Net-Worm.Win32.Kolab.ylu

Сетевой червь, создает свои копии на съемных дисках, а также загружает и устанавливает другое программное обеспечение на зараженном компьютере без ведома пользователя.

Технические детали

Сетевой червь, создает свои копии на съемных дисках, а также загружает и устанавливает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-DLL файл). Имеет размер 60928 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 136 Кб. Написана на C++.

Инсталляция

Копирует свое тело во временный каталог текущего пользователя под именем: <>%Temp%\srv<rnd1>.tmp где <rnd1> - случайный набор из цифр и букв латинского алфавита, например "7E4" или "1E8".

Для автоматического запуска созданной копии червя при каждом следующем старте системы создается служба, за которую отвечает ключ системного реестра:

[HKLM\System\CurrentControlSet\Services\srv<rnd1>]
В отдельном потоке червь непрерывно восстанавливает запись о своей службе в системном реестре. Для работы в безопасном режиме, червь создает следующую запись в системном реестре:
[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\srv<rnd1>]  "(default)"="service"

Распространение

Червь имеет следующие механизмы распространения:

  • Распространяется по сети зараженного компьютера, используя уязвимость MS08-067.
  • Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру:
    <имя зараженного диска>:\setup50045.fon
    Также создаются файлы:
    <имя зараженного диска>:\myporno.avi.lnk  <имя зараженного диска>:\pornmovs.lnk  <имя зараженного диска>:\setup50045.lnk  
    Которые предназначены для запуска червя.

    Вместе со своей копией червь помещает в корневой каталог зараженного диска файл:

    <имя зараженного диска>:\autorun.inf
    следующего содержания:
    [AUTORuN]  acTiON=opEN  eixrgvyqxnqvgomwivn=trppqscjmhqpcfp  ICoN=%wInDir%\SySTEm32\shELl32.Dll,4  oxvgyrdxbiqedrfhcvnhxcnsrimepigtwgheh=givscvssyxxapiicclucwk  USeAUtOplAy=1  txdkjbh=yfmnbyowpigsbnaxqfhqmeqe  OpeN=RunDLl32.exE SetuP50045.foN,9D025  ekrvkkwgfucivppdrtavoe=lacmlkuxqkcfyuqipufgse  sHell\ExPlORe\command=ruNDLl32.eXe SETuP50045.foN,9D025  ltuqtafivakqjmxfadfopw=mqdcyvbgpwdguytatvrk  SHell\OpeN\cOMMaND=rUNDlL32.EXe SEtUP50045.FOn,9d025  jbdodnvlwdeqo=trirjdmlfttsdtiicwfbtvcx  
    Данный файл обеспечивает червю возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" и "системный".



Деструктивная активность

Червь выполняет внедрение своего кода в системный процесс:

spoolsv.exe
Отвечающий за работу службы:
spooler
После чего в разных потоках выполняет инсталляцию и распространение. Свои настройки червь хранит в следующем файле:
%Temp%\srv<rnd1>.ini
Который содержит следующие строки:
[main]  source=1  affid=50045  id=bbbbbbbbbbbb<ID>  server=http://195.**.***.136/  downloaded=1  
где <ID> - значение параметра "MachineGuid" в ключе системного реестра:
[HKLM\Software\Microsoft\Cryptography]
Червь обращается по следующему URL адресу:
http://195.***.***.138/service/listener.php?affid=50045  
И выполняет загрузку стороннего программного обеспечения, по следующему URL адресу:
http://195.***.***.139/service/scripts/files/aff_50045.dll
На момент создания описания загружались различные модификации вредоносов семейства Trojan-Dropper.Win32.TDSS.

Загруженный файл сохраняется во временном каталоге текущего пользователя:

%Temp%\<rnd2>.tmp
где <rnd2> - случайный набор из цифр и букв латинского алфавита. Затем червь запускает на выполнение загруженный файл.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Остановить службу:
    spooler
    для этого нужно выполнить следующую команду:
    sc stop spooler
  2. Удалить ключи системного реестра:
    [HKLM\System\CurrentControlSet\Services\srv<rnd1>]    [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\srv<rnd1>]  
  3. Удалить файлы:
    %Temp%\srv<rnd1>.tmp  %Temp%\srv<rnd1>.ini  <имя зараженного диска>:\setup50045.fon  <имя зараженного диска>:\myporno.avi.lnk  <имя зараженного диска>:\pornmovs.lnk  <имя зараженного диска>:\setup50045.lnk  <имя зараженного диска>:\autorun.inf  %Temp%\<rnd2>.tmp  
  4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).