Trojan.Win32. VB.uzo

Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл).

Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 94208 байт. Написан на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в файл:

c:\KALBA\MAAFENA\LAXOURY.exe
Также создается файл:
C:\KALBA\MAAFENA\desKtOp.InI
содержащий строки:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Active Setup\Installed Components\
{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}]
"StubPath" = "c:\KALBA\MAAFENA\LAXOURY.exe"

Распространение

Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:

<имя зараженного раздела>:\KALBA\MAAFENA\LAXOURY.exe
Вместе со своим исполняемым файлом червь помещает файлы:
<имя зараженного раздела>:\KALBA\MAAFENA\desKtOp.InI
<имя зараженного раздела>:\autorun.inf
что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system). Кроме того, червь способен распространяться при помощи программ обмена мгновенными сообщениями:
Skype
MSN Messenger

Деструктивная активность

Весь деструктивный функционал вредоноса осуществляется исполняемым кодом, внедряемым в адресное пространство процесса "EXPLORER.EXE". Внедренный код выполняет следующие действия:

  • в бесконечном цикле создает ключ системного реестра:
    [HKLM\Software\Microsoft\Active Setup\Installed Components\
    {12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}]
    "StubPath" = "c:\KALBA\MAAFENA\LAXOURY.exe"
  • Загружает из сети Интернет файлы по следующим ссылкам:
    http://www.sit***alace.com/gamil/Safer12.jpeg
    (На момент создания описания загружался файл размером 135681 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Ruskill.p")
    http://www.sit***alace.com/gamil/lokiB.jpeg
    (На момент создания описания загружался файл размером 169985 байт; детектируется эвристиком Антивируса Касперского как "HEUR:Trojan.Win32.Generic") Загруженные файлы сохраняются в системе как
    %USERPROFILE%\<rnd>.exe
    где <rnd> – случайное имя (например: "H8F4D9~1.EXE"). После успешной загрузки файлы запускаются на выполнение.
  • Блокирует доступ к веб-ресурсам, содержащим в своих именах следующие подстроки:
    webroot.    
    fortinet.
    virusbuster.
    nprotect.
    gdatasoftware.
    virus.
    precisesecurity.
    lavasoft.
    heck.tc
    emsisoft.
    onlinemalwarescanner.
    onecare.live.
    f-secure.
    bullguard.
    clamav.
    pandasecurity.
    sophos.
    malwarebytes.
    sunbeltsoftware.
    norton.
    norman.
    mcafee.
    symantec
    comodo.
    avast.
    avira.
    avg.
    bitdefender.
    eset.
    kaspersky.
    trendmicro.
    iseclab.
    virscan.
    garyshood.
    viruschief.
    jotti.
    threatexpert.
    novirusthanks.
    virustotal.
  • Отслеживает исходящий сетевой трафик с целью похищения данных аутентификации пользователей следующих веб-ресурсов:
    OfficeBanking
    LogMeIn
    Megaupload
    FileServe
    Twitter
    AlertPay
    Moneybookers
    Runescape
    DynDNS
    NoIP
    Steam
    Hackforums
    Facebook
    Yahoo
    Live
    Gmail
    Fastmail
    BigString
    AOL
    YouTube
    PayPal
    Полученные данные могут быть отправлены на сервер злоумышленника.
  • Для выполнения своего основного вредоносного функционала обращается к одному из командных центров, которые располагаются по следующим ссылкам:
    relax3.h***dark.biz     
    relax3.irc***ils.net
    relax3.p***nc.cz
    На момент создания описания указанные IRC-сервера не работали. По получаемым с сервера злоумышленника командам червь может выполнять следующие действия:
    • загружать файлы по полученным ссылкам и запускать их;
    • распространяться, используя программы обмена мгновенными сообщениями;
    • проводить DoS-атаки на указанные злоумышленником сервера;
    • обновлять свой оригинальный файл.