Червь, похищающий пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 97788 байт. Написан на С++.
Инсталляция
После активации червь копирует свое тело в системный каталог Windows под именем "avpo.exe":
%System%\avpo.exe
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"avpa" = "%System%\avpo.exe"
Распространение
Червь копирует свой исполняемый файл на все логические и съемные диски под именем "ntde1ect.com":
X:\ntde1ect.com
Далее в корне каждого каталога червь создает файл "autorun.inf":
X:\autorun.inf
который запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник",
где
Всем созданным файлам червь устанавливает атрибут "скрытый".
Деструктивная активность
Червь извлекает из своего тела динамическую библиотеку DLL под именем "avpo0.dll":
%System%\avpo0.dll
Далее файлу присваивается атрибут "скрытый".
Данный файл имеет размер 31455 байт и детектируется Антивирусом Касперского как Packed.Win32.NSAnti.r.
Данная библиотека внедряется во все запущенные процессы в системе, и с ее помощью производится перехват нажатия клавиш клавиатуры в следующем процессе:
maplestory.exe
Таким способом, червь пытается похитить информацию об учетных записях игроков для игры:
Maple Story
Также червь анализирует файлы настроек вышеуказанной игры и пытается извлечь из них информацию об учетных записях игрока на игровых серверах.
Собранная информация отправляется на сайт злоумышленникам в HTTP запросе:
http://www.gamesrb.com/*****/mwo/lin.asp
Также червь извлекает из своего тела драйвер во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\
Где
Данный файл имеет размер 21810 байт и детектируется Антивирусом Касперского как Rootkit.Win32.Vanti.gl.
Далее драйвер копируется в системный каталог Windows под именем "wincab.sys":
%System%\wincab.sys
Для запуска драйвера червь использует следующую службу:
[HKLM\SYSTEM\CurrentControlSet\Services\Wincab]
Данный драйвер завершает следующие процессы:
KAV
RAV
AVP
KAVSVC
Также скрывает файлы, процессы и ключи реестра, содержащие в имени подстроку "wincab" при помощи подмены обработчиков следующих функций:
NtEnumerateKey
NtEnumerateValueKey
NtQueryDirectoryFile
NtQuerySystemInfromation
в KeServiceDescriptorTable.
Червь изменяет значения следующих параметров ключей системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "91"
Таким образом, отключается отображение скрытых файлов и включаются функции автозапуска.
Также червь производит загрузку файла со следующего URL:
http://www.om7890.com/*****/help.exe
Загруженный файл сохраняется в системный каталог Windows под именем "help.exe":
%System%\help.exe
После успешного сохранения файл запускается на выполнение.
На момент создания описания по указанной ссылке вредоносных объектов не загружалось.
Червь выгружает из памяти следующие процессы:
rtsniff.exe packetcapture.exe peepnet.exe capturenet.exe wireshark.exe aps.exe