Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 48092 байта. Упакован Upack. Распакованный размер – около 201 КБ. Написан на Delphi.
Инсталляция
После запуска червь выполняет следующие действия:
- копирует свое тело в файл:
%Program Files%\Common Files\SysLive.exe
- Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"SysLive" = "%Program Files%\Common Files\SysLive.exe" - Изменяет значение ключа системного реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\Это приводит к отключению системного брандмауэра.
Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0" - Добавляет свой процесс в список доверенных приложений брандмауэра Windows, создавая для этого следующий ключ системного реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%Program Files%\Common Files\SysLive.exe" =
"%Program Files%\Common Files\SysLive.exe:*
:Enabled:@xpsp2res.dll,-22019" - Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c erase /F "<полный путь к оригинальному файлу червя>" > nul
Распространение
Червь запускает экземпляр процесса "SVCHOST.EXE" и внедряет в его адресное пространство исполняемый код, реализующий функционал распространения.
Червь копируется на все доступные для записи логические и съемные диски под следующим именем:
SysLive.exeВместе с исполняемым файлом червя помещается файл:
<имя зараженного раздела>:\autorun.infследующего содержания:
[AutoRun]Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Open=SysLive.exe
Shell\Open=+ª¬ê(&O)
Shell\Open\Command=SysLive.exe
Shell\Open\Default=1
Shell\Explore=+¦L+¦-Lý¦¢(&X)
Shell\Explore\Command=SysLive.exe
Созданным файлам присваивается атрибут "скрытый" (hidden).
name="doc3">
Деструктивная активность
После запуска червь выполняет следующие действия:
- извлекает из своего тела файлы, которые сохраняются в системе как
%USERPROFILE%\<rnd_1>.drv
(17408 байт; детектируется Антивирусом Касперского как "Worm.Win32.Abuse.dy")%Temp%\~<rnd_2>.tmp
(8256 байт; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.kvs")
где <rnd_1> и <rnd_2> – случайные последовательности латинских букв (например: "omawx" и "cigqou"). - Запускает системную утилиту "rundll32.exe" со следующими параметрами:
"%USERPROFILE%\<rnd_1>.drv",MyLove
Таким образом, из ранее извлеченной библиотеки "%USERPROFILE%\<rnd_1>.drv" вызывается функция "MyLove". - Создает и запускает в системе службу с именем "<rnd_2>", бинарным файлом которой является извлеченный ранее файл:
%Temp%\~<rnd_2>.tmp
- Запускает браузер Internet Explorer и внедряет в адресное пространство его процесса (IEXPLORE.EXE) исполняемый код, реализующий загрузку файлов со следующих хостов:
x.2***wn.com
Загруженные файлы сохраняются в каталоге "%Program Files%" и после успешной загрузки запускаются на выполнение. На момент создания описания были загружены следующие файлы:
a.2***wn.com%Program Files%\msn.exe
(173848 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.AdMedia.ed")%Program Files%\fhie.exe
(171747 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.Iebar.aa") - Отправляет в POST-запросе на адрес:
www.tj***d.com/ax/Count.asp
следующую информацию о системе:- версия Windows;
- имя компьютера;
- физический адрес активного сетевого адаптера.