Поведение

Net-Worm, интернет-червь.

Технические детали

Вирус-червь, распространяющийся через сервис Skype. Рассылается по всем найденным на зараженном компьютере контактам Skype-клиента. Является приложением Windows (PE EXE-файл). Имеет размер 188416 байт. Написан на С++.

Инсталляция

С целью замаскировать свой основной функционал червь при запуске открывает в программе для просмотра изображений следующий графический файл (если он существует на зараженном компьютере):

%WinDir%Soap Bubbles.bmp

После запуска червь копирует свое тело в системный каталог Windows под следующими именами:

%System%wndrivs.exe
%System%mshtml32.exe
%System%sdrives32.exe
%System%winlgcver.exe

Для автоматического запуска при каждом последующем старте системы червь добавляет ссылку на эти файлы в ключи автозапуска системного реестра («%WormCopy%» — одна из вышеприведенных копий червя):

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce]
"Start Services" = "%WormCopy%"

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
"Windows Explorer" = "explorer.exe %WormCopy%"
"Logon Data" = "%WormCopy%"

[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
"Policies Settings" = ""

Также червь создает следующий ключ в системном реестре:

[HKLMSoftwareRMXcfg]

Деструктивная активность

Червь распространяется при помощи Skype-клиента. Используя специальный API-интерфейс для управления этой программой извне, червь отправляет всем адресатам из контакт-листа пользователя сообщения. В канале чата от имени инфицированной системы червь формирует сообщения, содержащие различные последовательности следующих строк:

hey
how are u ? :)
look
your photos looks realy nice
where I put ur photo :D
I used photoshop and edited it
look what crazy photo Tiffany sent to me...
haha lol
now u populr
really funny
you checked ?
oops sorry please don`t look there :S
oh sry not for u
u happy ?
this (happy) sexy one
what ur friend name wich is in photo ?
labas
esi?
ziurek kur tavo foto imeciau :D
kaip as taves noriu
zek kur tavo foto metos isdergta
cia tu isimetei ?
cia biski su photoshopu pazaidziau bet...
kas cia tavim taip isderge ? =]]
patinka?
geras ane ?
matai :D
as net nezinau ka tavo vietoj daryciau...
:S
pala biski

В сообщениях указывается ссылка на исполняемый файл червя.

Приведем примерный ряд сообщений из чата программы Skype, которые формирует червь:

[17:59:05] User says: how are u ? :)
[17:59:22] User says: look what crazy photo Tiffany sent to me,looks cool
[17:59:26] User says: http://www%InfectedURL%.jpg
[17:59:37] User says: oops sorry please don`t look there :S
[17:59:40] User says: :)

Для маскировки червь использует также ярлык стандартного файла изображения Windows.

При подключении к сети Интернет червь может загружать на компьютер файлы со следующих адресов:

http://www.****me.org/erotic-gallerys/usr5d8c/****.jpg (на момент создания описания ссылка не работала);
http://www.****space.net/erotic-gallerys/usr5d8c/****.scr (имеет размер 188416 байт, детектируется Антивирусом Касперского как Worm.Win32.Skipi.c).

Также червь распространяется при помощи копирования своего файла на подключаемые к зараженному компьютеру флэш-накопители. Червь копирует свое тело в корневой каталог таких носителей под следующими именами:

game.exe
zjbs.exe

При этом червь (также в корневом каталоге накопителя) создает файл «autorun.inf», включающий следующий код:

[autorun]
action=Windows Picture and Fax Viewer
open=zjbs.exe
icon=zjbs.exe

Это обеспечивает автоматический запуск червя при подключении флэш-накопителя к незараженному компьютеру (только в случае если автозапуск содержимого накопителя не отключен).

Червь изменяет следующий файл:

%System%driversetchosts

За счет этого осуществляется перенаправление на случайные IP-адреса обращений системы к следующим доменам с базами обновлений сигнатур антивирусных программ:

avast.com
avp.com
ca.com
drweb.comeset.com
f-secure.com
symantec.com
pandasoftware.com
sophos.com
mcafee.com
kaspersky-labs.com
kaspersky.ru
symantecliveupdate.com
viruslist.com
networkassociates.com
norman.com
trendmicro.com
nai.com
grisoft.com
esaugumas.lt
virustotal.com
windowsupdate.microsoft.com
jotti.org
bkav.com.vn
bitdefender.com
barracudanetworks.com
free-av.com
nod32-es.com
my-etrust.com

Также червь завершает процессы, имена которых содержат следующие строки:

