Virus.Win32. Sality.bh
Virus.Win32. Sality.bh
Alexander Antipov
Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ.
Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++. Имеет размер 70656 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 574 КБ.
Распространение
Копирует свое тело со случайным именем на все доступные на запись сетевые, логические и съемные диски, при этом расширение файла может быть ".exe", ".pif" или ".cmd", выбираемое случайным образом:
<X>:\<rnd>.<случайно выбираемое расширение файла>Где <X> - буква зараженного раздела, <rnd> - случайный набор латинских букв.
Также помещает в корень диска сопровождающий файл:
<X>:\autorun.infкоторый запускает исполняемый файл вредоноса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Копии тела вредоноса и файлу его автозапуска устанавливает атрибуты "скрытый" и "системный".
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR
Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXTПри заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.
UPX
CODE
Поиск файлов для заражения производится на всех разделах жесткого диска и доступных для записи сетевых ресурсах.
name="doc3">
Деструктивная активность
Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
uxJLpe1m
- Запрещает отображение скрытых файлов, добавив информацию в ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
"Hidden"=dword:00000002 - Блокирует запуск Диспетчера задач Windows и Редактора реестра, создавая параметры ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\
Policies\system]
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1" - Изменяет настройки Центра Обеспечения безопасности Windows, изменяя значения параметров ключей системного реестра на следующие:
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = "1"
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
"UacDisableNotify" = "1"
[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
"UacDisableNotify" = "1" - Устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line"
[HKCU\Software\Microsoft\Windows\CurrentVersion\
Internet Settings]
"GlobalUserOffline" = "0" - Отключает User Account Control (компонент, запрашивающий подтверждение действий, требующих прав администратора):
[HKLM\Software\Microsoft\Windows\CurrentVersion\
policies\system]
"EnableLUA" = "0" - Добавляет свой оригинальный файл в список доверенных приложений Брандмауэра Windows путем создания следующего ключа системного реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"<полный путь к оригинальному файлу троянца>" =
"<полный путь к оригинальному файлу троянца>:*:Enabled:ipsec" - Отключает брандмауэр Windows:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = "1"
"DoNotAllowExceptions" = "0"
"EnableFirewall" = "0" - Отключает запуск ОС в безопасном режиме, удаляя все параметры ключей реестра:
[HKLM\System\CurrentControlSet\Control\SafeBoot]
[HKCU\System\CurrentControlSet\Control\SafeBoot] - Удаляет файлы с расширениями "exe" и "rar" из временного каталога текущего пользователя Windows:
%Temp%
- Создает ключи реестра, в которых сохраняет свою служебную информацию:
[HKCU\Software\Abfx\-1001785200]
"1953719668"=dword:00000079
"-387527960"=dword:00000000
"1566191708"=dword:00000000
"-775055920"=dword:00000023
"1178663748"=dword:00000183
"-1162583880"="0A00687474703A2F2F63696B6D61796564656B7061
7263612E636F6D2F696D616765732F6C6F676F732E67696600687474
703A2F2F6272756365676172726F642E636F6D2F696D616765732F6C
6F676F732E67696600687474703A2F2F6362626173696D6576692E63
6F6D2F696D616765732F6C6F676F732E67696600687474703A2F2F62
72616E64616F656D61746F732E636F6D2E62722F696D616765732F6C
6F676F692E67696600687474703A2F2F6361676C617274656B6E696B
2E636F6D2F6C6F676F732E67696600687474703A2F2F626861726174
6973616E676C692E696E2F6C6F676F692E67696600687474703A2F2F
636163732E6F72672E62722F6E6F766F736974652F6C6F676F732E67
696600687474703A2F2F62757461636D2E676F2E726F2F6C6F676F73
2E67696600687474703A2F2F626F7961626174656D6C2E6B31322E74
722F696D616765732F6C6F676F732E67696600687474703A2F2F6361
73627967726F75702E636F6D2F696D616765732F6C6F676F732E6769
66"
"791135788"="8D047AF7229C9B8962BA0482D99D368E2F27DA435BE
2A7386A33EDC80BF5E291731E9D01A5491DAF960D9F12BEF04EC659
3B061C5B93136EC6BFEC34C08A20B0C1FA17DCC2BD245ECA59601A
83B2A1E4EA6D8C1E0D407E7C34901CE485312CA99533EF94DBD09B
AC13BC887C7B5FA8BD183F0B60FDAC439D9A828FBE91ABBD7D"
[HKCU\Software\<имя_пользвателя>914] - Устанавливает флаг заражения компьютера в виде записи в системном файле:
%WinDir%\system.ini
добавляет в него следующие строки:[MCIDRV_VER]
Где <rnd2> - случайное число.
