Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (-PE-EXE файл)-.
Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 94208 байт. Написан на Visual Basic.
Инсталляция
После запуска червь копирует свое тело в файл:
c:\KALBA\MAAFENA\LAXOURY.exeТакже создается файл:
C:\KALBA\MAAFENA\desKtOp.InIсодержащий строки:
[.ShellClassInfo]Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
[HKLM\Software\Microsoft\Active Setup\Installed Components\
{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}]
"StubPath" = "c:\KALBA\MAAFENA\LAXOURY.exe"
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
<имя зараженного раздела>:\KALBA\MAAFENA\LAXOURY.exeВместе со своим исполняемым файлом червь помещает файлы:
<имя зараженного раздела>:\KALBA\MAAFENA\desKtOp.InIчто позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system). Кроме того, червь способен распространяться при помощи программ обмена мгновенными сообщениями:
<имя зараженного раздела>:\autorun.inf
Skype
MSN Messenger
name="doc3">
Деструктивная активность
Весь деструктивный функционал вредоноса осуществляется исполняемым кодом, внедряемым в адресное пространство процесса "EXPLORER.EXE". Внедренный код выполняет следующие действия:
- в бесконечном цикле создает ключ системного реестра:
[HKLM\Software\Microsoft\Active Setup\Installed Components\
{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}]
"StubPath" = "c:\KALBA\MAAFENA\LAXOURY.exe" - Загружает из сети Интернет файлы по следующим ссылкам:
http://www.sit***alace.com/gamil/Safer12.jpeg
(На момент создания описания загружался файл размером 135681 байт- детектируется Антивирусом Касперского как "Backdoor.Win32.Ruskill.p")http://www.sit***alace.com/gamil/lokiB.jpeg
(На момент создания описания загружался файл размером 169985 байт- детектируется эвристиком Антивируса Касперского как "HEUR:Trojan.Win32.Generic") Загруженные файлы сохраняются в системе как%USERPROFILE%\
где.exe - случайное имя (например: "H8F4D9~1.EXE"). После успешной загрузки файлы запускаются на выполнение. - Блокирует доступ к веб-ресурсам, содержащим в своих именах следующие подстроки:
webroot.
fortinet.
virusbuster.
nprotect.
gdatasoftware.
virus.
precisesecurity.
lavasoft.
heck.tc
emsisoft.
onlinemalwarescanner.
onecare.live.
f-secure.
bullguard.
clamav.
pandasecurity.
sophos.
malwarebytes.
sunbeltsoftware.
norton.
norman.
mcafee.
symantec
comodo.
avast.
avira.
avg.
bitdefender.
eset.
kaspersky.
trendmicro.
iseclab.
virscan.
garyshood.
viruschief.
jotti.
threatexpert.
novirusthanks.
virustotal. - Отслеживает исходящий сетевой трафик с целью похищения данных аутентификации пользователей следующих веб-ресурсов:
OfficeBanking
Полученные данные могут быть отправлены на сервер злоумышленника.
LogMeIn
Megaupload
FileServe
Twitter
AlertPay
Moneybookers
Runescape
DynDNS
NoIP
Steam
Hackforums
Facebook
Yahoo
Live
Gmail
Fastmail
BigString
AOL
YouTube
PayPal - Для выполнения своего основного вредоносного функционала обращается к одному из командных центров, которые располагаются по следующим ссылкам:
relax3.h***dark.biz
На момент создания описания указанные IRC-сервера не работали. По получаемым с сервера злоумышленника командам червь может выполнять следующие действия:
relax3.irc***ils.net
relax3.p***nc.cz- загружать файлы по полученным ссылкам и запускать их-
- распространяться, используя программы обмена мгновенными сообщениями-
- проводить DoS-атаки на указанные злоумышленником сервера-
- обновлять свой оригинальный файл.