P2P-Worm.Win32. Palevo.gul

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 116736 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 123 Кб. Написана на C++.

Инсталляция

Если имя червя отличалось от "sysdate.exe", тогда создает каталоги с атрибутами "скрытый" и "системный" в корневом каталоге диска с установленной Windows:

<Dir>:\RECYCLER\S-1-5-21-<rnd>
Где <Dir> - буква диска с установленной операционной системой, <rnd> - случайный набор из 33-х цифр, например "6184790095-5294150467-560388270-4689" или "0397941677-0106684583-388380175-2763".

В созданном каталоге создает свою копию с именем "sysdate.exe":

<Dir>:\RECYCLER\S-1-5-21-<rnd>\sysdate.exe
а также файл с именем "Desktop.ini":
<Dir>:\RECYCLER\S-1-5-21-<rnd>\Desktop.ini
Данный файл имеет размер 63 байта и содержит следующие строки:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Деструктивная активность

Вредоносная программа завершает свое выполнение при выполнении хоть одного из следующих условий:

  1. Отсутствие ключа системного реестра:
    [HKCU\Keyboard Layout\Preload]
  2. Имя учетной записи текущего пользователя Windows было одним из следующих:
    USERNAME
    user
    CurrentUser
  3. Имя текущего пользователя Windows было одним из следующих:
    COMPUTERNAME
    user
  4. В адресное пространство червя была подгружена хоть одна из библиотек:
    dbghelp.dll
    sbiedll.dll
  5. Оригинальное тело червя находилось в корневом каталоге диска С:\ с именем '"file.exe":
    C:\file.exe
Если имя червя было "tmp983.exe", тогда он открывает текущий каталог при помощи программы "Проводник" Windows.

В бесконечном цикле червь ищет процесс с именем "explorer.exe", при нахождении данного процесса внедряет в него вредоносный код.

Вредоносный код предназначен:

  • Для создания копии тела червя во всех доступных на запись сетевых и съемных дисках под именем "tmp983.exe":
    <X>:\cache\tmp983.exe
    Где <X> - буква сетевого или съемного диска.

    Также помещает в корень диска сопровождающий файл:

    <X>:\autorun.inf
    который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
  • Для добавления ссылки на свой исполняемый файл в ключ автозапуска системного реестра, что приводит к автоматическому запуску копии червя при каждом следующем старте системы:
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Taskman" = "<X>:\RECYCLER\S-1-5-21-<rnd>\sysdate.exe"
  • Для реализации функционала бэкдора. Для этого соединяется с удаленными хостами:
    b***ck.no-ip.org
    q***dfg.sinip.es
    b***fly.sinip.es
    Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:
    %Temp%\<rnd2>.exe
    Где <rnd2> - случайное число.

    Имеет возможность сохранять загруженные файлы в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине а также в каталог:

    %ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared Folder
    каталоги обмена файлами P2P-сетей получает анализируя параметры ключей системного реестра:
    [HKCU\Software\BearShare\General]
    [HKCU\Software\iMesh\General]
    [HKCU\Software\Shareaza\Shareaza\Downloads]
    [HKCU\Software\Kazaa\LocalContent]
    [HKCU\Software\DC++]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1]
    По команде злоумышленника также возможна подмена файла "hosts":
    %System%\etc\hosts
    На момент создания описания никаких команд с серверов злоумышленника не приходило.
  • Для отправки на адрес злоумышленника сохраненных паролей следующих браузеров:
    Internet Explorer
    Mozilla Firefox
    Google Chrome
    Opera