methos2008
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Общая информация и источники попадания в компьютер.
Зашифрованная вредоносная программа под Windows, написанная на языке Borland Delphi версии 3.0. Размер файла данного варианта троянца составляет 1236992 байта.
Криптографическая защита кода организована при помощи утилиты-паковщика, которая компрессирует код файла, а поверх сжатой структуры ещё и шифрует, делая его недоступным для просмотра и анализа функционала. Размер декомпрессированного и расшифрованного файла вируса составляет, примерно, 2.6Мб.
Всем пострадавшим вирус попал в компьютеры под видом обновления графической поддержки Adobe Flash Player, которую предлагается скачать на некоторых страничках популярного портала “Ютуб” якобы для возможности просмотра неподдерживаемого старой версией Flash Player ролика. Название файла было одно и то же - Flash-Player.exe
Инсталляция в систему.
При запуске вирус копирует свой файл в корневой каталог системы под одним из двух названий:
\WINDOWS\svchost.exe
или
\WINDOWS\services32.exe
Названия файлов умышленно выбраны по аналогии с оригинальными системными файлами Виндовс, расположенными в папке \WINDOWS\System32\
Для возможности автозапуска при старте системы с расширенными правами в ключах системного реестра создаётся следующий параметр:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
“AutoAdminLogon”=“1”
, а также 2 записи с ссылками на вредоносный файл, которые хранятся в нижеприведенной ветке ключей автозапуска системного реестра в таких параметрах
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“nsrv”=“[путь к вредоносному файлу]”
“wxpdrv”=“[путь к вредоносному файлу]”
Вредоносные и деструктивные действия внутри системы зараженного компьютера.
Троянец блокирует приложения, которые импортируют в систему запросы, или содержат в заголовках своих окон или в названиях файлов ниже приведенные текстовые строки:
KAV_START
KAV_UNINSTALL
KAV_URL
KAV_TXT
kaspersky
virus
avp.exe
klwtblfs.exe
kavsvc.exe
klnagent.exe
klserver.exe
kavss.exe
Антивирус Касперского 2011
Изменение, восстановление или удаление
Лаборатория Касперского в интернете
Лицензионное соглашение
KAV_2011
Kaspersky
Касперск
0
2011
Антивирус Касперского 2010
KAV_2010
1
Антивирус Касперского 2009
KAV_2009
Антивирус Касперского 7.0
KAV_2008
Антивирус Касперского 7
internet
Kaspersky Internet Security 2011
Kaspersky Internet Security 2010
Kaspersky Internet Security 2009
Kaspersky Internet Security 7.0
Kaspersky Internet Security 7
NOD_AV_START
NOD_SYSINSP
NOD_SYSRESC
NOD_UNINSTALL
NOD_TXT
eset
ekrn.exe
egui.exe
nod32krn.exe
nod32kui.exe
ehttpsrv.exe
era.exe
callmsi.exe
sysrescue.exe
ESET NOD32 Antivirus
ESET SysInspector
ESET SysRescue
Удаление
NOD_AV_4_2
NOD_SS_START
ESET Smart Security
NOD_SS_4_2
outpost_start2
agnitum
outpost_start1
acs.exe
op_mon.exe
asp_srv.exe
outpost.exe
feedback.exe
Outpost Firewall
Outpost Firewall Pro 7.0
outpost
comodo_start
comodo
cmdagent.exe
cfp.exe
cpf.exe
clpsls.exe
bocore.exe
Comodo
agava_start
agava
agava.exe
Agava Firewall
avast_start
avast_desktop
alwil
avast
aswupdsv.exe
ashserv.exe
ashwebsv.exe
ashmaisv.exe
ashdisp.exe
avastsvc.exe
avastui.exe
ashsimpl.exe
Avast
avira_start
avira
sched.exe
avgnt.exe
avguard.exe
avfwsvc.exe
avmailc.exe
avwebgrd.exe
checkt.exe
avcenter.exe
avscan.exe
agent.exe
evmgr.exe
ium.exe
avmcs.exe
Avira AntiVir
mcafee_start
mcafee
engineserver.exe
frameworkservice.exe
vstskmgr.exe
mfevtps.exe
naprdmgr.exe
mcshield.exe
mfeann.exe
udaterui.exe
mctray.exe
shstat.exe
mcsacore.exe
mcproxy.exe
ssscheduler.exe
mcmscsvc.exe
mpfsrv.exe
mcagent.exe
mcsysmon.exe
mcnasvc.exe
hwapi.exe
mcods.exe
redirsvc.exe
mcuimgr.exe
msksrver.exe
scan64.exe
McAfee
norton_start
norton
ccsetmgr.exe
ccevtmgr.exe
spbbcsvc.exe
defwatch.exe
nisum.exe
ccsvchst.exe
smc.exe
ccapp.exe
vptray.exe
rtvscan.exe
pifsvc.exe
aluschedulersvc.exe
appsvc32.exe
vprosvc.exe
sndsrvc.exe
smcgui.exe
symcorpui.exe
savui.exe
sesclu.exe
luall.exe
lucomserver_3_3.exe
lucallbackproxy.exe
ccproxy.exe
issvc.exe
navapsvc.exe
nsctop.exe
reportersvc.exe
ngserver.exe
dbserv.exe
navw32.exe
nprotect.exe
nopdb.exe
symcuw.exe
oscheck.exe
Norton AntiVirus
drweb_start
drweb
doctor web
dwengine.exe
spiderml.exe
spiderui.exe
spidernt.exe
spideragent.exe
spidergate.exe
drweb32w.exe
drwebupw.exe
frwl_notify.exe
drwebscd.exe
drwagnui.exe
drwagntd.exe
ahm5ha.exe
atdguv.exe
f25cr4.exe
h58exa6v.exe
3hfw77.exe
le6lb7.exe
drwcsd.exe
Dr.Web
dr.web
avg_start
AVG
avgchsvx.exe
avgrsx.exe
avgcsrvx.exe
