Worm.Win32.AutoRun.bghn

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 48092 байта. Упакован Upack. Распакованный размер – около 201 КБ. Написан на Delphi.

Инсталляция

После запуска червь выполняет следующие действия:

• копирует свое тело в файл:

  %Program Files%\Common Files\SysLive.exe

• Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
  "SysLive" = "%Program Files%\Common Files\SysLive.exe"
  

• Изменяет значение ключа системного реестра:
  [HKLM\System\CurrentControlSet\Services\SharedAccess\
  Parameters\FirewallPolicy\StandardProfile]
  "EnableFirewall" = "0"
  Это приводит к отключению системного брандмауэра.
• Добавляет свой процесс в список доверенных приложений брандмауэра Windows, создавая для этого следующий ключ системного реестра:
  [HKLM\System\CurrentControlSet\Services\SharedAccess\
  Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
  "%Program Files%\Common Files\SysLive.exe" =
  "%Program Files%\Common Files\SysLive.exe:*
  :Enabled:@xpsp2res.dll,-22019"
• Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c erase /F "<полный путь к оригинальному файлу червя>" > nul

После этого червь запускает файл "%Program Files%\Common Files\SysLive.exe" и завершает свою работу.

Распространение

Червь запускает экземпляр процесса "SVCHOST.EXE" и внедряет в его адресное пространство исполняемый код, реализующий функционал распространения.

Червь копируется на все доступные для записи логические и съемные диски под следующим именем:

SysLive.exe

Вместе с исполняемым файлом червя помещается файл:

<имя зараженного раздела>:\autorun.inf

следующего содержания:

[AutoRun]
Open=SysLive.exe
Shell\Open=+ª¬ê(&O)
Shell\Open\Command=SysLive.exe
Shell\Open\Default=1
Shell\Explore=+¦L+¦-Lý¦¢(&X)
Shell\Explore\Command=SysLive.exe

Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваивается атрибут "скрытый" (hidden).

Деструктивная активность

После запуска червь выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе как

  %USERPROFILE%\<rnd_1>.drv

  (17408 байт; детектируется Антивирусом Касперского как "Worm.Win32.Abuse.dy")

  %Temp%\~<rnd_2>.tmp

  (8256 байт; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.kvs")
  где <rnd_1> и <rnd_2> – случайные последовательности латинских букв (например: "omawx" и "cigqou").
• Запускает системную утилиту "rundll32.exe" со следующими параметрами:

  "%USERPROFILE%\<rnd_1>.drv",MyLove

  Таким образом, из ранее извлеченной библиотеки "%USERPROFILE%\<rnd_1>.drv" вызывается функция "MyLove".
• Создает и запускает в системе службу с именем "<rnd_2>", бинарным файлом которой является извлеченный ранее файл:

  %Temp%\~<rnd_2>.tmp

• Запускает браузер Internet Explorer и внедряет в адресное пространство его процесса (IEXPLORE.EXE) исполняемый код, реализующий загрузку файлов со следующих хостов:

  x.2***wn.com
  a.2***wn.com
  

  Загруженные файлы сохраняются в каталоге "%Program Files%" и после успешной загрузки запускаются на выполнение. На момент создания описания были загружены следующие файлы:

  %Program Files%\msn.exe

  (173848 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.AdMedia.ed")

  %Program Files%\fhie.exe

  (171747 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.Iebar.aa")
• Отправляет в POST-запросе на адрес:

  www.tj***d.com/ax/Count.asp

  следующую информацию о системе:
  • версия Windows;
  • имя компьютера;
  • физический адрес активного сетевого адаптера.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Worm. Создает свои копии на локальных дисках и доступных для записи сетевых ресурсах

• Trojan-Spy. Выполняет электронный "шпионаж" за пользователем

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Trojan. Выполняет действия, характерные для вредоносных программ

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 48090 байт. Файл был подвергнут обработке специальными утилитами "упаковщиками". Упаковка может применяться в разнообразных целях, в том числе и в легальных программах. Однако вирусописатели зачастую используют ее для обхода средств антивирусной защиты, а также затруднения анализа такой упакованной программы вирусным аналитикомУпакован UPack.

