Технические детали

Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Размер тела вируса – 110592 байта. Написана на С++.

Деструктивная активность

Для контроля уникальности своего процесса в системе вредонос создает уникальные идентификаторы с именами:

gazavat-svc
gazavat-svc_18
kkq-vx_mtxrnd1

Где rnd1 - числовое значение от 1 до 100.

Для автоматического запуска при каждой последующей загрузке Windows, вирус заражает исполняемые файлы, отвечающие за работу служб. После этого вирус заражает файлы:

.exe
.lnk

Для ".lnk" – заражаются бинарные файлы, соответствующие данному ярлыку. Заражение, в первую очередь, выполняется в следующих каталогах:

%UserProfile%/Рабочий стол/
%UserProfile%/Главное меню/Программы/

Также заражение файлов выполняется на локальных, сетевых и съемных дисках.

Для сокрытия своей работы удаляет файлы:

%UserProfile%/Cookies/

Вредонос снижает уровень настроек безопасности браузера Internet Explorer, изменив настройки зон безопасности:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/4]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"

Таким образом, вирус отключает уведомления, изменяет доступ к данным при посещении веб-узлов и разрешает обновление строки состояния в сценариях. Для кражи паролей и учетных записей пользователя из программы FileZilla анализирует файл программы с именем "sitemanager.xml".

%AppData%/FileZilla/sitemanager.xml

Собирает информацию о сертификатах, находящихся в хранилище сертификатов компьютера пользователя.

Для похищения сохраненных паролей браузера Internet Explorer анализирует следующий ключ системного реестра:

[HKCU/Software/Microsoft/Internet Explorer/IntelliForms/torage2]

Для похищения данных об учетных записях программы Outlook Express анализирует данные в защищенном хранилище (Protected Storage). Похищенные данные вирус сохраняет в одном из следующих файлов в зашифрованном виде:

%UserProfile%/Local Settings/Application Data/hahhajgb18.nls
%UserProfile%/Local Settings/Application Data/kf18lz32.dll
%UserProfile%/Local Settings/Application Data/wsr18zt32.dll
%UserProfile%/Local Settings/Application Data/dfl18z32.dll

Если на компьютере пользователя установлена программа Mozilla Firefox, то вирус создает расширение для этой программы, с помощью которого отправляет похищенные данные на следующие адреса:

gan***roup.net
kevl***guard.ru
xra***gometer.org
karavja***akistan.net
vahha***yte.ru
ijmas***unschk.ru
lybi***izovernet.biz
fukushim***tom.ru
pash***ers600.ru
fair***ilpigz.biz

а также понижает настройки безопасности браузера, для чего создает файлы:

%AppData%/Mozilla/Firefox/Profiles/каталог профиля пользователя/extensions/
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}/chrome.manifest
Файл имеет размер 307 байт.

%AppData%/Mozilla/Firefox/Profiles/каталог профиля пользователя/extensions/
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}/install.rdf
Файл имеет размер 881 байт.

%AppData%/Mozilla/Firefox/Profiles/
каталог профиля пользователя/extensions/{ec9032c7-c20a-464f-7b0e-13a3a9e97385}/components/red.js
Файл имеет размер 4152 байта.

%AppData%/Mozilla/Firefox/Profiles/
каталог профиля пользователя/extensions/{ec9032c7-c20a-464f-7b0e-13a3a9e97385}/chrome/content.jar
Файл имеет размер 8234 байта.

Отправляет запрос вида:

POST URL HTTP/1.1
User-Agent: Mozilla/4.1
(compatible; MSIE 18; версия ОС-серийный номер тома.локаль.ProductID)

На один из следующих URL адресов, а также производных от этих адресов, которые вредонос генерирует автоматически:

ca***ing.cc
vir***st.com
av***ck.ru
www.vi***est.com
www.a***eck.ru
gekta***omarenda.ru
a***eck.biz
ga***roup.com
ca***ing.cc
av***ck.ru
licens***olicy2012.ru
www.av***eck.biz
ganz***oup.in
ca***ing.cc
direct***nection.ws
ca***ing.cc
www.av***eck.biz
antivira***stlist.biz
lowlo***asting.ru
xver***ed.ru
www1.h***bc.ca
kgbre***club.ru
kido***ank.ru
sam***dka-ww3.ru
gron***anets.ru

В ответ в зашифрованном виде может получать другие вредоносные файлы, которые сохраняет во временный каталог браузера Internet Explorer:

%Temporary Internet Files%

Вирус может запускать их на исполнение или, проверяя дату создания файла, если она совпала с датой прописанной в вирусе, может сохранять файл под именем:

%Documents and Settings%/All Users/Application Data/pu_u.dll

Где u - случайный набор цифр, например,"18_60447406" После сохранения подгружает библиотеку в свое адресное пространство и вызывает из нее функции "U" или "V". После использования удаляет библиотеку.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив