Security Lab

Worm.Win32. AutoRun.vkk

Worm.Win32. AutoRun.vkk

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 24776 байт. Упакован неизвестным упаковщиком. Распакованный размер – около 56 КБ. Написан на C++.

Инсталляция

После запуска червь перемещает содержимое файла
%System%\spoolsv.exe
в файл
c:\tm.sa
Далее червь копирует свое тело в следующие файлы:
%System%\spoolsv.exe
%System%\dllcache\spoolsv.exe
При этом для своего оригинального файла червь устанавливает атрибуты "скрытый" (hidden) и "системный" (system).

Для автоматического запуска созданной копии процессом "explorer.exe" при каждом следующем старте системы червь создает ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"internetnet" = "%System%\spoolsv.exe"

Распространение

Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
ZGVZ.PIF
Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\AUTORUN.INF
следующего содержания:
 [AutoRun]
shell\open=ґтї?(&O)
shell\open\Command=ZGVZ.PIF
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\command=ZGVZ.PIF
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
name="doc3">

Деструктивная активность

После запуска червь выполняет следующие действия:

  • создает уникальный идентификатор с именем:
    CHASHADUAN
  • Удаляет файлы:
    %System%\mfc71.dll
    C:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KASBrowserShield.DLL
    D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll
  • Запускает системную утилиту "cacls.exe" со следующими параметрами:
    %System%\packet.dll /e /p everyone:f
    %System%\pthreadVC.dll /e /p everyone:f
    %System%\wpcap.dll /e /p everyone:f
    %System%\npptools.dll /e /p everyone:f
    %System%\drivers\acpidisk.sys /e /p everyone:f
    %System%\wanpacket.dll /e /p everyone:f
    Это позволяет открыть общий доступ к вышеперечисленным файлам.
  • Останавливает работу службы "Beep". После этого бинарный файл данной службы
    %System%\drivers\beep.sys
    заменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2304 байта, детектируется Антивирусом Касперского как "Worm.Win32.AutoRun.vmn". После замены бинарного файла работа службы "Beep" возобновляется.
  • Выгружает из системной памяти следующие процессы:
    360Safe.exe
    360tray.exe
    360rpt.EXE
    Runiep.exe
    Rsaupd.exe
    RAv.exe
    RSTray.exe
    CCenter.EXE
    RAVMON.EXE
    Ravservice.EXE
    ScanFrm.exe
    rsnetsrv.EXE
    RAVTRAY.EXE
    RAVMOND.EXE
    GuardField.exe
    Ravxp.exe
    GFUpd.exe
    kmailmon.exe
    kavstart.exe
    KAVPFW.EXE
    kwatch.exe
    kav32.exe
    kissvc.exe
    UpdaterUI.exe
    rfwsrv.exe
    rfwProxy.exe
    Rfwstub.exe
    RavStub.exe
    rfwmain.exe
    TBMon.exe
    nod32kui.exe
    nod32krn.exe
    KASARP.exe
    FrameworkService.exe
    scan32.exe
    VPC32.exe
    VPTRAY.exe
    AntiArp.exe
    KRegEx.exe
    KvXP.kxp
    kvsrvxp.kxp
    kvsrvxp.exe
    KVWSC.ExE
    Iparmor.exe
    Avp.EXE
    VsTskMgr.exe
    EsuSafeguard.exe
    wuauclt.exe
  • Останавливает работу следующих служб:
    sharedaccess
    McShield
    KWhatchsvc
    KPfwSvc
    Kingsoft Internet Security Common Service
    Symantec AntiVirus
    norton AntiVirus server
    DefWatch
    Symantec AntiVirus Drivers Services
    Symantec AntiVirus Definition Watcher
    Norton AntiVirus Server
  • Запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
