11904 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.fia") где rnd – случайное девятизначное десятичное число.
- Запускает системную утилиту "rundll32.exe" со следующими параметрами:
%WinDir%/teterndt.dll testall
Это приводит к вызову функции "testall" из ранее извлеченной библиотеки "%WinDir%/teterndt.dll".
- Запускает на выполнение извлеченный ранее файл "%WinDir%/extextrndt.exe".
- Создает и запускает в системе службу с именем "pcidump", бинарным файлом которой является извлеченный ранее файл "%System%/drivers/pcidump.sys".
- Копирует свое тело в следующий файл:
%System%/scvhost.exe
- Для удаления своего оригинального файла после завершения его работы создает в своем рабочем каталоге и запускает на выполнение сценарий командного интерпретатора "afc90a.bat" следующего содержания:
@echo off
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@del 321.aqq
@del "полный путь к оригинальному файлу червя"
@del afc90a.bat
@exit
При этом сам файл "afc90a.bat" также удаляется.
После этого червь завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить ветви системного реестра:
[HKLMSystem/ControlSet001/Services/pcidump]
[HKLM/System/CurrentControlSet/Services/pcidump]
- Перезагрузить компьютер.
- Удалить файлы:
имя зараженного раздела:/recycle.{645FF040-5081-101B-9F08-00AA002F954E}/rav32.exe
<имя зараженного раздела>:AUTORUN.INF
%WinDir%/teterndt.dll
%WinDir%/extextrndt.exe
%System%/drivers/pcidump.sys
%System%/scvhost.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|