Технические детали
Вредоносная
программа, заражающая файлы на компьютере пользователя. Предназначена
для несанкционированной пользователем загрузки и запуска на компьютере
других вредоносных программ. Является приложением Windows (PE-EXE
файл). Написана на С++.
Инсталляция
При запуске, вредоносная программа извлекает из своего тела файл,
который сохраняет под случайным именем в системном каталоге Windows:
%System%\drivers\<rnd>.sys где rnd – случайные
латинские прописные буквы, например, "INDSNN". Данный файл является
драйвером режима ядра, имеет размер 5157 байта и детектируется
Антивирусом Касперского как Virus.Win32.Sality.ag.
Извлеченный драйвер устанавливается и запускается в системе как сервис с именем "amsint32".
Распространение
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:
EXE
SCR
Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает
в ее конец свое тело. Поиск файлов для заражения производится на всех
разделах жесткого диска. При запуске зараженного файла вредоносная
программа копирует оригинальное не зараженное тело файла в созданный
временный каталог с именем:
%Temp%\__Rar\<the path to the virus’s original file>.exe Для
автозапуска своего оригинального файла, вредоносная программа копирует
себя на все логические диски под произвольным именем, при этом
расширение файла выбирается случайно из следующих значений:
.exe
.pif.
.cmd
А также создает в корневом каталоге этих дисков скрытый файл:
:\autorun.inf в котором содержится команда для запуска
вредоносного файла. Таким образом, при открытии логического диска в
"Проводнике" происходит запуск вредоносной программы.
Деструктивная активность
После
запуска, для контроля уникальности своего процесса в системе
вредоносная программа создает уникальный идентификаторы с именем
"Ap1mutx7".
Пытается выполнить загрузку файлов, расположенных по ссылкам:
http://sagocugenc.sa.funpic.de/images/logos.gif
http://www.eleonuccorini.com/images/logos.gif
http://www.cityofangelsmagazine.com/images/logos.gif
http://www.21yybuyukanadolu.com/images/logos.gif
http://yucelcavdar.com/logos_s.gif
http://www.luster-adv.com/gallery/Fusion/images/logos.gif
http://89.119.67.154/testo5/
http://kukutrustnet777.info/home.gif
http://kukutrustnet888.info/home.gif
http://kukutrustnet987.info/home.gif
http://www.klkjwre9fqwieluoi.info/
http://kukutrustnet777888.info/
http://klkjwre77638dfqwieuoi888.info/
Загруженные файлы сохраняются в папке %Temp% и запускаются.
На момент составления описания по вышеуказанным ссылкам вирус скачивал следующие вредоносные программы:
Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu
Все загруженные вирусом вредоносные программы были предназначены для рассылки спама.
Кроме загрузки файлов, вирус может изменять множество параметров операционной системы, в том числе:
- Отключает диспетчер задач и запрещает редактирование реестра, изменяя следующие параметры системного реестра:
[HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
- Изменяет настройки Центра Обеспечения безопасности Windows, создавая следующие параметры ключей реестра:
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
- Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden"=dword:00000002
- Также устанавливает опции для браузера, установленного по
умолчанию в системе, всегда запускаться в режиме "on-line", при этом
добавляя в системный реестр следующую информацию:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline"=dword:00000000
- Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA"=dword:00000000 Добавляет
себя в список разрешенных для доступа в сеть приложений встроенного
сетевого экрана ОС Windows, сохраняя следующий параметр в ключе
реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"<путь_к_оригинальному_файлу_вируса>"
= "<путь_к_оригинальному_файлу_вируса>:*:Enabled:ipsec"
- Далее создает ключи реестра, в которых сохраняет свою служебную информацию:
HKCU\Software\<rnd>
Где <rnd> - произвольное значение.
- Затем находит файл с именем:
%WinDir%\system.ini
и добавляет в него следующую запись:
[MCIDRV_VER]
DEVICEMB=509102504668 (номер может быть произвольным)
- Отключает запуск ОС в безопасном режиме, удаляя полностью ключи реестра
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:
%Temp%\
Выполняет поиск и удаление файлов со следующими расширениями:
"VDB", "KEY", "AVC", "drw"
- При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки:
upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity. s
pywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
- Останавливает и удаляет службы со следующими именами:
Agnitum Client Security Service
ALG Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4
Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
avp1
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
tmproxy
tcpsr
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP
Также вирус пытается завершить процессы различных антивирусов и широко известных утилит для борьбы с вирусами.
Как удалить вирус:
|
