Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 89600 байт. Написана на C++.
Если имя червя отличалось от "gpl.exe", тогда создает каталоги с атрибутами "скрытый" и "системный" в корневом каталоге системного диска:
<X>:\RECYCLER\S-1-5-21-<rnd>Где <X> - буква системного диска, <rnd> - случайный набор из 33-х цифр, например "2417154109-8600854677-216712865-6223" или "0397941677-0106684583-388380175-2763".
В созданном каталоге создает свою копию с именем "gpl.exe":
<X>:\RECYCLER\S-1-5-21-<rnd>\gpl.exeа также файл с именем "Desktop.ini":
<X>:\RECYCLER\S-1-5-21-<rnd>\Desktop.iniДанный файл имеет размер 63 байта и содержит следующие строки:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Вредоносная программа завершает свое выполнение при выполнении хоть одного из следующих условий:
[HKCU\Keyboard Layout\Substitutes]
USERNAME
user
COMPUTERNAME
CurrentUser
COMPUTERNAME
user
SbieDll.dll
dbghelp.dll
C:\file.exe
Если имя червя было "winusb.exe", тогда он открывает текущий каталог при помощи программы "Проводник" Windows.
Далее в бесконечном цикле червь ищет процесс с именем "explorer.exe", при нахождении данного процесса внедряет в него вредоносный код.
Вредоносный код выполняет следующие действия:
i77dkf_765jf_ff
Mozilla Firefox
Internet Explorer
Opera
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"microsoft corporation" = "<X>:\RECYCLER\S-1-5-21-<rnd>\gpl.exe"
<X2>:\winusb.exeГде <X2> - буква сетевого или съемного диска. Также помещает в корень диска сопровождающий файл: <X2>:\autorun.inf который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Crack.exeкаталоги обмена файлами P2P-сетей получает анализируя параметры ключей системного реестра:
Keygen.exe
[HKCU\Software\BearShare\General Software\iMesh\General]
[HKCU\Software\Shareaza\Shareaza\Downloads]
[HKCU\Software\Kazaa\LocalContent]
[HKCU\Software\DC++]
[HKCU\Software\eMule]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1]
gpl0***mon.org
gpl0***inip.es
irc.ek***edia.com
Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:
%Temp%\<rnd2>.exeГде <rnd2> - случайное число.
Имеет возможность сохранять загруженные файлы в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине а также в каталоги:
%ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared FolderПо команде злоумышленника также возможна подмена файла "hosts":
%PROGRAM FILES%\LimeWire\LimeWire.propsr
%System%\etc\hostsНа момент создания описания никаких команд с серверов злоумышленника не приходило.
Но доступ к знаниям открыт для всех