Security Lab

Virus.Win32.Alman.a

Virus.Win32.Alman.a

Вирус, заражающий исполняемые файлы Windows.

Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).

Инсталляция

При запуске вирус извлекает из своего тела следующие файлы:

      * %WinDir%\AppPatch\deamon.dll — имеет размер 3072 байта;
      * %WinDir%\c_126.nls — имеет размер 31744 байта.

Вредоносная программа создает ключ реестра, куда записывает ссылку на свой исполняемый файл:

  [HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]

Деструктивная активность

Вирус заражает все доступные для записи исполняемые файлы Windows (PE-EXE) на всех дисках зараженного компьютера и во всех доступных сетевых папках. Не заражаются файлы со следующими именами:

  wooolcfg.exe
  woool.exe
  ztconfig.exe
  patchupdate.exe
  trojankiller.exe
  xy2player.exe
  flyff.exe
  xy2.exe
  au_unins_web.exe
  cabal.exe
  cabalmain9x.exe
  cabalmain.exe
  meteor.exe
  patcher.exe
  mjonline.exe
  config.exe
  zuonline.exe
  userpic.exe
  main.exe
  dk2.exe
  autoupdate.exe
  dbfsupdate.exe
  asktao.exe
  sealspeed.exe
  xlqy2.exe
  game.exe
  wb-service.exe
  nbt-dragonraja2006.exe
  dragonraja.exe
  mhclient-connect.exe
  hs.exe
  mts.exe
  gc.exe
  zfs.exe
  neuz.exe
  maplestory.exe
  nsstarter.exe
  nmcosrv.exe
  ca.exe
  nmservice.exe
  kartrider.exe
  audition.exe
  zhengtu.exe

При инфицировании файлов вирус записывает свой исполняемый файл впереди их оригинального содержимого. Для заражения файлов, находящихся в сетевых папках, вирус пытается подключиться к удаленным компьютерам с учетной записью «Administrator», используя один из следующих паролей:

  zxcv
  qazwsx
  qaz
  qwer
  !@#$%^&*()
  !@#$%^&*(
  !@#$%^&*
  !@#$%^&
  !@#$%^
  !@#$%
  aasdf 
  sdfgh
  !@#$
  654321
  123456
  12345
  1234
  123
  111

Вирус сообщает на сайт злоумышленника информацию о количестве свободного места на диске С:, версию операционной системы и браузера Internet Explorer, а также о наличии в системе драйверов с одним из следующих имен:

  Hooksys
  KWatch3
  KregEx
  KLPF
  NaiAvFilter1
  NAVAP
  AVGNTMGR
  AvgTdi
  nod32drv
  PavProtect
  TMFilter
  BDFsDrv
  VETFDDNT
  

Эти сведения отсылаются в параметрах запроса к сайту злоумышленника:

http://****mrw0rldwide.com/co.asp?action=post&HD=<кол-во свободного места>&OT=
<версия ос>&IV=<версия IE>&AV=<установленные драйвера>

Также вирус получает по следующей ссылке список файлов, предназначенных для загрузки из сети Интернет:

http://****mrw0rldwide.com/z.dat

Затем скачивает файлы из данного списка во временную папку Windows и запускает их на исполнение.

На момент создания описания вирус загружал файлы по ссылкам:

  http://down****net/css.jpg
  http://down****net/wow.jpg
  

И сохранял их соответствующим образом:

      * %Temp%\css.jpg — имеет размер 62792 байта, детектируется Антивирусом Касперского 
         как Trojan-PSW.Win32.OnLineGames.afd;
      * %Temp%\wow.jpg — имеет размер 40241 байт, детектируется Антивирусом Касперского 
         как Trojan-PSW.Win32.WOW.sv.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!