Технические детали
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте. Программа является приложением Windows (PE EXE-файл). Имеет размер 26624 байт.
Деструктивная активность
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%system%/servises.exe
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKELM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"servises"="%system%/servises.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"servises"="%system%/servises.exe"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
"servises"="%system%/servises.exe"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"servises"="%system%/servises.exe"
А также изменяет следующие ключи реестра:
[HKLM/SOFTWARE/Microsoft/Security Center]
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
[HKLM/SYSTEM/CurrentControlSet/Services/SharedAccess]
"Start" = 4
[HKLM/SOFTWARE/Policies/Microsoft/WindowsFirewall/DomainProfile]
"EnableFirewall" = 0
[HKLM/SOFTWARE/Policies/Microsoft/WindowsFirewall/StandardProfile]
EnableFirewall" = 0
После установки в системе вредоносная программа получает уникальный идентификатор, необходимый для дальнейшей работы, со следующего адреса:
http://91.207.4.106/spm/get_id.php
Идентификатор сохраняется в файле
%system%/_id.dat
В теле вредоносной программы содержится встроенный спам-бот, который производит рассылку спама с зараженного компьютера пользователя. К тексту письма вредоносная программа прикрепляет свой исполняемый файл. Данные для рассылки спама вредоносная программа скачивает со следующей ссылки:
http://91.207.4.106/spm/s_alive.php?id=id&tick=rnd&ver=102&smtp=ok/bad&task=task_number
и сохраняет их во временном каталоге ОС Windows:
%Temp%/rnd.tmp
где rnd – случайная последовательность цифр.
После чего использует скачанные данные для формирования и рассылки спама. Спам-письма программа рассылаются по протоколу SMTP.
Также программа обращается к следующему адресу:
http://91.207.4.106/spm/s_config.php?ver=102&id=id
C которого может получать следующие команды:
- update - команда на обновление вредоносной программы.
- click - команда на скачивание определенной интернет страницы с целью увеличения счетчиков посещаемости.
- logging-on/logging-off - включение/выключение ведения лога действий вредоносной программы. Лог сохраняется в файле %system%/_log.txt
и отправляется на следующий сетевой адрес:
http://91.207.4.106/spm/s_postlog.php
Программа также сообщает управляющему серверу об выполнении полученной задачи на адрес:
http://91.207.4.106/spm/s_report.php?ver=102&task=task_number&id=id&errors[0]=errors
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить вредоносный процесс
servises.exe
- Удалить файлы:
%system%/servises.exe
%system%/_id.dat
%system%/_log.txt
- Удалить следующие значения ключей реестра:
[HKELM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"servises"="%system%/servises.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"servises"="%system%/servises.exe"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
"servises"="%system%/servises.exe"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"servises"="%system%/servises.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
