Worm.Win32. AutoRun.bghn

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл)

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 48092 байта. Упакован Upack. Распакованный размер – около 201 КБ. Написан на Delphi.

Инсталляция

После запуска червь выполняет следующие действия:

  • копирует свое тело в файл:
    %Program Files%\Common Files\SysLive.exe
  • Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
    "SysLive" = "%Program Files%\Common Files\SysLive.exe"
  • Изменяет значение ключа системного реестра:
    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile]
    "EnableFirewall" = "0"
    Это приводит к отключению системного брандмауэра.
  • Добавляет свой процесс в список доверенных приложений брандмауэра Windows, создавая для этого следующий ключ системного реестра:
    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "%Program Files%\Common Files\SysLive.exe" =
    "%Program Files%\Common Files\SysLive.exe:*
    :Enabled:@xpsp2res.dll,-22019"
  • Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
    /c erase /F "<полный путь к оригинальному файлу червя>" > nul
После этого червь запускает файл "%Program Files%\Common Files\SysLive.exe" и завершает свою работу.

Распространение

Червь запускает экземпляр процесса "SVCHOST.EXE" и внедряет в его адресное пространство исполняемый код, реализующий функционал распространения.

Червь копируется на все доступные для записи логические и съемные диски под следующим именем:

SysLive.exe
Вместе с исполняемым файлом червя помещается файл:
<имя зараженного раздела>:\autorun.inf
следующего содержания:
[AutoRun]
Open=SysLive.exe
Shell\Open=+ª¬ê(&O)
Shell\Open\Command=SysLive.exe
Shell\Open\Default=1
Shell\Explore=+¦L+¦-Lý¦¢(&X)
Shell\Explore\Command=SysLive.exe
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваивается атрибут "скрытый" (hidden).


Деструктивная активность

После запуска червь выполняет следующие действия:

  • извлекает из своего тела файлы, которые сохраняются в системе как
    %USERPROFILE%\<rnd_1>.drv
    (17408 байт; детектируется Антивирусом Касперского как "Worm.Win32.Abuse.dy")
    %Temp%\~<rnd_2>.tmp
    (8256 байт; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.kvs")
    где <rnd_1> и <rnd_2> – случайные последовательности латинских букв (например: "omawx" и "cigqou").
  • Запускает системную утилиту "rundll32.exe" со следующими параметрами:
    "%USERPROFILE%\<rnd_1>.drv",MyLove
    Таким образом, из ранее извлеченной библиотеки "%USERPROFILE%\<rnd_1>.drv" вызывается функция "MyLove".
  • Создает и запускает в системе службу с именем "<rnd_2>", бинарным файлом которой является извлеченный ранее файл:
    %Temp%\~<rnd_2>.tmp
  • Запускает браузер Internet Explorer и внедряет в адресное пространство его процесса (IEXPLORE.EXE) исполняемый код, реализующий загрузку файлов со следующих хостов:
    x.2***wn.com
    a.2***wn.com
    Загруженные файлы сохраняются в каталоге "%Program Files%" и после успешной загрузки запускаются на выполнение. На момент создания описания были загружены следующие файлы:
    %Program Files%\msn.exe
    (173848 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.AdMedia.ed")
    %Program Files%\fhie.exe
    (171747 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.Iebar.aa")
  • Отправляет в POST-запросе на адрес:
    www.tj***d.com/ax/Count.asp
    следующую информацию о системе:
    • версия Windows;
    • имя компьютера;
    • физический адрес активного сетевого адаптера.