Методы проникновения

- Подключение к компьютеру зараженного сменного носителя

- Запуск зараженного файла из локальной сети

Инсталляция

После запуска создает свои копии под следующими именами:

• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Common Files\SysLive.exe

Создает следующие файлы на зараженном компьютере:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\ovdib.drv
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\jdjcl.drv
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\oxuuh.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\TIM1.tmp
• Каталог ОС Windows (обычно, C:\Windows)%Windir%\system\TIM1.ime (­детектируется антивирусом Касперского как­ Trojan-PSW.Win32.Kykymber.dmk)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\d3d9.dll.dat
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\d3d9.dll.PHQG
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\DllCache\d3d9.dll.PHQG
• Каталог ОС Windows (обычно, C:\Windows)%Windir%\system\d3d9.dll
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\DllCache\d3d9.dll
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\mfc2.tmp
• Каталог ОС Windows (обычно, C:\Windows)%Windir%\system\mfc2.ime
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\ddraw.dll.dat
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\ddraw.dll.PHQG
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\DllCache\ddraw.dll.PHQG
• Каталог ОС Windows (обычно, C:\Windows)%Windir%\system\ddraw.dll
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\DllCache\ddraw.dll
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\TIM3.tmp
• Каталог ОС Windows (обычно, C:\Windows)%Windir%\system\TIM3.ime (­детектируется антивирусом Касперского как­ Trojan-PSW.Win32.Kykymber.dpj)
• Каталог ОС Windows (обычно, C:\Windows)%Windir%\system\ddraw.dll.PHQG
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\mfc4.tmp

и другие...

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку следующих установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run ] "SysLive" = " Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Common Files\SysLive.exe"

Вредоносная активность

Помещает в корень каждого диска сопровождающий файл - autorun.inf. Каждый раз, когда пользователь открывает такой раздел при помощи программы "Проводник", запускаются следующие файлы:

• SysLive.exe (­копия исходной программы­)

Следит за действиями пользователя, устанавливая системные перехватчики, выполняющие:

• ­Перехват программных сообщений­

Создает следующие файлы:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~fri.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~ueb.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\~jhthbh.tmp (­детектируется антивирусом Касперского как­ Rootkit.Win32.Agent.kvs)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\wow.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.kl)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\tl.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.js)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\wd.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\tempVidio.bat
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\dh2.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.ly)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\mz.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.mz)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\wm.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.fn)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\qqhx.exe (­детектируется антивирусом Касперского как­ Trojan-PSW.Win32.QQPass.tag)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\cq.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.ji)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\cs.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.ce)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\lszt.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.nl)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\jx.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.nn)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\qqsg.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\sgcq.exe (­детектируется антивирусом Касперского как­ Trojan-PSW.Win32.Kykymber.dpv)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\my.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\zx2.exe (­детектируется антивирусом Касперского как­ Trojan-Dropper.Win32.Vedio.ma)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\jx3.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\ltsj.exe

и другие...

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Classes\CLSID\{55B9E533-51C0-43C0-9508-BE4AC89B3266}\InProcServer32 ] "(default)" = " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\Deg32.Sys"

Следующие файлы запускаются на исполнение:

• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~fri.tmp
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~ueb.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\~jhthbh.tmp
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\wow.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\tl.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\wd.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\tempVidio.bat (­осуществляется многократный запуск­)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\dh2.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\mz.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\wm.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\qqhx.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\cq.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\cs.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\lszt.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\jx.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\qqsg.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\sgcq.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\my.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\zx2.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\jx3.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\ltsj.exe

и другие...

Внедряет свой код в следующие процессы:

• svchost.exe
• IEXPLORE.EXE
• qq.exe

Добавляет следующие программы Данный прием позволяет программе получить доступ к Интернету в обход некоторых установленных средств защитыв список доверенных приложений:

• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Common Files\SysLive.exe

С целью препятствия работе антивирусных средств удаляет (или изменяет) следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe ] "Debugger" = "ntsd -d"

Описание:
­360Safe­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe ] "Debugger" = "ntsd -d"

Описание:
­360Safe­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe ] "Debugger" = "ntsd -d"

Описание:
­360Safe­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe ] "Debugger" = "ntsd -d"

Описание:
­360Safe­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgaurd.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AntiArp.exe ] "Debugger" = "ntsd -d"

Описание:
­AntiARP­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arvmon.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoGuarder.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com ] "Debugger" = "ntsd -d"

Описание:
­Определяет программу, которая будет использоваться для отладки указанного файла. Может использоваться вредоносными программами для обеспечения своего запуска­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe ] "Debugger" = "ntsd -d"

Описание:
­Kaspersky AntiVirus­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe ] "Debugger" = "ntsd -d"

Описание:
­Rising AntiVirus­

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe ] "Debugger" = "ntsd -d"

Описание:
­Symantec Security­

и другие...

Путем создания (изменения) файлов в системной директории C:\WINDOWS\System32\DllCache скрывает активность и обеспечивает автозагрузку следующих файлов:

• d3d9.dll.PHQG
• d3d9.dll
• ddraw.dll.PHQG
• ddraw.dll
• ddraw.dll.UNBT
• d3d8.dll.bak
• d3d8.dll
• olepro32.dll.bank
• olepro32.dll
• dsound.dll.PHQG
• dsound.dll
• d3d8.dll.UUMA
• dsound.dll.OOBW
• dsound.dll.BWUZ
• d3d8.dll.PHQG
• dbghelp.dll.UQBN
• dbghelp.dll

Обращается к следующим адресам в Интернете:

• http://***.2012down.com:82/x.txt
• http://***.2012down.com:82/wow.exe
• http://***.2012down.com:82/tl.exe
• http://***.2012down.com:82/wd.exe
• http://***.2012down.com:82/dh2.exe
• http://***.2012down.com:82/mz.exe
• http://***.2012down.com:82/wm.exe
• http://***.2012down.com:82/qqhx.exe
• http://***.2012down.com:82/cq.exe
• http://***.2012down.com:82/cs.exe
• http://***.2012down.com:82/lszt.exe
• http://***.2012down.com:82/jx.exe
• http://***.2012down.com:82/qqsg.exe
• http://***.2012down.com:82/sgcq.exe
• http://***.2012down.com:82/my.exe
• http://***.2012down.com:82/zx2.exe
• http://***.2012down.com:82/jx3.exe
• http://***.2012down.com:82/ltsj.exe
• http://***.2012down.com:82/dnf.exe
• http://***.2012down.com:82/qq.exe
• http://***.2012down.com:82/fhie.exe

и другие...

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• SnowDownVip2010
• SnowDownVip2010-Down

Прочие действия

Производит запуск следующих файлов (команд):

• \" Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\qq.exe\" O
• \" Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\regsvr32.exe\" /s \" Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Internet Explorer\IETimbar\IETimbar.dll\"
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\Rundll32.exe \" Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\ovdib.drv\ (­осуществляется многократный запуск­)
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Common Files\SysLive.exe
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\Rundll32.exe \" Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\jdjcl.drv\ (­осуществляется многократный запуск­)
• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\Svchost.exe
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Internet Explorer\IEXPLORE.EXE -Down

Устанавливает следующие системные службы (драйвера):

Имя службы:	DrvKiller
Отображаемое имя службы:	DrvKiller
Параметры запуска:	Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~fri.tmp
Тип запуска:	­по требованию­
Имя службы:	DrvKiller
Отображаемое имя службы:	DrvKiller
Параметры запуска:	Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~ueb.tmp
Тип запуска:	­по требованию­
Имя службы:	jhthbh
Отображаемое имя службы:	jhthbh
Параметры запуска:	Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\~jhthbh.tmp
Тип запуска:	­по требованию­

Изменяет состояние следующих системных служб:

Имя службы:	DrvKiller
Отображаемое имя службы:	DrvKiller
Параметры запуска:	Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~fri.tmp
Имя службы:	DrvKiller
Отображаемое имя службы:	DrvKiller
Параметры запуска:	Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~ueb.tmp
Имя службы:	jhthbh
Отображаемое имя службы:	jhthbh
Параметры запуска:	Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\~jhthbh.tmp

Ищет следующие окна:

Класс:	TFrmMain
Заголовок:	legend of mir2
Заголовок:	legend of mir2
Класс:	g
Заголовок:	2
Класс:	Edit
Заголовок:	DT4TRTD8TT
Класс:	Edit
Заголовок:	DDDTD2=DDT

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\IETimbar ] "Install_Dir" = " Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Internet Explorer\IETimbar"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\IETimbar ] "SoftVer" = "3.2.0.0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\IETimbar ] "DataVer" = "3.2.0.0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\IETimbar ] "TM" = "0"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\IETimbar ] "AgentID" = "-67107990"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess ] "BrowseNewProcess" = "yes"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess ] "BrowseNewProcess" = "yes"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\IETimbar ] "SetupTime" = "1267748911"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IETimbar ] "DisplayName" = "IETimbar"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IETimbar ] "UninstallString" = "" Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Internet Explorer\IETimbar\Uninstall.exe""

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Classes\CLSID\{55B9E533-51C0-43C0-9508-BE4AC89B3266} ] "(default)" = ""

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Classes\CLSID\{55B9E533-51C0-43C0-9508-BE4AC89B3266}\InProcServer32 ] "ThreadingModel" = "Apartment"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks ] "{55B9E533-51C0-43C0-9508-BE4AC89B3266}" = ""

Удаляет следующие файлы на зараженном компьютере:

• <­путь к исходной программе­><­файл исходной программы­>
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\ovdib.drv
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~fri.tmp
• Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\Common Files\SysLive.exe
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\jdjcl.drv
• Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\~ueb.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\~jhthbh.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\TIM1.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\mfc2.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\TIM3.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\mfc4.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\std5.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\TIM6.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\mfc7.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\std8.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\mfc9.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\TIMA.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\mfcB.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\TIMC.tmp
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\c_21069.nls
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\TIMD.tmp

и другие...