Net-Worm.Win32.Kolab.hzo

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 221696 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 112 Кб. Написана на C++.

Инсталляция

Если имя червя отличалось от "MsMxEng.exe", то создаются следующие каталоги с атрибутами "скрытый" и "системный" в корневом каталоге системного диска:

<Disk>:\RECYCLER\S-1-5-21-<rnd1gt;

Где <Disk> - буква системного диска, <rnd1gt; - случайный набор из 33-х цифр, например "4163549571-8234404389-163570534-7095" или "7556291703-7688858398-430007288-3339".

В созданном каталоге создает свою копию с именем "MsMxEng.exe":

<Disk>:\RECYCLER\S-1-5-21-<rnd1gt;\MsMxEng.exe

а также файл с именем "Desktop.ini":

<Disk>:\RECYCLER\S-1-5-21-<rnd1gt;\Desktop.ini

Данный файл имеет размер 65 байт и содержит следующие строки:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Созданным файлам присваиваются атрибуты "скрытый" и "системный".

Для автоматического запуска созданной копии червя при каждом следующем старте системы создается ключ системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "C:\Recycler\S-1-5-21-<rnd1gt;\MsMxEng.exe"

В отдельном потоке червь блокирует обращение к созданной копии, предотвращая ее удаление. Также отслеживается наличие в системном реестре созданного ключа автозапуска. Если ключ отсутствует, то он будет восстановлен.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру:

<имя зараженного диска>:\bar\bar32.exe

Вместе со своей копией червь помещает в корневой каталог зараженного диска файл:

<имя зараженного диска>:\autorun.inf

следующего содержания:

Данный файл обеспечивает червю возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" и "системный". Червь создает свои копии в каталогах обмена файлами P2P-сетей. Пути к данным каталогам червь получает, анализируя параметры ключей системного реестра:

[HKCU\Software\BearShare\General]
[HKCU\Software\iMesh\General]
[HKCU\Software\Shareaza\Shareaza\Downloads]
[HKCU\Software\Kazaa\LocalContent]
[HKCU\Software\DC++]
[HKCU\Software\eMule]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
eMule Plus_is]

Также копия помещается в каталог:

%USERPROFILE%\Local Settings\Application Data\Ares\My Shared Folder

Кроме того, червь реализует возможность рассылки ссылок для загрузки своего оригинального файла через MSN Messenger.

Деструктивная активность

Весь деструктивный функционал червя выполняется кодом, внедряемым в адресное пространство процесса "EXPLORER.EXE". Деструктивных действий не выполняется при выполнении хотя бы одного из следующих условий:

• отсутствует ветвь системного реестра:

  [HKCU\Control Panel\PowerCfg\PowerPolicies\0]

• Имя учетной записи текущего пользователя:

  USERNAME
  user
  COMPUTERNAME
  CurrentUser
  

• В адресное пространство червя подгружены библиотеки:

  SbieDll.dll
  dbghelp.dll
  api_log.dll
  dir_watch.dll
  pstorec.dll
  

• Оригинальный файл червя был сохранен в системе как

  c:\file.exe

  После внедрения вредоносного кода процессом "EXPLORER.EXE" выполняются следующие действия:
• для контроля уникальности процесса в системе создается уникальный идентификатор с именем:

  sereirijtrrejirrrr

• Для обеспечения доступа к зараженной системе создается именованный канал:

  \.\pipe\rrreokdirjiurururr

• Устанавливается соединение с сервером злоумышленника:

  di***ind.cn
  ant***tition.com
  fre***unge.com
  

  По команде злоумышленника червь может выполнять на зараженном компьютере следующие действия:
  • организация DoS-атак на указанные сервера;
  • загрузка файлов по переданным ссылкам. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайными именами.
  • Загрузка с сервера злоумышленника обновленной версии червя.
  • Анализ файлов настроек браузеров:

    Mozilla Firefox
    Internet Explorer
    Google Chrome
    Opera
    

    с целью похищения сохраненных паролей.
  • Похищение и модификация "cookie" браузера. Для этого червь использует встроенный в браузер Mozilla Firefox модуль "sqlite".
  • Действия, описанные в разделах "Инсталляция" и "Распространение". Червь обменивается с сервером злоумышленника посредством сообщений следующего вида:

    Scan stopped
    Scan running
    Scan started
    KB data sent: <число>
    SYN packets sent: <число>
    Flood running
    flood stopped: <строка>
    flooding: <строка>
    Drive infected: <строка>
    USB spreader running
    P2P Copy to: <строка>
    MSN spreader running
    MSN spread started, link: <строка>
    MSN link sent
    

  • По команде злоумышленника также возможна подмена файла "hosts":

    %System%\drivers\etc\hosts

На момент создания описания сервер злоумышленника не отвечал.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "EXPLORER.EXE".
2. Запустить редактор системного реестра "REGEDIT.EXE". Для этого в запущенном Диспетчере задач открыть вкладку "Файл\Новая задача (Выполнить...)" и ввести команду "regedit".
3. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Taskman" = "C:\Recycler\S-1-5-21-4714072883-7050866809-
   469064273-3308\nissan.exe"
   

4. Завершить процесс с именем:

   MsMxEng.exe

5. Запустить процесс "EXPLORER.EXE". Для этого в запущенном Диспетчере задач открыть вкладку "Файл\Новая задача (Выполнить...)" и ввести команду "explorer".
6. Удалить файлы:

   <Disk:\RECYCLER\S-1-5-21-<rnd1gt;\MsMxEng.exe
   <Disk:\RECYCLER\S-1-5-21-<rnd1gt;\Desktop.ini
   <имя зараженного диска>:\bar\bar32.exe
   <имя зараженного диска>:\autorun.inf
   

7. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
8. Удалить загруженные червем файлы из каталога "%Temp%".
9. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
10. При необходимости восстановить содержимое файла:

    System%\drivers\etc\hosts

    который имеет следующий вид:

    127.0.0.1       localhost

11. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan. Выполняет действия, характерные для вредоносных программ

Технические детали

Имеет размер 221696 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• C:\RECYCLER\S-1-5-21-8553972288-4708217558-928925514-4699\Desktop.ini

Вредоносная активность

Внедряет свой код в следующие процессы:

• <­файл исходной программы­>

Копирует следующие файлы в скрытые директории:

• Desktop.ini

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• b81kSA

Прочие действия

Производит запуск следующих файлов (команд):

• <­путь к исходной программе­><­файл исходной программы­> \"<­путь к исходной программе­><­файл исходной программы­>\"

Ищет следующие окна:

Класс:

Acrobat Viewer