Exploit.Win32. IMG-WMF.y

Программа-эксплойт, использующая уязвимость в обработчике файлов формата WMF

Программа-эксплойт, использующая уязвимость в обработчике файлов формата WMF (для исполнения вредоносного кода служит функция метафайла с именем «Escape»). Является файлом графического формата WMF (Windows Metafile). Имеет размер 81850 байт. Ничем не упакована.

Деструктивная активность

После запуска происходит расшифровка кода эксплойта и получение адресов системных функций. Затем осуществляется попытка извлечения из данного кода другого вредоносного кода с последующим его сохранением в системном каталоге Windows под одним из случайно выбранных имен:

 
 %System%\netupdate.exe
 %System%\winlog.exe
 %System%\winlogin.exe
 %System%\winupdate.exe

Рассматриваемая модификация вируса извлекает и пытается сохранить приложение, детектирующееся Антивирусом Касперского как Email-Worm.Win32.Womble.a (PE EXE-файл размером 79360 байт).

В случае если такой файл создать не удалось, выполняется получение пути к каталогу настроек программ Windows («%AppData%») посредством чтения следующего параметра реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
 "Local AppData"

Эксплойт пытается сохранить вредоносный код в указанном каталоге также под случайно выбранным именем:

 %AppData%\Microsoft\WinTools\netupdate.exe
 %AppData%\Microsoft\WinTools\winlog.exe
 %AppData%\Microsoft\WinTools\winlogin.exe
 %AppData%\Microsoft\WinTools\winupdate.exe
 

После этого (в зависимости от настроек в файле эксплойта) происходит явный или скрытый запуск на исполнение извлеченной программы («%DroppedFilename%»), либо выполняется ее прописывание в ключе автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "windows_startup" = "%DroppedFilename%"
 

Если доступ для генерирования необходимых значений в этом ключе запрещен, вирус идет другим путем:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "windows_startup" = "%DroppedFilename%"
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.