Технические детали
Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 142336 байт. Написан на C++.
Инсталляция
После запуска червь копирует свое тело в следующий файл:
%USERPROFILE%/Application Data/rmhzb.exe
Файл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Taskman" = "%USERPROFILE%/Application Data/rmhzb.exe"
Таким образом, копия червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке компьютера в "безопасном режиме".
Распространение
Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:
имя зараженного раздела:/SLOBODAN/vasic.exe
Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).
Вместе со своим исполняемым файлом червь помещает файл:
имя зараженного раздела:/autorun.inf
который позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность
После запуска червь внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, выполняющий следующие действия:
в бесконечном цикле создается ключ системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Taskman" = "%USERPROFILE%/Application Data/rmhzb.exe"
Блокируется удаление файлов:
%USERPROFILE%/Application Data/rmhzb.exe
имя зараженного раздела:/SLOBODAN/vasic.exe
имя зараженного раздела:/autorun.inf
Устанавливается соединение со следующими хостами:
jebena.anan***ic.su
peer.pickeklo***ke.ru
Если соединение успешно установлено, вредоносным кодом запускается цикл приема команд. По команде злоумышленника могут выполняться следующие действия: - похищение cookie браузера; - загрузка и запуск файлов; - сбор и отправка злоумышленнику информации о системе.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "EXPLORER.EXE".
- При помощи Диспетчера задач запустить системный редактор реестра "regedit.exe" и удалить ключ:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Taskman" = "%USERPROFILE%/Application Data/rmhzb.exe"
- Перезагрузить компьютер.
- Удалить файлы:
%USERPROFILE%/Application Data/rmhzb.exe
имя зараженного раздела:/SLOBODAN/vasic.exe
имя зараженного раздела:/autorun.inf
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|