Вирус, заражающий исполняемые файлы Windows.
Инсталляция
При запуске вирус извлекает из своего тела следующие файлы:
* %WinDir%\AppPatch\deamon.dll — имеет размер 3072 байта; * %WinDir%\c_126.nls — имеет размер 31744 байта.
Вредоносная программа создает ключ реестра, куда записывает ссылку на свой исполняемый файл:
[HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]
Деструктивная активность
Вирус заражает все доступные для записи исполняемые файлы Windows (PE-EXE) на всех дисках зараженного компьютера и во всех доступных сетевых папках. Не заражаются файлы со следующими именами:
wooolcfg.exe woool.exe ztconfig.exe patchupdate.exe trojankiller.exe xy2player.exe flyff.exe xy2.exe au_unins_web.exe cabal.exe cabalmain9x.exe cabalmain.exe meteor.exe patcher.exe mjonline.exe config.exe zuonline.exe userpic.exe main.exe dk2.exe autoupdate.exe dbfsupdate.exe asktao.exe sealspeed.exe xlqy2.exe game.exe wb-service.exe nbt-dragonraja2006.exe dragonraja.exe mhclient-connect.exe hs.exe mts.exe gc.exe zfs.exe neuz.exe maplestory.exe nsstarter.exe nmcosrv.exe ca.exe nmservice.exe kartrider.exe audition.exe zhengtu.exe
При инфицировании файлов вирус записывает свой исполняемый файл впереди их оригинального содержимого. Для заражения файлов, находящихся в сетевых папках, вирус пытается подключиться к удаленным компьютерам с учетной записью «Administrator», используя один из следующих паролей:
zxcv qazwsx qaz qwer !@#$%^&*() !@#$%^&*( !@#$%^&* !@#$%^& !@#$%^ !@#$% aasdf sdfgh !@#$ 654321 123456 12345 1234 123 111
Вирус сообщает на сайт злоумышленника информацию о количестве свободного места на диске С:, версию операционной системы и браузера Internet Explorer, а также о наличии в системе драйверов с одним из следующих имен:
Hooksys KWatch3 KregEx KLPF NaiAvFilter1 NAVAP AVGNTMGR AvgTdi nod32drv PavProtect TMFilter BDFsDrv VETFDDNT
Эти сведения отсылаются в параметрах запроса к сайту злоумышленника:
http://****mrw0rldwide.com/co.asp?action=post&HD=<кол-во свободного места>&OT=
<версия ос>&IV=<версия IE>&AV=<установленные драйвера>
Также вирус получает по следующей ссылке список файлов, предназначенных для загрузки из сети Интернет:
http://****mrw0rldwide.com/z.dat
Затем скачивает файлы из данного списка во временную папку Windows и запускает их на исполнение.
На момент создания описания вирус загружал файлы по ссылкам:
http://down****net/css.jpg http://down****net/wow.jpg
И сохранял их соответствующим образом:
* %Temp%\css.jpg — имеет размер 62792 байта, детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.afd; * %Temp%\wow.jpg — имеет размер 40241 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.WOW.sv.