Virus.Win32.Alman.a

Вирус, заражающий исполняемые файлы Windows.

Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).

Инсталляция

При запуске вирус извлекает из своего тела следующие файлы:

     * %WinDir%\AppPatch\deamon.dll — имеет размер 3072 байта;
     * %WinDir%\c_126.nls — имеет размер 31744 байта.

Вредоносная программа создает ключ реестра, куда записывает ссылку на свой исполняемый файл:

 [HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]

Деструктивная активность

Вирус заражает все доступные для записи исполняемые файлы Windows (PE-EXE) на всех дисках зараженного компьютера и во всех доступных сетевых папках. Не заражаются файлы со следующими именами:

 wooolcfg.exe
 woool.exe
 ztconfig.exe
 patchupdate.exe
 trojankiller.exe
 xy2player.exe
 flyff.exe
 xy2.exe
 au_unins_web.exe
 cabal.exe
 cabalmain9x.exe
 cabalmain.exe
 meteor.exe
 patcher.exe
 mjonline.exe
 config.exe
 zuonline.exe
 userpic.exe
 main.exe
 dk2.exe
 autoupdate.exe
 dbfsupdate.exe
 asktao.exe
 sealspeed.exe
 xlqy2.exe
 game.exe
 wb-service.exe
 nbt-dragonraja2006.exe
 dragonraja.exe
 mhclient-connect.exe
 hs.exe
 mts.exe
 gc.exe
 zfs.exe
 neuz.exe
 maplestory.exe
 nsstarter.exe
 nmcosrv.exe
 ca.exe
 nmservice.exe
 kartrider.exe
 audition.exe
 zhengtu.exe

При инфицировании файлов вирус записывает свой исполняемый файл впереди их оригинального содержимого. Для заражения файлов, находящихся в сетевых папках, вирус пытается подключиться к удаленным компьютерам с учетной записью «Administrator», используя один из следующих паролей:

 zxcv
 qazwsx
 qaz
 qwer
 !@#$%^&*()
 !@#$%^&*(
 !@#$%^&*
 !@#$%^&
 !@#$%^
 !@#$%
 aasdf 
 sdfgh
 !@#$
 654321
 123456
 12345
 1234
 123
 111

Вирус сообщает на сайт злоумышленника информацию о количестве свободного места на диске С:, версию операционной системы и браузера Internet Explorer, а также о наличии в системе драйверов с одним из следующих имен:

 Hooksys
 KWatch3
 KregEx
 KLPF
 NaiAvFilter1
 NAVAP
 AVGNTMGR
 AvgTdi
 nod32drv
 PavProtect
 TMFilter
 BDFsDrv
 VETFDDNT
 

Эти сведения отсылаются в параметрах запроса к сайту злоумышленника:

http://****mrw0rldwide.com/co.asp?action=post&HD=<кол-во свободного места>&OT=
<версия ос>&IV=<версия IE>&AV=<установленные драйвера>

Также вирус получает по следующей ссылке список файлов, предназначенных для загрузки из сети Интернет:

http://****mrw0rldwide.com/z.dat

Затем скачивает файлы из данного списка во временную папку Windows и запускает их на исполнение.

На момент создания описания вирус загружал файлы по ссылкам:

 http://down****net/css.jpg
 http://down****net/wow.jpg
 

И сохранял их соответствующим образом:

     * %Temp%\css.jpg — имеет размер 62792 байта, детектируется Антивирусом Касперского 
        как Trojan-PSW.Win32.OnLineGames.afd;
     * %Temp%\wow.jpg — имеет размер 40241 байт, детектируется Антивирусом Касперского 
        как Trojan-PSW.Win32.WOW.sv.