avgwdsvc.exe
avgam.exe
avgnsx.exe
avgemc.exe
avgtray.exe
avgchsva.exe
avgrsa.exe
avgcsrva.exe
avgfws9.exe
avgidsagent.exe
avgnsa.exe
avgfws8.exe
AVG Anti-virus
avg
panda_start
Panda
tpsrv.exe
psctrls.exe
pavfnsvr.exe
pavprsrv.exe
psksvc.exe
pavsrv51.exe
avengine.exe
apvxdwin.exe
webproxy.exe
srvload.exe
pavbckpt.exe
pavsrvx86.exe
psunmain.exe
psanhost.exe
inicio.exe
Panda Antivirus
Essentials_start
Essentials
Microsoft Security Client
msascui.exe
msmpeng.exe
essentials.exe
mpcmdrun.exe
Microsoft Security Essentials
defender_start
defender
Microsoft Defender
Defender
Также он модифицирует значения в ветке ключей реестра
SOFTWARE\Microsoft\Security Center
FirewallOverride
DisableThumbnailCache
FirewallDisableNotify
UpdatesDisableNotify
AntiVirusDisableNotify
, тем самым блокируя работу системного фаерволла (Брэндмауэра) Виндовс, а также производит модификации значений и в некоторых других ветках системного реестра, связанных с политикой безопасности компьютера:
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
EnableLUA
EnableSecureUIAPaths
При помощи системной службы “netsh” системе отдаётся команда полного отключения Брэндмауэра Виндовс – “firewall set opmode mode=disable”
При помощи системной службы “taskkill” принудительно завершается работа некого сервиса rstui.exe.
Также вирус модифицирует системный файл boot.ini, связанный с выбором загрузки ОС, заменяя в нём значения нижеприведенных параметров на следующие:
timeout=0
/safeboot:minimal
/safeboot:minimal(alternateshell)
/noexecute=AlwaysOff
/execute
/noexecute=optin
Кроме того, удаляет разделы ключей системного реестра, связанные с зарузкой Безопасного режима (Safe Mode), после чего попытки загрузить систему в Безопасном режиме компьютер либо наглухо виснет, либо уходит на перезагрузку (в зависимости от версии установленной ОС Виндовс).
Ещё вирус блокирует программные окна подпрограмм-деинсталляторов, в заголовках которых присутствует любой из следующих текстовых фрагментов:
remove
удал
Uninstall
убрать
Вредоносные действия в сети.
Вирус блокирует доступ к следующим серверам, блокируя отсылаемые на них запросы:
google.com
microsoft.com
yandex.ru
Пытается связаться со следующими серверами (для чего - непонятно):
v-baza.ru
baza-44.ru
domain-test-mode.ru
Также ищет свои обновления, соединяясь со следующими сайтами:
bmp-forwindows.com
office-Important-update.com
free-pac.net
drivers-z2012.com
newdrivers-win7.com
При установке соединения вирус передаёт на них некоторую тех. информацию и номер своей версии (у исследуемого варианта это 2.23). В случае обнаружения обновления оно скачивается в систему и перезаписывает устаревший файл.
Кроме того, вирус создаёт на диске инфицированного компьютера ряд лог-файлов с разными названиями, в которых сохраняет техническую информацию, связанную со своей работой и ошибках в ходе выполнения различных процедур, а также записывает в них список установленных в системе программ, список IP-адресов, которые прописаны в параметрах установленных в системе локальных и глобальных соединений. Эти файлы вирус отправляет, используя http-протокол, на вышеуказанные сайты.
Прочее.
В зависимости от обращений к своему файлу со стороны сторонних программ (например, антивирусных утилит), вредун может выводить на экран следующее сообщение:
System error! Access denied
В теле вируса содержится ряд каких-то графических файлов в формате “PNG”, сконвертированных при помощи программы Adobe Photoshop 7.0.
Также при попытках пользователя изменить параметры установленного под системой антивируса на экран выдаётся сообщение следующего вида:
Внимание!
[название антивируса] работает в режиме усиленной
защиты.
Это временная мера, необходимая
для моментального реагирования
на угрозы со стороны вирусных
программ.
От Вас не требуется никаких
действий.
В дальнейшем вирус может выводить на экран и текст вида
Дата выпуска баз:
Ваша система защищена
Рекомендации по удалению вируса и восстановлению повреждений системы.
1. Загрузиться с загрузочного диска с интерфейсом типа Windows PE, после чего удалить вредоносные файлы
\WINDOWS\svchost.exe
и
\WINDOWS\services32.exe
2. Для восстановления работоспособности Безопасного режима воспользоваться утилитой №10 из моего антивирусного набора, который доступен для скачивания на страничке нашего портала http://daxa.com.ua/virushunter
3. Модифицированный системный файл boot.ini заменить оригинальным (можно взять из дистрибутива Виндовс с диска, или же скопировать с другого компьютера с аналогичной ОС Виндовс).
|
