Exploit.Win32. IMG-WMF.y

Программа-эксплойт, использующая уязвимость в обработчике файлов формата WMF

Программа-эксплойт, использующая уязвимость в обработчике файлов формата WMF (для исполнения вредоносного кода служит функция метафайла с именем «Escape»). Является файлом графического формата WMF (Windows Metafile). Имеет размер 81850 байт. Ничем не упакована.

Деструктивная активность

После запуска происходит расшифровка кода эксплойта и получение адресов системных функций. Затем осуществляется попытка извлечения из данного кода другого вредоносного кода с последующим его сохранением в системном каталоге Windows под одним из случайно выбранных имен:


%System%\netupdate.exe
%System%\winlog.exe
%System%\winlogin.exe
%System%\winupdate.exe

Рассматриваемая модификация вируса извлекает и пытается сохранить приложение, детектирующееся Антивирусом Касперского как Email-Worm.Win32.Womble.a (PE EXE-файл размером 79360 байт).

В случае если такой файл создать не удалось, выполняется получение пути к каталогу настроек программ Windows («%AppData%») посредством чтения следующего параметра реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Local AppData"

Эксплойт пытается сохранить вредоносный код в указанном каталоге также под случайно выбранным именем:

%AppData%\Microsoft\WinTools\netupdate.exe
%AppData%\Microsoft\WinTools\winlog.exe
%AppData%\Microsoft\WinTools\winlogin.exe
%AppData%\Microsoft\WinTools\winupdate.exe

После этого (в зависимости от настроек в файле эксплойта) происходит явный или скрытый запуск на исполнение извлеченной программы («%DroppedFilename%»), либо выполняется ее прописывание в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"windows_startup" = "%DroppedFilename%"

Если доступ для генерирования необходимых значений в этом ключе запрещен, вирус идет другим путем:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"windows_startup" = "%DroppedFilename%"