methos2008
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Общая информация и источники попадания в компьютер. Зашифрованная вредоносная программа под Windows, написанная на языке Borland Delphi версии 3.0. Размер файла данного варианта троянца составляет 1236992 байта. Криптографическая защита кода организована при помощи утилиты-паковщика, которая компрессирует код файла, а поверх сжатой структуры ещё и шифрует, делая его недоступным для просмотра и анализа функционала. Размер декомпрессированного и расшифрованного файла вируса составляет, примерно, 2.6Мб. Всем пострадавшим вирус попал в компьютеры под видом обновления графической поддержки Adobe Flash Player, которую предлагается скачать на некоторых страничках популярного портала “Ютуб” якобы для возможности просмотра неподдерживаемого старой версией Flash Player ролика. Название файла было одно и то же - Flash-Player.exe Инсталляция в систему. При запуске вирус копирует свой файл в корневой каталог системы под одним из двух названий: \WINDOWS\svchost.exe или \WINDOWS\services32.exe Названия файлов умышленно выбраны по аналогии с оригинальными системными файлами Виндовс, расположенными в папке \WINDOWS\System32\ Для возможности автозапуска при старте системы с расширенными правами в ключах системного реестра создаётся следующий параметр: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon “AutoAdminLogon”=“1” , а также 2 записи с ссылками на вредоносный файл, которые хранятся в нижеприведенной ветке ключей автозапуска системного реестра в таких параметрах SOFTWARE\Microsoft\Windows\CurrentVersion\Run “nsrv”=“[путь к вредоносному файлу]” “wxpdrv”=“[путь к вредоносному файлу]” Вредоносные и деструктивные действия внутри системы зараженного компьютера. Троянец блокирует приложения, которые импортируют в систему запросы, или содержат в заголовках своих окон или в названиях файлов ниже приведенные текстовые строки: KAV_START KAV_UNINSTALL KAV_URL KAV_TXT kaspersky virus avp.exe klwtblfs.exe kavsvc.exe klnagent.exe klserver.exe kavss.exe Антивирус Касперского 2011 Изменение, восстановление или удаление Лаборатория Касперского в интернете Лицензионное соглашение KAV_2011 Kaspersky Касперск 0 2011 Антивирус Касперского 2010 KAV_2010 1 Антивирус Касперского 2009 KAV_2009 Антивирус Касперского 7.0 KAV_2008 Антивирус Касперского 7 internet Kaspersky Internet Security 2011 Kaspersky Internet Security 2010 Kaspersky Internet Security 2009 Kaspersky Internet Security 7.0 Kaspersky Internet Security 7 NOD_AV_START NOD_SYSINSP NOD_SYSRESC NOD_UNINSTALL NOD_TXT eset ekrn.exe egui.exe nod32krn.exe nod32kui.exe ehttpsrv.exe era.exe callmsi.exe sysrescue.exe ESET NOD32 Antivirus ESET SysInspector ESET SysRescue Удаление NOD_AV_4_2 NOD_SS_START ESET Smart Security NOD_SS_4_2 outpost_start2 agnitum outpost_start1 acs.exe op_mon.exe asp_srv.exe outpost.exe feedback.exe Outpost Firewall Outpost Firewall Pro 7.0 outpost comodo_start comodo cmdagent.exe cfp.exe cpf.exe clpsls.exe bocore.exe Comodo agava_start agava agava.exe Agava Firewall avast_start avast_desktop alwil avast aswupdsv.exe ashserv.exe ashwebsv.exe ashmaisv.exe ashdisp.exe avastsvc.exe avastui.exe ashsimpl.exe Avast avira_start avira sched.exe avgnt.exe avguard.exe avfwsvc.exe avmailc.exe avwebgrd.exe checkt.exe avcenter.exe avscan.exe agent.exe evmgr.exe ium.exe avmcs.exe Avira AntiVir mcafee_start mcafee engineserver.exe frameworkservice.exe vstskmgr.exe mfevtps.exe naprdmgr.exe mcshield.exe mfeann.exe udaterui.exe mctray.exe shstat.exe mcsacore.exe mcproxy.exe ssscheduler.exe mcmscsvc.exe mpfsrv.exe mcagent.exe mcsysmon.exe mcnasvc.exe hwapi.exe mcods.exe redirsvc.exe mcuimgr.exe msksrver.exe scan64.exe McAfee norton_start norton ccsetmgr.exe ccevtmgr.exe spbbcsvc.exe defwatch.exe nisum.exe ccsvchst.exe smc.exe ccapp.exe vptray.exe rtvscan.exe pifsvc.exe aluschedulersvc.exe appsvc32.exe vprosvc.exe sndsrvc.exe smcgui.exe symcorpui.exe savui.exe sesclu.exe luall.exe lucomserver_3_3.exe lucallbackproxy.exe ccproxy.exe issvc.exe navapsvc.exe nsctop.exe reportersvc.exe ngserver.exe dbserv.exe navw32.exe nprotect.exe nopdb.exe symcuw.exe oscheck.exe Norton AntiVirus drweb_start drweb doctor web dwengine.exe spiderml.exe spiderui.exe spidernt.exe spideragent.exe spidergate.exe drweb32w.exe drwebupw.exe frwl_notify.exe drwebscd.exe drwagnui.exe drwagntd.exe ahm5ha.exe atdguv.exe f25cr4.exe h58exa6v.exe 3hfw77.exe le6lb7.exe drwcsd.exe Dr.Web dr.web avg_start AVG avgchsvx.exe avgrsx.exe avgcsrvx.exe