Технические детали
Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением "EXE". Является приложением Windows (PE-EXE файл). Имеет размер 9487286 байт. Написана на Delphi.
Инсталляция
После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:
%WinDir%/svchost.com
Данный файл имеет размер 41472 байта.
md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808
Предварительно производится поиск и удаление существующего файла
"%WinDir%/svchost.com".
Вирус изменяет значения следующего параметра ключа системного реестра:
[HKCR/exefile/shell/open/command]
"(default)" = "%WinDir%/svchost.com "%1" %*"
Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%/svchost.com с параметром равным имени программы, которую запускает пользователь.
Деструктивная активность
Вирус получает список логических дисков на компьютере пользователя. После чего сканирует найденные диски в поисках исполняемых файлов Windows(PE-EXE), найденные файлы такого типа заражаются вирусом. При этом найденные файлы должны соответствовать критериям:
файл должен быть не меньше 41472 байта и не больше 10000000 байт;
файл не должен находиться в каталогах %WinDir% и %ProgramFiles%;
не заражаются файлы на CD-ROM и на логических дисках A и B;
При заражении вирус записывает в начало файла свое тело и перенаправляет точку входа в программу на тело вируса, оригинальное начала файла переносится в конец файла, при этом часть переносимого блока шифруется.
Также вирус создает файл в корневом каталоге Windows под именем "directx.sys":
%WinDir%/directx.sys
Если тело вируса запускается с параметром равным имени программы, которую запускает пользователь,то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл
%WinDir%/directx.sys
для дальнейшего заражения.
При этом соблюдаются вышеуказанные критерии заражаемых файлов. Если был запущен зараженный файл (размер запускаемого файла больше 41472 байта), то после запуска тела вируса, вирус расшифровывает оригинальный файл и сохраняет его во временном каталоге текущего пользователя Windows в каталоге "3582-490" под оригинальным именем:
%Temp%/3582-490/
после чего оригинальный файл запускается на выполнение. Для контроля уникальности своего процесса в системе вирус создает уникальный идентификатор с именем:
MutexPolesskayaGlush
В теле вируса содержаться следующие строки:
Delphi-the best. *** all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама :) Восень - кепская пара... Алiварыя - лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|