Exploit.Win32. IMG-WMF.y

Программа-эксплойт, использующая уязвимость в обработчике файлов формата WMF (для исполнения вредоносного кода служит функция метафайла с именем «Escape»). Является файлом графического формата WMF (Windows Metafile). Имеет размер 81850 байт. Ничем не упакована.

Деструктивная активность

После запуска происходит расшифровка кода эксплойта и получение адресов системных функций. Затем осуществляется попытка извлечения из данного кода другого вредоносного кода с последующим его сохранением в системном каталоге Windows под одним из случайно выбранных имен:

  
  %System%\netupdate.exe
  %System%\winlog.exe
  %System%\winlogin.exe
  %System%\winupdate.exe

Рассматриваемая модификация вируса извлекает и пытается сохранить приложение, детектирующееся Антивирусом Касперского как Email-Worm.Win32.Womble.a (PE EXE-файл размером 79360 байт).

В случае если такой файл создать не удалось, выполняется получение пути к каталогу настроек программ Windows («%AppData%») посредством чтения следующего параметра реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
  "Local AppData"

Эксплойт пытается сохранить вредоносный код в указанном каталоге также под случайно выбранным именем:

  %AppData%\Microsoft\WinTools\netupdate.exe
  %AppData%\Microsoft\WinTools\winlog.exe
  %AppData%\Microsoft\WinTools\winlogin.exe
  %AppData%\Microsoft\WinTools\winupdate.exe
  

После этого (в зависимости от настроек в файле эксплойта) происходит явный или скрытый запуск на исполнение извлеченной программы («%DroppedFilename%»), либо выполняется ее прописывание в ключе автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "windows_startup" = "%DroppedFilename%"
  

Если доступ для генерирования необходимых значений в этом ключе запрещен, вирус идет другим путем:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "windows_startup" = "%DroppedFilename%"