avgwdsvc.exe avgam.exe avgnsx.exe avgemc.exe avgtray.exe avgchsva.exe avgrsa.exe avgcsrva.exe avgfws9.exe avgidsagent.exe avgnsa.exe avgfws8.exe AVG Anti-virus avg panda_start Panda tpsrv.exe psctrls.exe pavfnsvr.exe pavprsrv.exe psksvc.exe pavsrv51.exe avengine.exe apvxdwin.exe webproxy.exe srvload.exe pavbckpt.exe pavsrvx86.exe psunmain.exe psanhost.exe inicio.exe Panda Antivirus Essentials_start Essentials Microsoft Security Client msascui.exe msmpeng.exe essentials.exe mpcmdrun.exe Microsoft Security Essentials defender_start defender Microsoft Defender Defender Также он модифицирует значения в ветке ключей реестра SOFTWARE\Microsoft\Security Center FirewallOverride DisableThumbnailCache FirewallDisableNotify UpdatesDisableNotify AntiVirusDisableNotify , тем самым блокируя работу системного фаерволла (Брэндмауэра) Виндовс, а также производит модификации значений и в некоторых других ветках системного реестра, связанных с политикой безопасности компьютера: SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System EnableLUA EnableSecureUIAPaths При помощи системной службы “netsh” системе отдаётся команда полного отключения Брэндмауэра Виндовс – “firewall set opmode mode=disable” При помощи системной службы “taskkill” принудительно завершается работа некого сервиса rstui.exe. Также вирус модифицирует системный файл boot.ini, связанный с выбором загрузки ОС, заменяя в нём значения нижеприведенных параметров на следующие: timeout=0 /safeboot:minimal /safeboot:minimal(alternateshell) /noexecute=AlwaysOff /execute /noexecute=optin Кроме того, удаляет разделы ключей системного реестра, связанные с зарузкой Безопасного режима (Safe Mode), после чего попытки загрузить систему в Безопасном режиме компьютер либо наглухо виснет, либо уходит на перезагрузку (в зависимости от версии установленной ОС Виндовс). Ещё вирус блокирует программные окна подпрограмм-деинсталляторов, в заголовках которых присутствует любой из следующих текстовых фрагментов: remove удал Uninstall убрать Вредоносные действия в сети. Вирус блокирует доступ к следующим серверам, блокируя отсылаемые на них запросы: google.com microsoft.com yandex.ru Пытается связаться со следующими серверами (для чего - непонятно): v-baza.ru baza-44.ru domain-test-mode.ru Также ищет свои обновления, соединяясь со следующими сайтами: bmp-forwindows.com office-Important-update.com free-pac.net drivers-z2012.com newdrivers-win7.com При установке соединения вирус передаёт на них некоторую тех. информацию и номер своей версии (у исследуемого варианта это 2.23). В случае обнаружения обновления оно скачивается в систему и перезаписывает устаревший файл. Кроме того, вирус создаёт на диске инфицированного компьютера ряд лог-файлов с разными названиями, в которых сохраняет техническую информацию, связанную со своей работой и ошибках в ходе выполнения различных процедур, а также записывает в них список установленных в системе программ, список IP-адресов, которые прописаны в параметрах установленных в системе локальных и глобальных соединений. Эти файлы вирус отправляет, используя http-протокол, на вышеуказанные сайты. Прочее. В зависимости от обращений к своему файлу со стороны сторонних программ (например, антивирусных утилит), вредун может выводить на экран следующее сообщение: System error! Access denied В теле вируса содержится ряд каких-то графических файлов в формате “PNG”, сконвертированных при помощи программы Adobe Photoshop 7.0. Также при попытках пользователя изменить параметры установленного под системой антивируса на экран выдаётся сообщение следующего вида: Внимание! [название антивируса] работает в режиме усиленной защиты. Это временная мера, необходимая для моментального реагирования на угрозы со стороны вирусных программ. От Вас не требуется никаких действий. В дальнейшем вирус может выводить на экран и текст вида Дата выпуска баз: Ваша система защищена Рекомендации по удалению вируса и восстановлению повреждений системы. 1. Загрузиться с загрузочного диска с интерфейсом типа Windows PE, после чего удалить вредоносные файлы \WINDOWS\svchost.exe и \WINDOWS\services32.exe 2. Для восстановления работоспособности Безопасного режима воспользоваться утилитой №10 из моего антивирусного набора, который доступен для скачивания на страничке нашего портала http://daxa.com.ua/virushunter 3. Модифицированный системный файл boot.ini заменить оригинальным (можно взять из дистрибутива Виндовс с диска, или же скопировать с другого компьютера с аналогичной ОС Виндовс). |