Worm.Win32. VBNA.a

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 53248 байт.

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 53248 байт. Написан на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в файл:

%USERPROFILE%\<имя текущего пользователя>.exe
Файл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Каждый раз при копировании оригинального файла вредоноса определенные участки копии случайным образом модифицируются. К примеру:

Подобные модификации не влияют на размер файла и его функционал, однако позволяют в некоторых случаях обойти сигнатурный анализатор антивируса. Все модифицированные копии, созданные во время написания данного описания, детектировались Антивирусом Касперского как "Worm.Win32.VBNA.fcm".

Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя текущего пользователя>" = "%USERPROFILE%\
<имя текущего пользователя>.exe"
После этого созданная копия запускается на выполнение.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:

<имя зараженного раздела>:\<имя текущего пользователя>.exe
Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\autorun.inf
следующего содержания:
[AUTOrun]
action=Open folder to view files
shELLExecUtE=tEst.eXe
icoN=sYSteMROoT%\SYStEM32\ShELl32.Dll,4
uSEAuToplaY=1
что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

После запуска вредонос выполняет следующие действия:

  • в бесконечном цикле создает ключи системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "<имя текущего пользователя>" = "%USERPROFILE%\
    <имя текущего пользователя>.exe"


    [HKCU\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced]
    "ShowSuperHidden" = "0"
    Последний ключ отключает отображение скрытых файлов Проводником Windows.
  • Пытается выгрузить из системной памяти следующие процессы:
    reader_sl.exe 
    360tray.exe
    Avp32.exe
    Avpcc.exe
    Avpm.exe
    Avpupd.exe
    CCenter.exe
    Fsgk32.exe
    KavPFW.exe
    NISSERV.EXE
    Navrunr.exe
    Navw32.exe
    Navwnt.exe
    SAVScan.exe
    avcenter.exe
    avgnt.exe
    avguard.exe
    avp.exe
    cpd.exe
    fsav32.exe
    fsbwsys.exe
  • Устанавливает соединение с хостом:
    ns1.the***lour.net
Соединение используется для загрузки на зараженный компьютер других файлов. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя "%Temp%" под случайными именами. На момент создания описания файлы не загружались.