Технические детали
Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 14550 байт. Упакован NSPack, PE-Crypt.Morf. Распакованный размер – около 48 КБ. Написан на C++.
Инсталляция
После запуска червь выполняет следующие действия:
- копирует свое тело в файлы:
%System%/wuauclt.exe
%System%/dllcache/wuauclt.exe
При этом оригинальное содержимое файла "%System%/wuauclt.exe" помещается в файл:
c:/temp.log
- Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
"internetnet" = "%System%/wuauclt.exe"
- Устанавливает для своего оригинального файла атрибуты "скрытый" (hidden) и "системный" (system).
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
имя зараженного раздела:/LN.PIF
Вместе со своим исполняемым файлом червь помещает файл:
имя зараженного раздела:/AUTORUN.INF
следующего содержания:
[AutoRun]
shell/open=┤≥┐¬(&O)
shell/open/Command=LN.PIF
shell/open/Default=1
shell/explore=╫╩╘┤╣▄└φ╞≈(&X)
shell/explore/command=LN.PIF
что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
- для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
LN
- Изменяет текущую системную дату, устанавливая год равным 2004.
- Запускает системную утилиту "cacls.exe" со следующими параметрами:
%System%/packet.dll /e /p everyone:f
%System%/pthreadVC.dll /e /p everyone:f
%System%/wpcap.dll /e /p everyone:f
%System%/drivers/npf.sys /e /p everyone:f
%System%/npptools.dll /e /p everyone:f
%System%/drivers/acpidisk.sys /e /p everyone:f
%System%/wanpacket.dll /e /p everyone:f
- Вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию "SfcFileException" с целью отключения WFP (Windows File Protection) для файлов:
%System%/drivers/beep.sys
%System%/dllcache/wuauclt.exe
на одну минуту.
- Останавливает работу службы "Beep". После этого бинарный файл данной службы
%System%/drivers/beep.sys
подменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2560 байт, детектируется Антивирусом Касперского как "Rootkit.Win32.Ressdt.hd". После замены бинарного файла работа службы "Beep" возобновляется.
- Восстанавливает оригинальное содержимое файла "beep.sys".
- Выгружает из системной памяти следующие процессы:
360Safe.exe
360tray.exe
360rpt.EXE
Runiep.exe
RAv.exe
CCenter.EXE
RAVMON.EXE
RAVMOND.EXE
GuardField.exe
Ravxp.exe
GFUpd.exe
kmailmon.exe
kavstart.exe
KAVPFW.EXE
kwatch.exe
UpdaterUI.exe
rfwsrv.exe
rfwProxy.exe
rfwstub.exe
RavStub.exe
rfwmain.exe
TBMon.exe
nod32kui.exe
nod32krn.exe
KASARP.exe
FrameworkService.exe
scan32.exe
VPC32.exe
VPTRAY.exe
AntiArp.exe
KRegEx.exe
KvXP.kxp
kvsrvxp.kxp
kvsrvxp.exe
KVWSC.EXE
Iparmor.exe
Avp.EXE
VsTskMgr.exe
- Останавливает работу служб:
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Symantec AntiVirus
Symantec AntiVirus Drivers Services
Symantec AntiVirus Definition Watcher
Norton AntiVirus Server
- Запускает браузер Internet Explorer и внедряет в адресное пространство его процесса (IEXPLORE.EXE) исполняемый код, осуществляющий загрузку из сети Интернет файлов по следующим ссылкам:
http://m.c***.com/dd/x.gif
http://m.c***.com/dd/1.exe
http://m.c***.com/dd/2.exe
http://m.c***.com/dd/3.exe
http://m.c***.com/dd/4.exe
http://m.c***.com/dd/5.exe
http://m.c***.com/dd/6.exe
http://m.c***.com/dd/7.exe
http://m.c***.com/dd/8.exe
http://m.c***.com/dd/9.exe
http://m.c***.com/dd/10.exe
Загруженные файлы сохраняются в системе соответственно как
%Program Files%/ee.pif
%Documents and Settings%/1.pif
%Documents and Settings%/2.pif
%Documents and Settings%/3.pif
%Documents and Settings%/4.pif
%Documents and Settings%/5.pif
%Documents and Settings%/6.pif
%Documents and Settings%/7.pif
%Documents and Settings%/8.pif
%Documents and Settings%/9.pif
%Documents and Settings%/10.pif
После успешной загрузки файлы запускаются на выполнение. На момент создания описания файлы не загружались.
- Создает ключи системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/]
"debugger" = "%System%dllcachewuauclt.exe"
Всего создается 44 ключа. Подстрока принимает следующие значения:
360rpt.EXE
360safe.EXE
360tray.EXE
360safebox.EXE
safeboxTray.EXE
AVP.EXE
AVP.COM
AvMonitor.EXE
CCenter.EXE
IceSword.EXE
Iparmor.EXE
KVMonxp.KXP
KVSrvXP.EXE
KVWSC.EXE
Navapsvc.EXE
Nod32kui.EXE
nod32krn.EXE
KRegEx.EXE
Frameworkservice.EXE
Mmsk.EXE
Ast.EXE
WOPTILITIES.EXE
Regedit.EXE
AutoRunKiller.EXE
VPC32.EXE
VPTRAY.EXE
ANTIARP.EXE
KASARP.EXE
RAV.EXE
kwatch.EXE
kmailmon.EXE
kavstart.EXE
KAVPFW.EXE
Runiep.EXE
GuardField.EXE
GFUpd.EXE
rfwmain.EXE
RavStub.EXE
rfwstub.EXE
rfwProxy.EXE
rfwsrv.EXE
msconfig.EXE
SREngLdr.EXE
ArSwp.EXE
Это блокирует запуск перечисленных приложений.
- Изменяет значение ключа системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/Showall]
"CheckedValue" = "0"
Это приводит к отключению отображения скрытых файлов и папок.
- Удаляет ключи системного реестра:
[HKLM/System/CurrentControlSet/Control/SafeBoot/Minimal]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
[HKLM/System/CurrentControlSet/Control/SafeBoot/Network]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
- Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют подстроки:
NOD32
Process
Mcafee
Firewall
virus
anti
worm
SREng
то данное окно будет закрыто.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- При помощи Диспетчера задач завершить процесс "IEXPLORE.EXE".
- Удалить ключи системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run]
"internetnet" = "%System%wuauclt.exe"
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/]
"debugger" = "%System%/dllcache/wuauclt.exe"
- Восстановить оригинальное значение ключа системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/Showall]
"CheckedValue"
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%/wuauclt.exe
%System%/dllcache/wuauclt.exe
имя зараженного раздела:/LN.PIF
имя зараженного раздела:/AUTORUN.INF
%Program Files%/ee.pif
%Documents and Settings%/1.pif
%Documents and Settings%/2.pif
%Documents and Settings%/3.pif
%Documents and Settings%/4.pif
%Documents and Settings%/5.pif
%Documents and Settings%/6.pif
%Documents and Settings%/7.pif
%Documents and Settings%/8.pif
%Documents and Settings%/9.pif
%Documents and Settings%/10.pif
- Установить актуальную системную дату.
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
