Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.Gael.3666

(Win32/Gaelicum.A, PE_TENGA.A, W32/Tenga.B, Win32.Gael.3666, System error, Win32/NSAnti.D, Email-Worm.Win32.VB.bk, Win32/Gael.3666.A, W32/Stanit, Trojan.Banker.VT, Parser error, Virus:Win32/Gael.D, PSW.Banker2.AAIS, W32/Gael.worm.gen, PE_TENGA.A-O, Trojan.Agent.BCS, Worm:Win32/Wukill.AG@mm, Win32/Gael, WORM_TRAXG.AN, TR/Spy.Banker.Gen, Virus.Win32.Tenga.a, W32/Gael.worm, TrojanSpy:Win32/Bancos, W32/Gael.worm.a)

Описание добавлено:

Файловый вирус.

1. При запуске выполняется контроль мьютекса "gaelicum", затем через PEB->PEB_LDR_DATA получает базу kernel32.dll, загружает импорты по хэшам.

2. Запускает приостановленный процесс из того же файла, что и оригинальный процесс, копирует туда свое тело, определяет контекст стартового потока, передавая ему базу kernel32.dll, запускает поток, передает управление кода у оригинальной точке входа;

3. Код во вновь созданном процессе создает мьютекс контроля повторного запуска, инициализирует библиотеку сокетов, запускает поток локального поиска и начинает ожидать, пока gethostbyname отдаст ему что-нибудь кроме localhost (контроль подключения к внешней сети);

4. Поток локального поиска файлов загружает sfc.dll, получает адрес SfcTerminateWatcherThread, ищет в списке процессов winlogon.exe, устанавливает себе привелегию SeDebugPrivelege, распределяет в winlogon.exe страницу памяти в которую инжектит короткий код вызова SfcTerminateWatcherThread, который затем и выполняет, после чего страницу с инжектом удаляет. Затем выполняется обход дерева каталогов на доступных стационарных накопителях, ресурсах локальной сети, разрешаемых через WNetOpenEnumA/WNetEnumResource. Если обнаружены исполняемые файлы PE, выполняется контроль предыдущего заражения (поле IMAGE_DOS_HEADER[0x32]!='V'). Если файл чист и не ntoskrnl.exe, и в его характеристиках - флаг Executable image, производится его заражение, расширением последней секции, с модификацией заголовка и измением Entrypoint RVA. Выполнение потока завершено.

5. Если gethostbyname ответил о наличии сетевого подключения, запускается 2 или 0x0B (зависит от версии ОС) потоков поиска целевых хостов в Интернете и стартовый поток процесса ждет, пока сетевые gethostbyname не отчитается об отсутствии подключений после чего ожидание подключения повторяется вновь.

6. Поток поиска целевых хостов генерирует случайную маску IPv4: xx.xx.xx.yy. Далее вирус пытается установить 0x40 подключений к порту 139 (NetBIOS), изменяя в каждой из итераций поле yy. Если какое-либо из подключений удачно: getpeername - inet_ntoa - WNetOpenEnumA/WNetEnumResource.

7. Стартовый поток процесса вируса, выполнив инициализацию 2 или 0x0B потоков поиска целевых хостов, запускает поток загрузки полезного функционала.

8. Поток загрузки полезного функционала ожидает сетевое подключение на gethostbyname и, если таковое доступно, создает подключение к порту 80 (HTTP) на ресурсе utenti.lycos.it, затем хосту направляется запрос на загрузку файла '/vx9/dl.exe', в текущей директории создается одноименный файл, в котором сохраняется ответ удаленного хоста, сформированный файл затем запускается через CreateProcess. Далее открывается соединение с vx9.users.freebsd.at и выполняется запуск шелла.