DEVICEMB=<rnd2> - Извлекает из своего тела файл:
%System%\drivers\fljojo.sys
Данный файл имеет размер 5157 байт и детектируется антивирусом Касперского как Trojan.Win32.KillAV.ftk.Для запуска на исполнение извлеченного файла создает службу с именем "amsint32":
amsint32
После запуска на исполнение файл удаляется.Извлеченный файл предназначен для блокировки Интернет ресурсов, содержащих следующие строки:
upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky - Останавливает и удаляет службы со следующими именами:
AVP
Agnitum Client Security Service
ALG
Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4 Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
MpsSvc
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
wscsvc
XCOMM - Загружает файлы со следующих URL:
http://cik***ekparca.com/images/logos.gif<rnd3>=<rnd4>
Где <rnd3> - случайная цифробуквенная последовательность, <rnd4> – случайная цифровая последовательность.
http://br***arrod.com/images/logos.gif<rnd3>=<rnd4>
http://cb***mevi.com/images/logos.gif<rnd3>=<rnd4>
http://br***aoematos.com.br/images/logoi.gif<rnd3>=<rnd4>
http://ca***teknik.com/logos.gif<rnd3>=<rnd4>
http://bh***angli.in/logoi.gif<rnd3>=<rnd4>
http://ca***rg.br/novosite/logos.gif<rnd3>=<rnd4>
http://bu***m.go.ro/logos.gif<rnd3>=<rnd4>
http://bo***eml.k12.tr/images/logos.gif<rnd3>=<rnd4>
http://cas***oup.com/images/logos.gif<rnd3>=<rnd4>Сохраняет загруженные файлы во временном каталоге текущего пользователя Windows со случайными именами:
%Temp%\win<rnd5>.exe
Где <rnd5> – 4 случайные латинские буквы. После успешного сохранения файлы запускаются на исполнение.На момент создания описания ссылки не работали.
- Завершает процессы с именами:
AVPM.
A2GUARD
A2CMD.
A2SERVICE.
A2FREE
AVAST
ADVCHK.
AGB.
AKRNL.
AHPROCMONSERVER.
AIRDEFENSE
ALERTSVC
AVIRA
AMON.
TROJAN.
AVZ.
ANTIVIR
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ASWSCAN
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVEVAL.
AVEVL32.
AVGAM
AVGCC.AVGCHSVX.
AVGCSRVX.
AVGNSX.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVCENTER
AVGNTMGR
AVGSERV.
AVGTRAY.
AVGUARD.
AVGUPSVC.
AVGWDSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVAST
AVSERVER.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR
AVXQUAR.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
BITDEFENDER
CCEVTMGR.
CFP.
CFPCONFIG.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CUREIT
DEFWATCH.
DRVIRUS.
DRWADINS.
DRWEB
DEFENDERDAEMON
DWEBLLIO
DWEBIO
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FILEMON
FIREWALL
FORTICLIENT
FORTITRAY.
FORTISCAN
FPAVSERVER.
FPROTTRAY.
FPWIN.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWARE
GUARDGUI.
GUARDNT.
GUARDXSERVICE.
GUARDXKICKOFF.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IPTRAY.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
KAVSTIOMON98.
ISAFE.
ISATRAY.
KAV.
KAVMM.
KAVPF.
KAVPFW.
ART.
KAVSVC.
KAVSVCUI.
KMAILMON.
MAMUTU
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTOS.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST
ONLINENT.
OPSSVC.
OP_MON.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PESTPATROL
PNMSRV.
PREVSRV.
PREVX
PSIMSVC.
QUHLPSVC.
QHONLINE.
QHONSVC.
QHWSCSVC.
QHSET.
RFWMAIN.
RTVSCAN.
RTVSCN95.
SALITY
SAPISSVC.
SCANWSCS.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SDRA64.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
TMLISTEN.
TMNTSRV.
TMPROXY.
TNBUTIL.
TRJSCAN.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCRMON.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBSCANX.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZLCLIENT
ZONEALARM - Выполняет поиск и удаление файлов с расширениями "drw", ".VDB", ".AVC".
Ученые доказали: чтение нашего канала продлевает жизнь!
Ладно, не доказали. Но мы работаем над этим