Virus.Win32.Alman.a

Вирус, заражающий исполняемые файлы Windows.

Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).

Инсталляция

При запуске вирус извлекает из своего тела следующие файлы:

    * %WinDir%\AppPatch\deamon.dll — имеет размер 3072 байта;
    * %WinDir%\c_126.nls — имеет размер 31744 байта.

Вредоносная программа создает ключ реестра, куда записывает ссылку на свой исполняемый файл:

[HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]

Деструктивная активность

Вирус заражает все доступные для записи исполняемые файлы Windows (PE-EXE) на всех дисках зараженного компьютера и во всех доступных сетевых папках. Не заражаются файлы со следующими именами:

wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

При инфицировании файлов вирус записывает свой исполняемый файл впереди их оригинального содержимого. Для заражения файлов, находящихся в сетевых папках, вирус пытается подключиться к удаленным компьютерам с учетной записью «Administrator», используя один из следующих паролей:

zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
aasdf 
sdfgh
!@#$
654321
123456
12345
1234
123
111

Вирус сообщает на сайт злоумышленника информацию о количестве свободного места на диске С:, версию операционной системы и браузера Internet Explorer, а также о наличии в системе драйверов с одним из следующих имен:

Hooksys
KWatch3
KregEx
KLPF
NaiAvFilter1
NAVAP
AVGNTMGR
AvgTdi
nod32drv
PavProtect
TMFilter
BDFsDrv
VETFDDNT

Эти сведения отсылаются в параметрах запроса к сайту злоумышленника:

http://****mrw0rldwide.com/co.asp?action=post&HD=<кол-во свободного места>&OT=
<версия ос>&IV=<версия IE>&AV=<установленные драйвера>

Также вирус получает по следующей ссылке список файлов, предназначенных для загрузки из сети Интернет:

http://****mrw0rldwide.com/z.dat

Затем скачивает файлы из данного списка во временную папку Windows и запускает их на исполнение.

На момент создания описания вирус загружал файлы по ссылкам:

http://down****net/css.jpg
http://down****net/wow.jpg

И сохранял их соответствующим образом:

    * %Temp%\css.jpg — имеет размер 62792 байта, детектируется Антивирусом Касперского 
       как Trojan-PSW.Win32.OnLineGames.afd;
    * %Temp%\wow.jpg — имеет размер 40241 байт, детектируется Антивирусом Касперского 
       как Trojan-PSW.Win32.WOW.sv.