Технические детали
Червь с функционалом троянской программы, предоставляющий злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 136704 байта. Упакована неизвестным упаковщиком. Распакованный размер - около 98 КБ. Написана на C++.
Деструктивная активность
После запуска червь внедряет вредоносный код в адресное пространство процесса с классом окна "Progman" (таким образом червь ищет процесс "еxplorer.exe"), после этого завершает свое выполнение.
Внедренный вредоносный код создает уникальный идентификатор для контроля уникальности своего процесса в системе:
pxT=+10
После этого создает копию тела червя с именем "rmhzb.exe":
%AppData%/rmhzb.exe
Данному файлу устанавливает атрибуты "скрытый" и "системный".
Добавляет ссылку в ключ автозапуска системного реестра, что приводит к автоматическому запуску копии червя при каждом следующем старте системы:
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Taskman" = "%AppData%/rmhzb.exe"
Если тело червя находилось на съемном диске, тогда он открывает корневой каталог данного диска при помощи программы "Проводник". Далее реализует функционал бэкдора. Для этого соединяется с удаленными хостами:
jebe***kolic.su
pee***sarske.ru
tes***carke.com
juic***bracala.org
92.***.237
Таким образом получает возможность получать команды от злоумышленника и вредоносные файлы в зашифрованном виде.
После установки соединения по команде злоумышленника способен выполнять следующий функционал:
- Загружать и запускать на исполнение файлы, которые сохраняются во временном каталоге пользователя под случайными именем:
%Temp%/rnd.exe
Где rnd - случайное число, например, "3162".
При этом если доступна обновленная версия вредоноса, тогда червь загружает ее, удаляет копию своего файла:
%AppData%/rmhzb.exe
удаляет ключ автозапуска:
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Taskman" = "%AppData%/rmhzb.exe"
А после этого запускает на исполнение свою загруженную обновленную версию.
- Получать ссылки для загрузки других исполняемых файлов, которые также сохраняются во временном каталоге пользователя под случайными именем:
%Temp%/rnd.exe
После успешной загрузки файлы запускаются на исполнение.
- Создавать копии тела червя на всех доступных на запись сетевых и съемных дисках с именем "izcipica.exe":
X:/izcipica.exe
Где X - буква сетевого или съемного диска. При этом помещает в корень диска сопровождающий файл:
X:/autorun.inf
который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
- Устанавливать или похищать coockie для браузера "Mozilla Firefox".
- Отслеживать поисковые запросы пользователя для следующих браузеров:
Mozilla Firefox
Microsoft Internet Explorer
Windows Internet Explorer
Opera
Google Chrome
Таким образом получает возможность подменять результаты поисковых запросов.
На момент создания описания получал команду загрузки и запуска на исполнение своей обновленной версии по следующему URL:
http://188.***.178/zmajovina/osamnest774.exe
Данный файл имеет размер байт и детектируется антивирусом Касперского как P2P-Worm.Win32.Palevo.bjiy.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- При помощи Диспетчера задач завершить процесс:
explorer.exe
- Удалить файлы:
%AppData%/rmhzb.exe
X:/izcipica.exe
X:/autorun.inf
- Удалить файлы из временного каталога текущего пользователя Windows по следующей маске:
%Temp%/rnd.exe
Где rnd - случайное число.
- Удалить патаметр ключа системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Taskman" = "%AppData%/rmhzb.exe"
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
