Размер:
Уязвимые ОС: Win NT-based
Упакован: -
- При своём запуске создаёт следующие файлы: %windir%\linkinfo.dll, %systemroot%\system32\drivers\nvmini.sys и временный файл %systemroot%\system32\drivers\IsDrv118.sys.
- Отслеживает подключение новых сменных носителей и, при подключении таковых, создаёт на них файлы boot.exe и autorun.inf.
- Скрывает своё присутствие в инфицированной системе, пряча свои установленнные файлы:
nvmini.sys
linkinfo.dll
autorun.inf
boot.exe
а также ветки реестра с подстрокой "nvmini".
- Блокирует загрузку драйверов (антируткиты и сетевые фильтры):
ISPUBDRV
ISDRV1
RKREVEAL
PROCEXP
SAFEMON
RKHDRV10
NPF
IRIS
NPPTNT
DUMP_WMIMMC
SPLITTER
EAGLENT
- Анализирует таблицы импортов и блокирует драйверы, работающие с KeServiceDescriptorTable.
- Блокирует загрузку следующих библиотек:
DLLWM.DLL
DLLHOSTS.DLL
NOTEPAD.DLL
RPCS.DLL
RDIHOST.DLL
RDFHOST.DLL
RDSHOST.DLL
LGSYM.DLL
RUND11.DLL
MDDDSCCRT.DLL
WSVBS.DLL
CMDBCS.DLL
RICHDLL.DLL
WININFO.RXK
WINDHCP.DLL
UPXDHND.DLL
- Внедряет свою библиотеку в Explorer.exe
- Ожидает свои обновления в файле %windir%\AppPatch\AcLue.dll
- Заражает файлы на всех дисках, за исключением системных файлов, защищенных SFC или находящихся в подкаталогах:
\QQ
\WINNT\
\WINDOWS\
LOCAL SETTINGS\TEMP\
- Не заражает файлы их списка:
zhengtu.exe
audition.exe
kartrider.exe
nmservice.exe
ca.exe
nmcosrv.exe
nsstarter.exe
maplestory.exe
neuz.exe
zfs.exe
gc.exe
mts.exe
hs.exe
mhclient-connect.exe
dragonraja.exe
nbt-dragonraja2006.exe
wb-service.exe
game.exe
xlqy2.exe
sealspeed.exe
asktao.exe
dbfsupdate.exe
autoupdate.exe
dk2.exe
main.exe
userpic.exe
zuonline.exe
config.exe
mjonline.exe
patcher.exe
meteor.exe
cabalmain.exe
cabalmain9x.exe
cabal.exe
au_unins_web.exe
xy2.exe
flyff.exe
xy2player.exe
trojankiller.exe
patchupdate.exe
ztconfig.exe
woool.exe
wooolcfg.exe
- Завершает процессы других вредоносных программ:
sxs.exe
lying.exe
logo1_.exe
logo_1.exe
fuckjacks.exe
spoclsv.exe
nvscv32.exe
svch0st.exe
c0nime.exe
iexpl0re.exe
ssopure.exe
upxdnd.exe
wdfmgr32.exe
spo0lsv.exe
ncscv32.exe
iexplore.exe
iexpl0re.exe
ctmontv.exe
explorer.exe
internat.exe
lsass.exe
smss.exe
svhost32.exe
rundl132.exe
msvce32.exe
rpcs.exe
sysbmw.exe
tempicon.exe
sysload3.exe
run1132.exe
msdccrt.exe
wsvbs.exe
cmdbcs.exe
realschd.exe
- Осуществляет попытки распространения по локальной сети, подключаясь как Administrator, используя пароли:
""
"admin"
"1"
"111"
"123"
"aaa"
"12345"
"123456789"
"654321"
"!@#$"
"asdf"
"asdfgh"
"!@#$%"
"!@#$%^"
"!@#$%^&"
"!@#$%^&*"
"!@#$%^&*("
"!@#$%^&*()"
"qwer"
"admin123"
"love"
"test123"
"owner"
"mypass123"
"root"
"letmein"
"qwerty"
"abc123"
"password"
"monkey"
"password1"
В случае удачи создает в корневом каталоге диска С файл setup.exe и удаленно его запускает.
- Осуществляет попытки скачать другие вредоносные программы через браузер по умолчанию, например:
Trojan.PWS.Gamania.4375,Trojan.PWS.Wow.632, Trojan.PWS.Legmir.1949
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированные компьютеры Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
