P2P-Worm.Win32.Palevo.fuc

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 89600 байт. Написана на C++.

Инсталляция

Если имя червя отличалось от "gpl.exe", тогда создает каталоги с атрибутами "скрытый" и "системный" в корневом каталоге системного диска:

<X>:\RECYCLER\S-1-5-21-<rnd>

Где <X> - буква системного диска, <rnd> - случайный набор из 33-х цифр, например "2417154109-8600854677-216712865-6223" или "0397941677-0106684583-388380175-2763".

В созданном каталоге создает свою копию с именем "gpl.exe":

<X>:\RECYCLER\S-1-5-21-<rnd>\gpl.exe

а также файл с именем "Desktop.ini":

<X>:\RECYCLER\S-1-5-21-<rnd>\Desktop.ini

Данный файл имеет размер 63 байта и содержит следующие строки:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Деструктивная активность

Вредоносная программа завершает свое выполнение при выполнении хоть одного из следующих условий:

1. Отсутствие ключа системного реестра:

   [HKCU\Keyboard Layout\Substitutes]

2. Имя учетной записи текущего пользователя Windows было одним из следующих:

   USERNAME
   user
   COMPUTERNAME
   CurrentUser
   

3. Имя текущего пользователя Windows было одним из следующих:

   COMPUTERNAME
   user
   

4. В адресное пространство червя была подгружена хоть одна из библиотек:

   SbieDll.dll
   dbghelp.dll
   

5. Оригинальное тело червя находилось в корневом каталоге диска С:\ с именем "file.exe":

   C:\file.exe

Если имя червя было "winusb.exe", тогда он открывает текущий каталог при помощи программы "Проводник" Windows.

Далее в бесконечном цикле червь ищет процесс с именем "explorer.exe", при нахождении данного процесса внедряет в него вредоносный код.

Вредоносный код выполняет следующие действия:

• для контроля уникальности своего потока в системе создает уникальный идентификатор:

  i77dkf_765jf_ff

• анализирует файлы настроек с целью отправки на адрес злоумышленника сохраненных паролей следующих браузеров:

  Mozilla Firefox
  Internet Explorer
  Opera
  

• добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра, что приводит к автоматическому запуску копии червя при каждом следующем старте системы:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "microsoft corporation" = "<X>:\RECYCLER\S-1-5-21-<rnd>\gpl.exe"
  

• создает копии тела червя во всех доступных на запись сетевых и съемных дисках под именем "winusb.exe":

  <X2>:\winusb.exe

  Где <X2> - буква сетевого или съемного диска. Также помещает в корень диска сопровождающий файл: <X2>:\autorun.inf который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
• Создает копии тела червя в каталогах обмена файлами P2P-сетей под именами:

  Crack.exe
  Keygen.exe
  

  каталоги обмена файлами P2P-сетей получает анализируя параметры ключей системного реестра:

  [HKCU\Software\BearShare\General Software\iMesh\General]
  [HKCU\Software\Shareaza\Shareaza\Downloads]
  [HKCU\Software\Kazaa\LocalContent]
  [HKCU\Software\DC++]
  [HKCU\Software\eMule]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1]
  

• Для реализации функционала бэкдора соединяется с удаленными хостами:

  gpl0***mon.org
  gpl0***inip.es
  irc.ek***edia.com
  

Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:

%Temp%\<rnd2>.exe

Где <rnd2> - случайное число.

Имеет возможность сохранять загруженные файлы в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине а также в каталоги:

%ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared Folder
%PROGRAM FILES%\LimeWire\LimeWire.propsr

По команде злоумышленника также возможна подмена файла "hosts":

%System%\etc\hosts

На момент создания описания никаких команд с серверов злоумышленника не приходило.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. При помощи Диспетчера задач завершить процессы:

   explorer.exe
   gpl.exe
   

3. Удалить файлы:

   <X>:\RECYCLER\S-1-5-21-<rnd>
   <X>:\RECYCLER\S-1-5-21-<rnd>\Desktop.ini
   <X2>:\winusb.exe
   <X2>:\autorun.inf
   

4. Удалить параметр ключа системного реестра:

   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "microsoft corporation" = "<X>:\RECYCLER\S-1-5-21-<rnd>\gpl.exe"
   

5. При необходимости восстановить содержимое файла:

   %System%\etc\hosts

   на следующее:

   127.0.0.1       localhost

6. Очистить каталог Temporary Internet Files:

   %Temporary Internet Files%

7. Удалить копии червя из каталогов обмена файлами P2P-сетей.
8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).