    /c net1 start server
    /c sc delete spooler
    Это приводит запуску службы "server" и удалению службы "spooler".
  • Запускает процесс
    %Program files%\Internet Explorer\IEXPLORE.EXE
  • Находит в системе окно с именем класса "IEFrame" и внедряет адресное пространство процесса, соответствующего этому окну, исполняемый код, загружающий из сети Интернет файлы по следующим ссылкам:
    http://a.w***7.com/dd/x.gif
    http://a.w***7.com/dd/1.exe
    http://a.w***7.com/dd/2.exe
    http://a.w***7.com/dd/3.exe
    http://a.w***7.com/dd/4.exe
    http://a.w***7.com/dd/5.exe
    http://a.w***7.com/dd/6.exe
    http://a.w***7.com/dd/7.exe
    http://a.w***7.com/dd/8.exe
    http://a.w***7.com/dd/9.exe
    http://a.w***7.com/dd/10.exe
    На момент создания описания ссылки не работали. Загруженные файлы сохраняются в системе соответственно под следующими именами:
    %Program Files%\ccdd.pif
    %Documents and Settings%\1ts.pif
    %Documents and Settings%\2ts.pif
    %Documents and Settings%\3t.pif
    %Documents and Settings%\4.pif
    %Documents and Settings%\5.pif
    %Documents and Settings%\6ts.pif
    %Documents and Settings%\7.pif
    %Documents and Settings%\8.pif
    %Documents and Settings%\9ts.pif
    %Documents and Settings%\10ts.pif
    После успешной загрузки файлы запускаются на выполнение.
  • Создает ключи системного реестра:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Application name>]
    "debugger"= "%System%\dllcache\spoolsv.exe"
    Всего создается 61 ключ. Подстрока <Application name> принимает следующие значения:
    360rpt.EXE
    360safe.EXE
    360tray.EXE
    360safebox.EXE
    safeboxTray.EXE
    AVP.EXE
    AVP.COM
    AvMonitor.EXE
    Ravservice.EXE
    RAVTRAY.EXE
    CCenter.EXE
    IceSword.EXE
    Iparmor.EXE
    KVMonxp.KXP
    KVSrvXP.EXE
    KVWSC.EXE
    Navapsvc.EXE
    Nod32kui.EXE
    nod32krn.EXE
    KRegEx.EXE
    Frameworkservice.EXE
    Mmsk.EXE
    Ast.EXE
    WOPTILITIES.EXE
    Regedit.EXE
    AutoRunKiller.EXE
    VPC32.EXE
    VPTRAY.EXE
    ANTIARP.EXE
    KASARP.EXE
    RAV.EXE
    kwatch.EXE
    kmailmon.EXE
    kavstart.EXE
    KAVPFW.EXE
    Runiep.EXE
    GuardField.EXE
    GFUpd.EXE
    Rfwstub.EXE
    rfwmain.EXE
    RavStub.EXE
    rsnetsvr.EXE
    ScanFrm.EXE
    RsMain.EXE
    Rsaupd.EXE
    rfwProxy.EXE
    rfwsrv.EXE
    msconfig.EXE
    SREngLdr.EXE
    ArSwp.EXE
    RSTray.EXE
    QQDoctor.EXE
    TrojanDetector.EXE
    RSTray.EXE
    Trojanwall.EXE
    TrojDie.KXP
    PFW.EXE
    HijackThis.EXE
    KPfwSvc.EXE
    kissvc.EXE
    kav32.EXE
  • Изменяет значение ключа системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue" = "2"
    Это приводит к отключению отображения скрытых файлов и папок.
  • Удаляет ключи системного реестра:
    [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal]
    "{4D36E967-E325-11CE-BFC1-08002BE10318}"

    [HKLM\System\CurrentControlSet\Control\SafeBoot\Network]
    "{4D36E967-E325-11CE-BFC1-08002BE10318}"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "360Safetray"
    "360Safebox"
    "KavStart"
    "vptray"
  • Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют строки:
    NOD32
    Process
    Mcafee
    Firewall
    virus
    anti
    worm
    SREng
    то это окно будет закрыто, а процесс, соответствующий окну, завершен.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться