Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 24776 байт. Упакован неизвестным упаковщиком. Распакованный размер - около 56 КБ. Написан на C++.
Инсталляция
После запуска червь перемещает содержимое файла%System%\spoolsv.exeв файл
c:\tm.saДалее червь копирует свое тело в следующие файлы:
%System%\spoolsv.exeПри этом для своего оригинального файла червь устанавливает атрибуты "скрытый" (hidden) и "системный" (system).
%System%\dllcache\spoolsv.exe
Для автоматического запуска созданной копии процессом "explorer.exe" при каждом следующем старте системы червь создает ключ системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"internetnet" = "%System%\spoolsv.exe"
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:ZGVZ.PIFВместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\AUTORUN.INFследующего содержания:
[AutoRun]Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
shell\open=ґтї?(&O)
shell\open\Command=ZGVZ.PIF
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\command=ZGVZ.PIF
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
name="doc3">
Деструктивная активность
После запуска червь выполняет следующие действия:
- создает уникальный идентификатор с именем:
CHASHADUAN
- Удаляет файлы:%System%\mfc71.dll
C:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KASBrowserShield.DLL
D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll - Запускает системную утилиту "cacls.exe" со следующими параметрами:
%System%\packet.dll /e /p everyone:f
Это позволяет открыть общий доступ к вышеперечисленным файлам.
%System%\pthreadVC.dll /e /p everyone:f
%System%\wpcap.dll /e /p everyone:f
%System%\npptools.dll /e /p everyone:f
%System%\drivers\acpidisk.sys /e /p everyone:f
%System%\wanpacket.dll /e /p everyone:f - Останавливает работу службы "Beep". После этого бинарный файл данной службы
%System%\drivers\beep.sys
заменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2304 байта, детектируется Антивирусом Касперского как "Worm.Win32.AutoRun.vmn". После замены бинарного файла работа службы "Beep" возобновляется. - Выгружает из системной памяти следующие процессы:
360Safe.exe
360tray.exe
360rpt.EXE
Runiep.exe
Rsaupd.exe
RAv.exe
RSTray.exe
CCenter.EXE
RAVMON.EXE
Ravservice.EXE
ScanFrm.exe
rsnetsrv.EXE
RAVTRAY.EXE
RAVMOND.EXE
GuardField.exe
Ravxp.exe
GFUpd.exe
kmailmon.exe
kavstart.exe
KAVPFW.EXE
kwatch.exe
kav32.exe
kissvc.exe
UpdaterUI.exe
rfwsrv.exe
rfwProxy.exe
Rfwstub.exe
RavStub.exe
rfwmain.exe
TBMon.exe
nod32kui.exe
nod32krn.exe
KASARP.exe
FrameworkService.exe
scan32.exe
VPC32.exe
VPTRAY.exe
AntiArp.exe
KRegEx.exe
KvXP.kxp
kvsrvxp.kxp
kvsrvxp.exe
KVWSC.ExE
Iparmor.exe
Avp.EXE
VsTskMgr.exe
EsuSafeguard.exe
wuauclt.exe - Останавливает работу следующих служб:
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Kingsoft Internet Security Common Service
Symantec AntiVirus
norton AntiVirus server
DefWatch
Symantec AntiVirus Drivers Services
Symantec AntiVirus Definition Watcher
Norton AntiVirus Server - Запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c net1 start server
Это приводит запуску службы "server" и удалению службы "spooler".
/c sc delete spooler - Запускает процесс
%Program files%\Internet Explorer\IEXPLORE.EXE
- Находит в системе окно с именем класса "IEFrame" и внедряет адресное пространство процесса, соответствующего этому окну, исполняемый код, загружающий из сети Интернет файлы по следующим ссылкам:
http://a.w***7.com/dd/x.gif
На момент создания описания ссылки не работали. Загруженные файлы сохраняются в системе соответственно под следующими именами:
http://a.w***7.com/dd/1.exe
http://a.w***7.com/dd/2.exe
http://a.w***7.com/dd/3.exe
http://a.w***7.com/dd/4.exe
http://a.w***7.com/dd/5.exe
http://a.w***7.com/dd/6.exe
http://a.w***7.com/dd/7.exe
http://a.w***7.com/dd/8.exe
http://a.w***7.com/dd/9.exe
http://a.w***7.com/dd/10.exe%Program Files%\ccdd.pif
После успешной загрузки файлы запускаются на выполнение.
%Documents and Settings%\1ts.pif
%Documents and Settings%\2ts.pif
%Documents and Settings%\3t.pif
%Documents and Settings%\4.pif
%Documents and Settings%\5.pif
%Documents and Settings%\6ts.pif
%Documents and Settings%\7.pif
%Documents and Settings%\8.pif
%Documents and Settings%\9ts.pif
%Documents and Settings%\10ts.pif - Создает ключи системного реестра:[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
]
"debugger"= "%System%\dllcache\spoolsv.exe"Всего создается 61 ключ. Подстрокапринимает следующие значения: 360rpt.EXE
360safe.EXE
360tray.EXE
360safebox.EXE
safeboxTray.EXE
AVP.EXE
AVP.COM
AvMonitor.EXE
Ravservice.EXE
RAVTRAY.EXE
CCenter.EXE
IceSword.EXE
Iparmor.EXE
KVMonxp.KXP
KVSrvXP.EXE
KVWSC.EXE
Navapsvc.EXE
Nod32kui.EXE
nod32krn.EXE
KRegEx.EXE
Frameworkservice.EXE
Mmsk.EXE
Ast.EXE
WOPTILITIES.EXE
Regedit.EXE
AutoRunKiller.EXE
VPC32.EXE
VPTRAY.EXE
ANTIARP.EXE
KASARP.EXE
RAV.EXE
kwatch.EXE
kmailmon.EXE
kavstart.EXE
KAVPFW.EXE
Runiep.EXE
GuardField.EXE
GFUpd.EXE
Rfwstub.EXE
rfwmain.EXE
RavStub.EXE
rsnetsvr.EXE
ScanFrm.EXE
RsMain.EXE
Rsaupd.EXE
rfwProxy.EXE
rfwsrv.EXE
msconfig.EXE
SREngLdr.EXE
ArSwp.EXE
RSTray.EXE
QQDoctor.EXE
TrojanDetector.EXE
RSTray.EXE
Trojanwall.EXE
TrojDie.KXP
PFW.EXE
HijackThis.EXE
KPfwSvc.EXE
kissvc.EXE
kav32.EXE - Изменяет значение ключа системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "2"Это приводит к отключению отображения скрытых файлов и папок. - Удаляет ключи системного реестра: [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
[HKLM\System\CurrentControlSet\Control\SafeBoot\Network]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"360Safetray"
"360Safebox"
"KavStart"
"vptray" - Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют строки:
NOD32
то это окно будет закрыто, а процесс, соответствующий окну, завершен.
Process
Mcafee
Firewall
virus
anti
worm
SREng