Уязвимые ОС: Windows
Размер: 132 096 байт
Упакован: Полиморфный
Имеет возможность распространяться через сменные носители посредством файлов автозапуска (autorun.inf)
Запрещает показ скрытых файлов в проводнике
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Hidden=2
Отключает диспетчер задач
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\system\ DisableTaskMgr=0
Отключает утилиту работы с реестром
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\system\ DisableRegistryTools=0>
Отключает антивирус Microsoft Windows и уведомления о вирусах.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
AntiVirusOverride=1
AntiVirusDisableNotify=1
Отключает встроенный фаервол Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
FirewallDisableNotify=1
FirewallOverride=1
Отключает уведомления об обновлениях и User Access Control
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
UpdatesDisableNotify=1
UacDisableNotify=1
Запускает команду "netsh firewall set opmode disable" для отключения фаервола.
При своём запуске переводит Internet Explorer в режим online: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ GlobalUserOffline=0
Отключает User Access Control в Windows Vista:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system\ EnableLUA=0
Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall:
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec"
Для хранение своих настроек создаёт ключ в реестре: HKEY_CURRENT_USER\Software\<имя пользователя>914 Добавляет в system.ini случайное значение
[MCIDRV_VER]
DEVICEMB=116402342188
Удаляет ветки реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
после этого загрузка в "безопасном режиме" невозможна.
Пытается завершить и удалить сервисы популярных антивирусных продуктов
"Agnitum Client Security Service"
"ALG"
"Amon monitor"
"aswUpdSv"
"aswMon2"
"aswRdr"
"aswSP"
"aswTdi"
"aswFsBlk"
"acssrv"
"AV Engine"
"avast! iAVS4 Control Service"
"avast! Antivirus"
"avast! Mail Scanner"
"avast! Web Scanner"
"avast! Asynchronous Virus Monitor"
"avast! Self Protection"
"AVG E-mail Scanner"
"Avira AntiVir Premium Guard"
"Avira AntiVir Premium WebGuard"
"Avira AntiVir Premium MailGuard"
"avpl"
"BackWeb Plug-in - 4476822"
"bdss"
"BGLiveSvc"
"BlackICE"
"CAISafe"
"ccEvtMgr"
"ccProxy"
"ccSetMgr"
"Eset Service"
"Eset HTTP Server"
"Eset Personal Firewall"
"F-Prot Antivirus Update Monitor"
"fsbwsys"
"FSDFWD"
"F-Secure Gatekeeper Handler Starter"
"FSMA"
"Google Online Services"
"InoRPC"
"InoRT"
"InoTask"
"ISSVC"
"KPF4"
"KLIF"
"LavasoftFirewall"
"LIVESRV"
"McAfeeFramework"
"McShield"
"McTaskManager"
"navapsvc"
"NOD32krn"
"NPFMntor"
"NSCService"
"Outpost Firewall main module"
"OutpostFirewall"
"PAVFIRES"
"PAVFNSVR"
"PavProt"
"PavPrSrv"
"PAVSRV"
"PcCtlCom"
"PersonalFirewal"
"PREVSRV"
"ProtoPort Firewall service"
"PSIMSVC"
"RapApp"
"SmcService"
"SNDSrvc"
"SPBBCSvc"
"SpIDer FS Monitor for Windows NT"
"SpIDer Guard File System Monitor"
"SPIDERNT"
"Symantec Core LC"
"Symantec Password Validation"
"Symantec AntiVirus Definition Watcher"
"SavRoam"
"Symantec AntiVirus"
"Tmntsrv"
"TmPfw"
"tmproxy"
"tcpsr"
"UmxAgent"
"UmxCfg"
"UmxLU"
"UmxPol"
"vsmon"
"VSSERV"
"WebrootDesktopFirewallDataService"
"WebrootFirewall"
"XCOMM"
"AVP"
Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых
ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку
и файлы наиболее часто запускаемые в системе. Не заражает системные файлы и
файлы в папках содержащих в имени "SYSTEM" или "AHEAD". В процессе сканирования
дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, даляет файлы и процессы с именами содержащими:
"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
"ANTIVIR"
"ANTS."
"APVXDWIN."
"ARMOR2NET."
"ASHAVAST."
"ASHDISP."
"ASHENHCD."
