Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Net-Worm.Win32.Koobface.es

Net-Worm.Win32.Koobface.es

Время детектирования	28 фев 2009 01:35 MSK
Время выпуска обновления	28 фев 2009 06:03 MSK
Описание опубликовано	21 апр 2009 14:19 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Сетевой червь, распространяющийся через социальную сеть facebook путем отправки сообщений друзьям пользователя сети ссылки на зараженный сайт. Содержит в себе бэкдор-функционал, позволяющий получать команды от сервера управления. Червь имеет размер 30720 байт. Упакован при помощи UPX. Распакованный размер – около 78 КБ.

Инсталляция

При старте червь проверяет наличие своей копии в корневом каталоге Windows под именем "freddy35.exe". В случае отсутствия файла копирует себя под этим именем:

%Windir%\freddy35.exe

Запускает свою новую копию и временный файл c:\353454543.bat для удаления старой копии, затем завершает свой процесс.

Пользователю выводится следующее окно сообщений:

Для определения своего присутствия в системе червь создает следующий уникальный идентификатор: "31225d5335".

Деструктивная активность

Червь создает и запускает файл 2.reg, в котором создается ключ реестра:

[HKCR\Mime\Database\Content Type\application/xhtml+xml]
"CLSID" = "{25336920-03F9-11cf-8FD0-00AA00686F13}"
"Extension" = ".xml"
"Encoding" = "hex:08,00,00,00"

Также червь удаляет следующую запись реестра:

[HKCU\AppEvents\Schemes\Apps\Explorer\Navigating]

И создает следующие записи:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysftray2" = "\%Windows%\freddy35.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable" = "0"

Червь ищет в директории для хранения cookies файлы, относящиеся к следующим сайтам:

Facebook.com
Hi5.com
Friendster.com
Myyearbook.com
Myspace.com
Bebo.com
Tagged.com
Netlog.com
Fubar.com
Livejournal.com

Проверяет соединение с интернетом, запрашивая www.google.com и получая от него ответ. Далее червь поочередно создает POST- запрос к следующим серверам, обращаясь к файлу "achcheck.php":

1dns210109.com
temp210108.com
wm21012009.com
open21012009.com
er21012009.com

В случае получения ответа "ACH_OK" от одного из них, продолжает работу с ним. С помощью POST-запроса посылает на сервер строку следующего формата:

f=%d&a=%d&v=%s&c=%d&s=%s&l=%s&ck=%d&c_fb=%d&c_ms=%d&c_hi=%d&c_be=%d&c_fr=%d&c_yb=%d&c_tg=%d&c_nl=%d&c_fu=%d&c_lj=%d& hav=%s&hname=%s

Используются следующие параметры:

a - серийный номер диска С;
s = "fb";
hav - язык для сообщений Internet Explorer (en-us, ru и т.д.)
Следующие параметры устанавливаются в 1, если найдены cookies соответствующих сайтов:
ck, c_fb - Facebook.com
c_ms - Myspace.com
c_hi - Hi5.com
c_be - Bebo.com
c_fr - Friendster.com
c_yb - Myyearbook.com
c_tg - Tagged.com
c_nl - Netlog.com
c_fu - Fubar.com
c_lj - Livejournal.com

На данный запрос сервер может послать ответ, содержащий следующие команды:

FBTARGETPERPOST
FBSHAREURL
SHARELINK
RCAPTCHA
SIMPLEMODE
RAZLOG
INVITE
UPDATE
WAIT
START
STARTIMG
STARTONCE
STARTONCEIMG
BASEDOMAIN
TITLE_B
DOMAIN_B
TEXT_B
LINK_B
DOMAIN_M
TITLE_M
TEXT_M
LINK_M
DOMAIN_C
TEXT_C
LINK_C
RESET
EXIT

В командах могут присутствовать аргументы, следующие после символа "|".

Распространение

Получение команды #BLACKLABEL от сервера сигнализирует о продолжении работы червя и начале попытке распространения через социальную сеть.

Червь подключается к facebook, используя ID сессии текущего пользователя, хранимую в cookies. Происходит навигация по сайту, главной целью которой является сбор информации о друзьях пользователя для дальнейшей отправки сообщений с ссылкой на зараженный сайт.

После подключения к ресурсу от своего сервера управления червь получает необходимую для генерации рассылаемого сообщения информацию в параметрах:

TITLE_M
TEXT_M
LINK_M

При попытке отправки сгенерированного сообщения друзьям пользователя возможен запрос ввода CAPTCHA изображения. Червь перенаправляет разрешение данной задачи серверу управления и ждет от него ответа. В случае получения ответа от сервера происходит дальнейшая отправка сообщения.

Сайт, ссылка на который приложена в сообщениях, выглядит следующим образом:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи <Диспетчера задач> завершить вредоносный процесс.
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить параметры в ключах системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysftray2" = "\%Windows%\freddy35.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable" = "0"
Удалить копию червя:
```
%Windir%\freddy35.exe
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие названия

Net-Worm.Win32.Koobface.es («Лаборатория Касперского») также известен как:

Virus: W32/Koobface.worm (McAfee)
W32/Koobfa-Gen (Sophos)
Worm.Koobface-130 (ClamAV)
W32/Koobface.AA.worm (Panda)
W32/Koobface.A.gen!Eldorado (FPROT)
Worm:Win32/Koobface.I (MS(OneCare))
Win32.HLLW.Facebook.24 (DrWeb)
Win32/Koobface.NAO worm (Nod32)
Worm.Generic.45917 (BitDef7)
Worm.Koobface.AJC (VirusBuster)
Win32:Koobface-B [Wrm] (AVAST)
Net-Worm.Win32.Koobface (Ikarus)
Worm/Generic.VYK (AVG)
TR/Spy.Gen2 (AVIRA)
W32.Koobface.A (NAV)
W32/Koobface.AOY (Norman)
Net-Worm.Win32.Koobface.es [AVP] (FSecure)
WORM_KOOBFACE.X (TrendMicro)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com