Security Lab

IM-Worm.Win32. Pykse.a

IM-Worm.Win32. Pykse.a

Червь, распространяющийся через сервис Skype.

Червь, распространяющийся через сервис Skype. Является приложением Windows (PE EXE-файл). Размер компонентов червя варьируется в пределах от 57 до 179 КБ.

Инсталляция

При запуске вирус извлекает из своего исполняемого файла во временную папку Windows следующий файл размером 74880 байт:

%Temp%\sandra.jpg

C целью маскировки своего основного функционала червь открывает созданный файл в установленной по умолчанию программе просмотра изображений.

Вредоносная программа копирует свой исполняемый файл в системный каталог Windows:

%System%\Skype.exe

Ссылка на файл добавляется в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkypeStartup" = "%System%\Skype.exe"

Таким образом, при каждом последующем старте ОС автоматически запускает файл червя.

Вирус извлекает из своего тела еще один файл (размер — 57344 байт):

%System%\Invisible002.dll

Извлеченный файл регистрируется в системе, в результате чего генерируется ключ реестра:

[HKCR\CLSID\{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

@ = "Invisible"

[HKCR\CLSID\{7FB39839-665D-4D47-873C--D3FD9009FC3B}\InprocServer32]

@ = "%System%\Invisible002.dll"

"ThreadingModel" = "Apartment"

[HKCR\CLSID\{7FB39839-665D-4D47-873C--D3FD9009FC3B}\TypeLib]

@ = "{7FB39839-665D-4D47-873C--D3FD9009FC3B}"

Также червь создает следующие ключи реестра:

[HKCU\Software\SkypeWorm\cfg]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

Деструктивная активность

Червь производит поиск в системе окон приложения Skype. Если находит, то, используя специальный API-интерфейс для управления данной программой извне, отправляет всем адресатам из контакт-листа пользователя сообщения со ссылкой на свою последнюю модификацию.

Текст сообщения выбирается произвольным образом из списка:

matei kur sandros foto idejo?
http://www.papai.ru/foto_galerija/***

ziurek kur sandros foto imeciau
http://www.papai.ru/foto_galerija/***

kaip tau tokia? :D http://www.papai.ru/foto_galerija/***

paziurek kokia foto andrius atsiunte
http://www.papai.ru/foto_galerija/***

bet cia nesveikai http://www.papai.ru/foto_galerija/***

:D http://www.papai.ru/foto_galerija/***

uj netau sry http://www.papai.ru/foto_galerija/***

netau cia http://www.papai.ru/foto_galerija/***

oi netau cia turejo but sory
http://www.papai.ru/foto_galerija/***

Также вирус получает с сайта злоумышленника URL для загрузки файла из Интернета, производит скачивание и сохраняет файл в системный каталог Windows («%System%»).

В случае успешной загрузки файл запускается на исполнение.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь