Worm.Win32. AutoRun.bghn

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 48092 байта. Упакован Upack. Распакованный размер – около 201 КБ. Написан на Delphi.

Инсталляция

После запуска червь выполняет следующие действия:

• копирует свое тело в файл:

  %Program Files%\Common Files\SysLive.exe

• Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
  "SysLive" = "%Program Files%\Common Files\SysLive.exe"
  

• Изменяет значение ключа системного реестра:
  [HKLM\System\CurrentControlSet\Services\SharedAccess\
  Parameters\FirewallPolicy\StandardProfile]
  "EnableFirewall" = "0"
  Это приводит к отключению системного брандмауэра.
• Добавляет свой процесс в список доверенных приложений брандмауэра Windows, создавая для этого следующий ключ системного реестра:
  [HKLM\System\CurrentControlSet\Services\SharedAccess\
  Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
  "%Program Files%\Common Files\SysLive.exe" =
  "%Program Files%\Common Files\SysLive.exe:*
  :Enabled:@xpsp2res.dll,-22019"
• Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c erase /F "<полный путь к оригинальному файлу червя>" > nul

После этого червь запускает файл "%Program Files%\Common Files\SysLive.exe" и завершает свою работу.

Распространение

Червь запускает экземпляр процесса "SVCHOST.EXE" и внедряет в его адресное пространство исполняемый код, реализующий функционал распространения.

Червь копируется на все доступные для записи логические и съемные диски под следующим именем:

SysLive.exe

Вместе с исполняемым файлом червя помещается файл:

<имя зараженного раздела>:\autorun.inf

следующего содержания:

[AutoRun]
Open=SysLive.exe
Shell\Open=+ª¬ê(&O)
Shell\Open\Command=SysLive.exe
Shell\Open\Default=1
Shell\Explore=+¦L+¦-Lý¦¢(&X)
Shell\Explore\Command=SysLive.exe

Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваивается атрибут "скрытый" (hidden).

name="doc3">

Деструктивная активность

После запуска червь выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе как

  %USERPROFILE%\<rnd_1>.drv

  (17408 байт; детектируется Антивирусом Касперского как "Worm.Win32.Abuse.dy")

  %Temp%\~<rnd_2>.tmp

  (8256 байт; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.kvs")
  где <rnd_1> и <rnd_2> – случайные последовательности латинских букв (например: "omawx" и "cigqou").
• Запускает системную утилиту "rundll32.exe" со следующими параметрами:

  "%USERPROFILE%\<rnd_1>.drv",MyLove

  Таким образом, из ранее извлеченной библиотеки "%USERPROFILE%\<rnd_1>.drv" вызывается функция "MyLove".
• Создает и запускает в системе службу с именем "<rnd_2>", бинарным файлом которой является извлеченный ранее файл:

  %Temp%\~<rnd_2>.tmp

• Запускает браузер Internet Explorer и внедряет в адресное пространство его процесса (IEXPLORE.EXE) исполняемый код, реализующий загрузку файлов со следующих хостов:

  x.2***wn.com
  a.2***wn.com
  

  Загруженные файлы сохраняются в каталоге "%Program Files%" и после успешной загрузки запускаются на выполнение. На момент создания описания были загружены следующие файлы:

  %Program Files%\msn.exe

  (173848 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.AdMedia.ed")

  %Program Files%\fhie.exe

  (171747 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.Iebar.aa")
• Отправляет в POST-запросе на адрес:

  www.tj***d.com/ax/Count.asp

  следующую информацию о системе:
  • версия Windows;
  • имя компьютера;
  • физический адрес активного сетевого адаптера.