53ARCH, _AVP32, _AVPCC, _AVPM, ACKWIN32, ADAWARE, ADVXDWIN, AGENTSVR, AGENTW, ALERTSVC, ALEVIR, ALOGSERV, AMON9X, ANTI-TROJAN, ANTIVIRUS, APIMONITOR, APLICA32, APORTS, APVXDWIN, ARMKILLER, ATCON, ATGUARD, ATRO55EN, ATUPDATER, ATWATCH, AUPDATE, AUTODOWN, AUTOTRACE, AUTOUPDATE, AVCONSOL, AVE32, AVGCC32, AVGCTRL, AVGNT, AVGSERV, AVGSERV9, AVGUARD, AVKPOP, AVKSERV, AVKSERVICE, AVKWCTl9, AVLTMAIN, AVP32, AVPCC, AVPDOS32, AVPTC32, AVPUPD, AVSCHED32, AVSYNMGR, AVWIN95, AVWINNT, AVWUPD, AVWUPD32, AVWUPSRV, AVXMONITOR9X, AVXMONITORNT, AVXQUAR, BACKWEB, BARGAINS, BD_PROFESSIONAL, BEAGLE, BIDEF, BIDSERVER, BIPCP, BIPCPEVALSETUP, BLACKD, BLACKICE, BOOTCONF, BOOTWARN, BORG2, BRASIL, BS120, BUNDLE, CCAPP, CCEVTMGR, CCPXYSVC, CFGWIZ, CFIADMIN, CFIAUDIT, CFINET, CFINET32, Claw95, CLAW95CF, CLEAN, CLEANER, CLEANER3, CLEANPC, CLICK, CLIENT, CMD32, CMESYS, CMGRDIAN, CMON016, CONDOM, CPF9X206, CPFNT206, CRACKER, CWNB181, CWNTDWMO, DATEMANAGER, DCOMX, DEFALERT, DEFSCANGUI, DEFWATCH, DEPUTY, DLLCACHE, DLLREG, DOORS, DPFSETUP, DPPS2, DRWATSON, DRWEB32, DRWEBUPW, DSSAGENT, DVP95, DVP95_0, ECENGINE, EFPEADM, ESAFE, ESCANH95, ESCANHNT, ESCANV95, ESPWATCH, ETHEREAL, ETRUSTCIPE, EXE.AVXW, EXPERT, EXPLORE, F-AGNT95, F-AGOBOT, F-PROT, F-PROT95, F-STOPW, FAMEH32, FCH32, FIH32, FINDVIRU, FIREWALL, FLOWPROTECTOR, FNRB32, FP-WIN, FP-WIN_TRIAL, FPORT, FPROT, FRHED, FSAV32, FSAV530STBYB, FSAV530WTBYB, FSAV95, FSGK32, FSM32, FSMA32, FSMB32, GATOR, GBMENU, GBPOLL, GENERICS, GUARD, GUARDDOG, HACKTRACERSETUP, HBINST, HBSRV, HIJACKTHIS, HONEYD, HOTACTIO, HOTPATCH, HTLOG, HTPATCH, HXIUL, IAMAPP, IAMSERV, IAMSTATS, IBMASN, IBMAVSP, ICESWORD, ICLOAD95, ICLOADNT, ICMON, ICSUPP95, ICSUPPNT, IEDLL, IEDRIVER, IEXPLORER, IFACE, IFW2000, IISLOCKD, INETLNFO, INFUS, INFWIN, INTDEL, INTREN, IOMON98, IPARMOR, ISASS, ISRV95, ISTSVC, JAMMER, JDBGMRG, KAVLITE40ENG, KAVPERS40ENG, KAVPF, KAVSVC, KAZZA, KEENVALUE, KERNEL32, LAUNCHER, LDNETMON, LDPRO, LDPROMENU, LDSCAN, LNETINFO, LOADER, LOCALNET, LOCKDOWN, LOCKDOWN2000, LOGGER, LOGVIEWER, LOOKOUT, LORDPE, LSETUP, LUALL, LUCOMSERVER, LUINIT, LUSPT, MAPISVC32, MCAGENT, MCMNHDLR, MCSHIELD, MCTOOL, MCUPDATE, MCVSRTE, MCVSSHLD, MFIN32, MFW2EN, MFWENG3.02D30, MGAVRTCL, MGAVRTE, MGHTML, MINILOG, MONITOR, MOOLIVE, MOSTAT, MPFAGENT, MPFSERVICE, MPFTRAY, MRFLUX, MSAPP, MSBLAST, MSCACHE, MSCCN32, MSCMAN, MSCONFIG, MSDOS, MSIEXEC16, MSINFO32, MSLAUGH, MSMGT, MSMSGRI32, MSSMMC32, MSSYS, MSVXD, MU0311AD, MWATCH, N32SCANW, NAVAP.NAVAPSVC, NAVAPSVC, NAVAPW32, NAVDX, NAVLU32, NAVNT, NAVSTUB, NAVW32, NAVWNT, NC2000, NCINST4, NDD32, NEOMONITOR, NEOWATCHLOG, NETARMOR, NETD32, NETINFO, NETMON, NETSCANPRO, NETSTAT, NETUTILS, NISSERV, NISUM, NMAIN, NOD32, NOD32CC, NOD32KRN, NOD32KUI, NOD32M2, NORMIST, NOTSTART, NPFMESSENGER, NPROTECT, NPSCHECK, NPSSVC, NSCHED32, NSSYS32, NSTASK32, NSUPDATE, NTRTSCAN, NTVDM, NTXconfig, NUPGRADE, NVARCH16, NVC95, NVSVC32, NWINST4, NWSERVICE, NWTOOL16, OLLYDBG, ONSRVR, OPTIMIZE, OSTRONET, OTFIX, OUTPOST, OUTPOSTINSTALL, PADMIN, PANIXK, PATCH, PAVCL, PAVPROXY, PAVSCHED, PCC2002S902, PCC2K_76_143, PCCIOMON, PCCNTMON, PCCWIN97, PCCWIN98, PCDSETUP, PCFWALLICON, PCIP10117_0, PCSCAN, PDSETUP, PEDASM, PENIS, PERISCOPE, PERSFW, PERSWF, pexplorer, PFWADMIN, PGMONITR, PINGSCAN, PLATIN, PMDUMP, POP3TRAP, POPROXY, POPSCAN, PORTDETECTIVE, PORTMONITOR, POWERSCAN, PPINUPDT, PPTBC, PPVSTOP, PRIZESURFER, PRMVR, PROCDUMP, PROCESSMONITOR, PROCEXP, PROGRAMAUDITOR, PROPORT, PROTECTX, PURGE, PUSSY, PVIEW95, QCONSOLE, QSERVER, RAPAPP, RAV7WIN, RAV8WIN32ENG, RCSYNC, REALMON, REGCLEANER, REGED, REGEDIT, REGEDT32, RERGCLEANR, RESCUE, RESCUE32, RRGUARD, RSHELL, RTVSCAN, RTVSCN95, RULAUNCH, RUN32DLL, RUNDLL, RUNDLL16, RUXDLL32, SAFEWEB, SAHAGENT, SAVENOW, SBSERV, SCAM32, SCAN32, SCAN95, SCANPM, SCRSCAN, SCRSVR, SCVHOST, SERV95, SERVICE, SERVLCE, SERVLCES, SETUPVAMEEVAL, SGSSFW32, SHELLSPYINSTALL, SHOWBEHIND, SMSS32, SPERM, SPHINX, SPOLER, SPOOLCV, SPOOLSV32, SPYXX, SREXE, SS3EDIT, SSG_4104, SSGRATE, START, STCLOADER, SUPFTRL, SUPPORT, SUPPORTER5, SVCHOSTC, SVCHOSTS, SVSHOST, SWEEP95, SYMPROXYSVC, SYMTRAY, SYSEDIT, SYSTEM, SYSTEM32, SYSUPD, TASKMG, TASKMO, TASKMON, TAUMON, TBSCAN, TCPVIEW, TDS-3, TDS2-98, TDS2-NT, TEEKIDS, TFAK5, TGBOB, TITANIN, TITANINXP, TRACERT, TRICKLER, TRJSCAN, TRJSETUP, TROJANTRAP3, TSADBOT, TVTMD, UNDOBOOT, UPDAT, UPDATE, UPGRAD, UTPOST, VBCMSERV, VBCONS, VBUST, VBWIN9X, VBWINNTW, VCSETUP, VET32, VET95, VETTRAY, VFSETUP, VIR-HELP, VNLAN300, VNPC3000, VPC32, VPC42, VPFW30S, VPTRAY, VSCAN40, VSCENU6.02D30, VSCHED, VSECOMR, VSHWIN32, VSISETUP, VSMAIN, VSMON, VSSTAT, VSWIN9XE, VSWINNTSE, VSWINPERSE, W32DSM89, WATCHDOG, WEBDAV, WEBSCANX, WEBTRAP, WFINDV32, WGFE95, WHOSWATCHINGME, WIMMUN32, WIN-BUGSFIX, WIN32, WIN32US, WINACTIVE, WINDBG, WINDOW, WINDOWS, WINDUMP, WININETD, WININIT, WININITX, WINLOGIN, WINMAIN, WINNET, WINPPR32, WINRECON, WINSERVN, WINSSK32, WINSTART, WINSTART001, WINTSK32, WINUPDATE, WKUFIND, WRADMIN, WRCTRL, WSBGATE, WUPDATER, WUPDT, XPF202EN, ZAPRO, ZAPSETUP3001, ZATUTOR, ZONALM2601, ZONEALARM

При попытке принудительного завершения пользователем процессов:

wndrivs.exe
mshtml32.exe
sdrives32.exe
winlgcver.exe

код червя, внедренный в процесс «explorer.exe», запускает их повторно.

Рекомендации по удалению

Обнаружение

Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать клавишу «F8», затем выбрать пункт Safe Mode в меню загрузки Windows).
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы, созданные червем:

%System%wndrivs.exe
%System%mshtml32.exe
%System%sdrives32.exe
%System%winlgcver.exe

4. Удалить ключи системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce]
"Start Services" = "%WormCopy%"

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
"Windows Explorer" = "explorer.exe %WormCopy%"
"Logon Data" = "%WormCopy%"

[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
"Policies Settings" = ""

[HKLMSoftwareRMXcfg]

5. Изменить модифицированный файл «%System%driversetchosts», используя любое стандартное приложение (например, «Блокнот» — Notepad). Требуется удалить все добавленные червем строки. Оригинальный файл «hosts» выглядит следующим образом:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом `#`.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost

6. Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:

game.exe
zjbs.exe
autorun.inf

Если такие файлы существуют, удалить их.

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: viruslist.com.

перейти в архив