P2P-Worm.Win32.Palevo.bpji

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 133120 байт. Написан на C++.

Инсталляция

Червь копирует свое тело в файл:

C:\Recycler\S-1-5-21-<rnd>-<rnd>-<rnd>-<rnd>\nissan.exe

Также в данном каталоге создается файл:

C:\Recycler\S-1-5-21-<rnd>-<rnd>-<rnd>-<rnd>\Desktop.ini

где <rnd> – случайным образом сгенерированные десятичные числа. К примеру, имя создаваемого каталога может принимать значения "C:\Recycler\S-1-5-21-4714072883-7050866809-469064273-3308" или "C:\Recycler\S-1-5-21-3130211273-2233036873-007328799-0237".

Файл "Desktop.ini" содержит строки:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Для автоматического запуска созданной копии червя при каждом следующем старте системы создается ключ системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "C:\Recycler\S-1-5-21-<rnd>-<rnd>-<rnd>-<rnd>\nissan.exe"

В отдельном потоке червь блокирует обращение к созданной копии, предотвращая ее удаление. Также отслеживается наличие в системном реестре созданного ключа автозапуска. Если ключ отсутствует, то он будет восстановлен.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру:

<имя зараженного раздела>:\less.exe

Вместе со своей копией червь помещает в корневой каталог зараженного диска файл:

<имя зараженного раздела>:\autorun.inf

следующего содержания:

[autorun]
]]]]]]]]]]]]]
;nothing lasts foreva
shellexecute=.\\\\name\\\\\\\\\\\\less.exe
;L
icon=%SystemRoot%\system32\SHELL32.dll,4
;A
action=Open folder to view files
;M
shell\open\command=name\\\\\\\\\\\\less.exe
;E
shell\explore\command=name\\\\\\\\\\\\less.exe
UseAutoPlay=1

Данный файл обеспечивает червю возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Червь создает свои копии в каталогах обмена файлами P2P-сетей. Пути к данным каталогам червь получает, анализируя параметры ключей системного реестра:

[HKCU\Software\BearShare\General]
[HKCU\Software\iMesh\General]
[HKCU\Software\Shareaza\Shareaza\Downloads]
[HKCU\Software\Kazaa\LocalContent]
[HKCU\Software\DC++]
[HKCU\Software\eMule]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
eMule Plus_is]

Также копия помещается в каталог:

%ALLUSERSPROFILE%\Local Settings\Application Data\
Ares\My Shared Folder

Кроме того, червь реализует возможность рассылки ссылок для загрузки своего оригинального файла через MSN Messenger.

Деструктивная активность

Весь деструктивный функционал червя выполняется кодом, внедряемым в адресное пространство процесса "EXPLORER.EXE". Деструктивных действий не выполняется при выполнении хотя бы одного из следующих условий:

• отсутствует ветвь системного реестра:

  [HKCU\Keyboard Layout\Preload]

• Имя учетной записи текущего пользователя:

  USERNAME
  user
  COMPUTERNAME
  CurrentUser
  

• В адресное пространство червя подгружены библиотеки:

  SbieDll.dll
  dbghelp.dll
  

• Оригинальный файл червя был сохранен в системе как

  c:\file.exe

После внедрения вредоносного кода процессом "EXPLORER.EXE" выполняются следующие действия:

• для контроля уникальности процесса в системе создается уникальный идентификатор с именем:

  aljsughu55

• Для обеспечения доступа к зараженной системе создается именованный канал:

  \\.\pipe\iuuualj55

• Устанавливается соединение с сервером злоумышленника:

  solf***borkovic.com

Используется протокол UDP, порт 7999. По команде злоумышленника червь может выполнять на зараженном компьютере следующие действия:

• организация DoS-атак на указанные сервера;
• загрузка файлов по переданным ссылкам. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайными именами.
• Загрузка с сервера злоумышленника обновленной версии червя.
• Анализ файлов настроек браузеров:

  Mozilla Firefox
  Internet Explorer
  Opera
  

  с целью похищения сохраненных паролей.
• Похищение и модификация "cookie" браузера. Для этого червь использует встроенный в браузер Mozilla Firefox модуль "sqlite".
• Действия, описанные в разделах "Инсталляция" и "Распространение". Червь обменивается с сервером злоумышленника посредством сообщений следующего вида:

  Scan stopped
  Scan running
  Scan started
  KB data sent: <число>
  SYN packets sent: <число>
  Flood running
  flood stopped: <строка>
  flooding: <строка>
  Drive infected: <строка>
  USB spreader running
  P2P Copy to: <строка>
  MSN spreader running
  MSN spread started, link: <строка>
  MSN link sent
  

На момент создания описания сервер злоумышленника не отвечал.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "EXPLORER.EXE".
2. Запустить редактор системного реестра "REGEDIT.EXE". Для этого в запущенном Диспетчере задач открыть вкладку "Файл\Новая задача (Выполнить...)" и ввести команду "regedit".
3. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Taskman" = " C:\Recycler\S-1-5-21-<rnd>-<rnd>-<rnd>-<rnd>\
   nissan.exe"
   

4. Запустить процесс "EXPLORER.EXE". Для этого в запущенном Диспетчере задач открыть вкладку "Файл\Новая задача (Выполнить...)" и ввести команду "explorer".
5. Удалить файлы:

   C:\Recycler\S-1-5-21-<rnd>-<rnd>-<rnd>-<rnd>\nissan.exe
   C:\Recycler\S-1-5-21-<rnd>-<rnd>-<rnd>-<rnd>\Desktop.ini
   <имя зараженного раздела>:\less.exe
   <имя зараженного раздела>:\autorun.inf
   

6. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
7. Удалить загруженные червем файлы из каталога "%Temp%".
8. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
9. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
   
   

Резюме

• Trojan. Выполняет действия, характерные для вредоносных программ

Технические детали

Имеет размер 133120 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• C:\RECYCLER\S-1-5-21-0015108573-8169601379-669629746-7793\Desktop.ini

Вредоносная активность

Внедряет свой код в следующие процессы:

• <­файл исходной программы­>

Копирует следующие файлы в скрытые директории:

• Desktop.ini

Прочие действия

Производит запуск следующих файлов (команд):

• <­путь к исходной программе­><­файл исходной программы­> \"<­путь к исходной программе­><­файл исходной программы­>\"

Ищет следующие окна:

Класс:

Acrobat Viewer