"ASHMAISV."
"ASHPOPWZ."
"ASHSERV."
"ASHSIMPL."
"ASHSKPCK."
"ASHWEBSV."
"ASWUPDSV."
"ATCON."
"ATUPDATER."
"ATWATCH."
"AUPDATE."
"AUTODOWN."
"AUTOTRACE."
"AUTOUPDATE."
"AVCIMAN."
"AVCONSOL."
"AVENGINE."
"AVGAMSVR."
"AVGCC."
"AVGCC32."
"AVGCTRL."
"AVGEMC."
"AVGFWSRV."
"AVGNT."
"AVGNTDD"
"AVGNTMGR"
"AVGSERV."
"AVGUARD."
"AVGUPSVC."
"AVINITNT."
"AVKSERV."
"AVKSERVICE."
"AVKWCTL."
"AVP."
"AVP32."
"AVPCC."
"AVPM."
"AVAST"
"AVSCHED32."
"AVSYNMGR."
"AVWUPD32."
"AVWUPSRV."
"AVXMONITOR9X."
"AVXMONITORNT."
"AVXQUAR."
"BACKWEB-4476822."
"BDMCON."
"BDNEWS."
"BDOESRV."
"BDSS."
"BDSUBMIT."
"BDSWITCH."
"BLACKD."
"BLACKICE."
"CAFIX."
"CCAPP."
"CCEVTMGR."
"CCPROXY."
"CCSETMGR."
"CFIAUDIT."
"CLAMTRAY."
"CLAMWIN."
"CLAW95."
"CLAW95CF."
"CLEANER."
"CLEANER3."
"CLISVC."
"CMGRDIAN."
"CUREIT"
"DEFWATCH."
"DOORS."
"DRVIRUS."
"DRWADINS."
"DRWEB32W."
"DRWEBSCD."
"DRWEBUPW."
"ESCANH95."
"ESCANHNT."
"EWIDOCTRL."
"EZANTIVIRUSREGISTRATIONCHECK."
"F-AGNT95."
"FAMEH32."
"FAST."
"FCH32."
"FILEMON"
"FIRESVC."
"FIRETRAY."
"FIREWALL."
"FPAVUPDM."
"F-PROT95."
"FRESHCLAM."
"FRW."
"FSAV32."
"FSAVGUI."
"FSBWSYS."
"F-SCHED."
"FSDFWD."
"FSGK32."
"FSGK32ST."
"FSGUIEXE."
"FSM32."
"FSMA32."
"FSMB32."
"FSPEX."
"FSSM32."
"F-STOPW."
"GCASDTSERV."
"GCASSERV."
"GIANTANTISPYWAREMAIN."
"GIANTANTISPYWAREUPDATER."
"GUARDGUI."
"GUARDNT."
"HREGMON."
"HRRES."
"HSOCKPE."
"HUPDATE."
"IAMAPP."
"IAMSERV."
"ICLOAD95."
"ICLOADNT."
"ICMON."
"ICSSUPPNT."
"ICSUPP95."
"ICSUPPNT."
"IFACE."
"INETUPD."
"INOCIT."
"INORPC."
"INORT."
"INOTASK."
"INOUPTNG."
"IOMON98."
"ISAFE."
"ISATRAY."
"ISRV95."
"ISSVC."
"KAV."
"KAVMM."
"KAVPF."
"KAVPFW."
"KAVSTART."
"KAVSVC."
"KAVSVCUI."
"KMAILMON."
"KPFWSVC."
"KWATCH."
"LOCKDOWN2000."
"LOGWATNT."
"LUALL."
"LUCOMSERVER."
"LUUPDATE."
"MCAGENT."
"MCMNHDLR."
"MCREGWIZ."
"MCUPDATE."
"MCVSSHLD."
"MINILOG."
"MYAGTSVC."
"MYAGTTRY."
"NAVAPSVC."
"NAVAPW32."
"NAVLU32."
"NAVW32."
"NOD32."
"NEOWATCHLOG."
"NEOWATCHTRAY."
"NISSERV"
"NISUM."
"NMAIN."
"NOD32"
"NORMIST."
"NOTSTART."
"NPAVTRAY."
"NPFMNTOR."
"NPFMSG."
"NPROTECT."
