P2P-Worm.Win32. Palevo.aomy

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру, использует для распространения каталоги обмена файлами P2P-сетей.

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру, использует для распространения каталоги обмена файлами P2P-сетей. Является приложением Windows (PE-EXE файл). Имеет размер 104448 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 108 КБ. Написана на C++.

Инсталляция

Создает копию своего файла в следующем каталоге

%AppData%\iptyr.exe

Данному файлу устанавливает атрибут "скрытый".

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Taskman" = "%AppData%\iptyr.exe"

name="doc3">

Деструктивная активность

Для имитации легитимности файл троянца содержит ложную информацию о файле:


Троянец выполняет внедрение вредоносного кода в процесс с именем "explorer.exe" после чего завершает свое выполнение.

    Вредоносный код, внедренный в процесс выполняет следующие действия:

  • Создает копии тела червя на всех доступных на запись сетевых и съемных дисках под именем "kromirani.exe":
    :\dupler\kromirani.exe
    Где - буква сетевого или съемного диска. При этом каталогу с копией червя устанавливает атрибут "скрытый". Также помещает в корень диска сопровождающий файл:
    :\autorun.inf
    который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
  • Добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
     [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Taskman" = "%AppData%\iptyr.exe"
  • Реализует функционал бэкдора. Для этого соединяется с удаленными хостами:
    prc***aonica.comkre***potice.rusom***sting.net84.***.194

Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:

%Temp%\.exe

Где - случайное число.

Имеет возможность сохранять загруженные файлы с именами "Crack.exe" и "Keygen.exe" в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине, а также в каталог:

%ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared Folder

каталоги обмена файлами P2P-сетей получает, анализируя параметры ключей системного реестра:

 [HKCU\Software\BearShare\General][HKCU\Software\iMesh\General][HKCU\Software\Shareaza\Shareaza\Downloads][HKCU\Software\Kazaa\LocalContent][HKCU\Software\DC++][HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1] 

По команде злоумышленника также возможна подмена файла "hosts":

%System%\etc\hosts

Также имеет возможность осуществлять DoS-атаку на указанный злоумышленником сервер.

На момент создания описания троянец загружал свои обновленные версии по следующему URL:

http://188.***.244/bojim/529.exe
    Отправляет на адрес злоумышленника имена Интернет ресурсов и сохраненные пароли к ним, если пользователь использовал следующие браузеры:
    Mozilla FirefoxInternet ExplorerOpera

Кто Онлайн

Сейчас 14 гостей и ни одного зарегистрированного пользователя на сайте