Технические детали
Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 14418 байт. Упакован NSPack, PE-Crypt.Morf. Распакованный размер – около 55 КБ. Написан на C++.
Инсталляция
После запуска червь выполняет следующие действия:
- перемещает содержимое файла
%System%/wuauclt.exe
в файл
c:/tem.tmp
- Копирует свое тело в файлы:
%System%/wuauclt.exe
%System%/dllcache/wuauclt.exe
- Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
"explorer" = "%System%/wuauclt.exe"
- Устанавливает для своего оригинального файла атрибуты "скрытый" (hidden) и "системный" (system).
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
GLXB.PIF
Вместе со своим исполняемым файлом червь помещает файл:
имя зараженного раздела:/AUTORUN.INF
следующего содержания:
[AutoRun]
shell/open=+?¬¬(&O)
shell/open/Command=GLXB.PIF
shell/open/Default=1
shell/explore=+¦L+¦-L?¦?(&X)
shell/explore/command=GLXB.PIF
что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
- для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
war
- Изменяет текущую системную дату, устанавливая год равным 2004.
- Останавливает работу службы "Beep". После этого бинарный файл данной службы
%System%/drivers/beep.sys
подменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2560 байт, детектируется Антивирусом Касперского как "Rootkit.Win32.Ressdt.dw". После замены бинарного файла работа службы "Beep" возобновляется.
- Восстанавливает оригинальное содержимое файла "beep.sys".
- Выгружает из системной памяти следующие процессы:
360Safe.exe
360tray.exe
360rpt.EXE
Runiep.exe
RAv.exe
CCenter.EXE
RAVMON.EXE
RAVMOND.EXE
GuardField.exe
Ravxp.exe
GFUpd.exe
kmailmon.exe
kavstart.exe
KAVPFW.EXE
kwatch.exe
UpdaterUI.exe
rfwsrv.exe
rfwProxy.exe
rfwstub.exe
RavStub.exe
rfwmain.exe
TBMon.exe
nod32kui.exe
nod32krn.exe
KASARP.exe
FrameworkService.exe
scan32.exe
VPC32.exe
VPTRAY.exe
AntiArp.exe
KRegEx.exe
KvXP.kxp
kvsrvxp.kxp
kvsrvxp.exe
KVWSC.EXE
Iparmor.exe
Avp.EXE
VsTskMgr.exe
- Останавливает работу служб:
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Symantec AntiVirus
Symantec AntiVirus Drivers Services
Symantec AntiVirus Definition Watcher
Norton AntiVirus Server
- Запускает системную утилиту "cacls.exe" со следующими параметрами:
%System%/packet.dll /e /p everyone:f
%System%/pthreadVC.dll /e /p everyone:f
%System%/wpcap.dll /e /p everyone:f
%System%/drivers/npf.sys /e /p everyone:f
%System%/npptools.dll /e /p everyone:f
%System%/drivers/acpidisk.sys /e /p everyone:f
%System%/wanpacket.dll /e /p everyone:f
Таким образом, открывается общий доступ к вышеперечисленным файлам.
- Запускает процесс:
%Program files%/Internet Explorer/IEXPLORE.EXE
- Находит в системе окно с именем класса "IEFrame" и внедряет в адресное пространство процесса, соответствующего этому окну, исполняемый код, реализующий функционал загрузчика. Файлы загружаются по следующим ссылкам:
http://m.d***8.com/dd/x.gif
http://m.d***8.com/dd/1.exe
http://m.d***8.com/dd/2.exe
http://m.d***8.com/dd/3.exe
http://m.d***8.com/dd/4.exe
http://m.d***8.com/dd/5.exe
http://m.d***8.com/dd/6.exe
http://m.d***8.com/dd/7.exe
http://m.d***8.com/dd/8.exe
http://m.d***8.com/dd/9.exe
http://m.d***8.com/dd/10.exe
и сохраняются в системе как
%ALLUSERSPROFILE%/me.pif
%ALLUSERSPROFILE%/1.pif
%ALLUSERSPROFILE%/2.pif
%ALLUSERSPROFILE%/3.pif
%ALLUSERSPROFILE%/4.pif
%ALLUSERSPROFILE%/5.pif
%ALLUSERSPROFILE%/6.pif
%ALLUSERSPROFILE%/7.pif
%ALLUSERSPROFILE%/8.pif
%ALLUSERSPROFILE%/9.pif
%ALLUSERSPROFILE%/10.pif
После успешной загрузки файлы запускаются на выполнение.
На момент создания описания вышеуказанные ссылки не работали.
- Создает ключи системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Application name]
"debugger" = "%System%/dllcache/wuauclt.exe"
Всего создается 44 ключа. Подстрока Application name принимает следующие значения:
360rpt.EXE
360safe.EXE
360tray.EXE
360safebox.EXE
safeboxTray.EXE
AVP.EXE
AVP.COM
AvMonitor.EXE
CCenter.EXE
IceSword.EXE
Iparmor.EXE
KVMonxp.KXP
KVSrvXP.EXE
KVWSC.EXE
Navapsvc.EXE
Nod32kui.EXE
nod32krn.EXE
KRegEx.EXE
Frameworkservice.EXE
Mmsk.EXE
Ast.EXE
WOPTILITIES.EXE
Regedit.EXE
AutoRunKiller.EXE
VPC32.EXE
VPTRAY.EXE
ANTIARP.EXE
KASARP.EXE
RAV.EXE
kwatch.EXE
kmailmon.EXE
kavstart.EXE
KAVPFW.EXE
Runiep.EXE
GuardField.EXE
GFUpd.EXE
rfwmain.EXE
RavStub.EXE
rfwstub.EXE
rfwProxy.EXE
rfwsrv.EXE
msconfig.EXE
SREngLdr.EXE
ArSwp.EXE
Таким образом, блокируется запуск перечисленных процессов.
- Изменяет значение ключа системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/Showall]
"CheckedValue" = "0"
Это приводит к отключению отображения скрытых файлов и папок.
- Удаляет ключи системного реестра:
[HKLM/System/CurrentControlSet/Control/SafeBoot/Minimal]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
[HKLM/System/CurrentControlSet/Control/SafeBoot/Network]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
- Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют подстроки:
NOD32
Process
Mcafee
Firewall
virus
anti
worm
SREng
то окно будет закрыто.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- При помощи Диспетчера задач завершить процесс "IEXPLORE.EXE".
- Удалить ключи системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
"explorer" = "%System%/wuauclt.exe"
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Application name]
"debugger" = "%System%/dllcache/wuauclt.exe"
- Восстановить исходное значение ключа системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/Showall]
"CheckedValue" = "0"
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%/wuauclt.exe
%System%/dllcache/wuauclt.exe
имя зараженного раздела:/GLXB.PIF
имя зараженного раздела:/AUTORUN.INF
%ALLUSERSPROFILE%/me.pif
%ALLUSERSPROFILE%/1.pif
%ALLUSERSPROFILE%/2.pif
%ALLUSERSPROFILE%/3.pif
%ALLUSERSPROFILE%/4.pif
%ALLUSERSPROFILE%/5.pif
%ALLUSERSPROFILE%/6.pif
%ALLUSERSPROFILE%/7.pif
%ALLUSERSPROFILE%/8.pif
%ALLUSERSPROFILE%/9.pif
%ALLUSERSPROFILE%/10.pif
- Установить актуальную системную дату.
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
