Технические детали
Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 94208 байт. Написан на Visual Basic.
Инсталляция
После запуска червь копирует свое тело в файл:
c:/KALBA/MAAFENA/LAXOURY.exe
Также создается файл:
C:/KALBA/MAAFENA/desKtOp.InI
содержащий строки:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM/Software/Microsoft/Active Setup/Installed Components/{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}]
"StubPath" = "c:/KALBA/MAAFENA/LAXOURY.exe"
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
имя зараженного раздела:/KALBA/MAAFENA/LAXOURY.exe
Вместе со своим исполняемым файлом червь помещает файлы:
имя зараженного раздела:/KALBA/MAAFENA/desKtOp.InI
имя зараженного раздела:/autorun.inf
что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system). Кроме того, червь способен распространяться при помощи программ обмена мгновенными сообщениями:
Skype
MSN Messenger
Деструктивная активность
Весь деструктивный функционал вредоноса осуществляется исполняемым кодом, внедряемым в адресное пространство процесса "EXPLORER.EXE".
Внедренный код выполняет следующие действия:
- в бесконечном цикле создает ключ системного реестра:
[HKLM/Software/Microsoft/Active Setup/Installed Components/{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}]
"StubPath" = "c:/KALBA/MAAFENA/LAXOURY.exe"
- Загружает из сети Интернет файлы по следующим ссылкам:
http://www.sit***alace.com/gamil/Safer12.jpeg
(На момент создания описания загружался файл размером 135681 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Ruskill.p")
http://www.sit***alace.com/gamil/lokiB.jpeg
(На момент создания описания загружался файл размером 169985 байт; детектируется эвристиком Антивируса Касперского как "HEUR:Trojan.Win32.Generic")
Загруженные файлы сохраняются в системе как
%USERPROFILE%/rnd.exe
где rnd – случайное имя (например: "H8F4D9~1.EXE"). После успешной загрузки файлы запускаются на выполнение.
- Блокирует доступ к веб-ресурсам, содержащим в своих именах следующие подстроки:
webroot.
fortinet.
virusbuster.
nprotect.
gdatasoftware.
virus.
precisesecurity.
lavasoft.
heck.tc
emsisoft.
onlinemalwarescanner.
onecare.live.
f-secure.
bullguard.
clamav.
pandasecurity.
sophos.
malwarebytes.
sunbeltsoftware.
norton.
norman.
mcafee.
symantec
comodo.
avast.
avira.
avg.
bitdefender.
eset.
kaspersky.
trendmicro.
iseclab.
virscan.
garyshood.
viruschief.
jotti.
threatexpert.
novirusthanks.
virustotal.
- Отслеживает исходящий сетевой трафик с целью похищения данных аутентификации пользователей следующих веб-ресурсов:
OfficeBanking
LogMeIn
Megaupload
FileServe
Twitter
AlertPay
Moneybookers
Runescape
DynDNS
NoIP
Steam
Hackforums
Facebook
Yahoo
Live
Gmail
Fastmail
BigString
AOL
YouTube
PayPal
Полученные данные могут быть отправлены на сервер злоумышленника.
- Для выполнения своего основного вредоносного функционала обращается к одному из командных центров, которые располагаются по следующим ссылкам:
relax3.h***dark.biz
relax3.irc***ils.net
relax3.p***nc.cz
На момент создания описания указанные IRC-сервера не работали.
По получаемым с сервера злоумышленника командам червь может выполнять следующие действия:
- загружать файлы по полученным ссылкам и запускать их;
- распространяться, используя программы обмена мгновенными сообщениями;
- проводить DoS-атаки на указанные злоумышленником сервера;
- обновлять свой оригинальный файл.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского, произвести полную проверку компьютера с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