"NSCHED32."
"NSMDTR."
"NSSSERV."
"NSSTRAY."
"NTRTSCAN."
"NTXCONFIG."
"NUPGRADE."
"NVC95."
"NVCOD."
"NVCTE."
"NVCUT."
"NWSERVICE."
"OFCPFWSVC."
"OUTPOST."
"PAV."
"PAVFIRES."
"PAVFNSVR."
"PAVKRE."
"PAVPROT."
"PAVPROXY."
"PAVPRSRV."
"PAVSRV51."
"PAVSS."
"PCCGUIDE."
"PCCIOMON."
"PCCNTMON."
"PCCPFW."
"PCCTLCOM."
"PCTAV."
"PERSFW."
"PERTSK."
"PERVAC."
"PNMSRV."
"POP3TRAP."
"POPROXY."
"PREVSRV."
"PSIMSVC."
"QHM32."
"QHONLINE."
"QHONSVC."
"QHPF."
"QHWSCSVC."
"RAVMON."
"RAVTIMER."
"REALMON."
"REALMON95."
"RFWMAIN."
"RTVSCAN."
"RTVSCN95."
"RULAUNCH."
"SAVADMINSERVICE."
"SAVMAIN."
"SAVPROGRESS."
"SAVSCAN."
"SCAN32."
"SCANNINGPROCESS."
"CUREIT."
"SDHELP."
"SHSTAT."
"SITECLI."
"SPBBCSVC."
"SPHINX."
"SPIDERML."
"SPIDERNT."
"SPIDERUI."
"SPYBOTSD."
"SPYXX."
"SS3EDIT."
"STOPSIGNAV."
"SWAGENT."
"SWDOCTOR."
"SWNETSUP."
"SYMLCSVC."
"SYMPROXYSVC."
"SYMSPORT."
"SYMWSC."
"SYNMGR."
"TAUMON."
"TBMON."
"AVAST"
"TCA."
"TCM."
"TDS-3."
"TEATIMER."
"TFAK."
"THAV."
"THSM."
"TMAS."
"TMLISTEN."
"TMNTSRV."
"TMPFW."
"TMPROXY."
"TNBUTIL."
"TRJSCAN."
"UP2DATE."
"VBA32ECM."
"VBA32IFS."
"VBA32LDR."
"VBA32PP3."
"VBSNTW."
"VCHK."
"VCRMON."
"VETTRAY."
"VIRUSKEEPER."
"VPTRAY."
"VRFWSVC."
"VRMONNT."
"VRMONSVC."
"VRRW32."
"VSECOMR."
"VSHWIN32."
"VSMON."
"VSSERV."
"VSSTAT."
"WATCHDOG."
"WEBPROXY."
"WEBSCANX."
"WEBTRAP."
"WGFE95."
"WINAW32."
"WINROUTE."
"WINSS."
"WINSSNOTIFY."
"WRADMIN."
"WRCTRL."
"XCOMMSVR."
"ZATUTOR."
"ZAUINST."
"ZLCLIENT."
"ZONEALARM."
Выгружает из памяти процессов модули, содержащие строки:
"DWEBLLIO"
"DWEBIO"
Загружает и исполняет файлы со следующих адресов:
"http://89.119.67.154/testo5/"
"http://kukutrustnet777.info/home.gif"
"http://kukutrustnet888.info/home.gif"
"http://kukutrustnet987.info/home.gif"
"http://kukutrustnet777888.info/"
"http://www.klkjwre9fqwieluoi.info/"
Один из загруженных файлов может устанавливаться в системе как Browser Helper Object. ДРАЙВЕР.
Снимает хуки IPFILTERDRIVER.
Удаление происходит за счет посылки Io запроса к драйверу IPFILTER с кодом 128058h, что удаляет все установленные обработчики.
Снимает хуки SSDT.
Копия ntoskrnl.exe загружается в адресное пространство
процесса, работающего в режиме пользователя, после чего получается указатель на
KeServiceDescriptorTable, производится чтение SSDT и передача ее в драйвер, для
последующей перезаписи аналогичной таблицы в ядре.
Информация по восстановлению системы.
Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
Восстановить Безопасный режим с использованием файлов экспорта соответствующих ветвей реестра, взятых с заведомо неинфицированного компьютера.
