Trojan.Win32. VB.uzo

Червь, предоставляющий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 94208 байт. Написан на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в файл:

c:\KALBA\MAAFENA\LAXOURY.exe

Также создается файл:

C:\KALBA\MAAFENA\desKtOp.InI

содержащий строки:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:

[HKLM\Software\Microsoft\Active Setup\Installed Components\
{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}]
"StubPath" = "c:\KALBA\MAAFENA\LAXOURY.exe"

Распространение

Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:

<имя зараженного раздела>:\KALBA\MAAFENA\LAXOURY.exe

Вместе со своим исполняемым файлом червь помещает файлы:

<имя зараженного раздела>:\KALBA\MAAFENA\desKtOp.InI
<имя зараженного раздела>:\autorun.inf

что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system). Кроме того, червь способен распространяться при помощи программ обмена мгновенными сообщениями:

Skype
MSN Messenger

name="doc3">

Деструктивная активность

Весь деструктивный функционал вредоноса осуществляется исполняемым кодом, внедряемым в адресное пространство процесса "EXPLORER.EXE". Внедренный код выполняет следующие действия:

• в бесконечном цикле создает ключ системного реестра:

  [HKLM\Software\Microsoft\Active Setup\Installed Components\
  {12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}]
  "StubPath" = "c:\KALBA\MAAFENA\LAXOURY.exe"
  

• Загружает из сети Интернет файлы по следующим ссылкам:

  http://www.sit***alace.com/gamil/Safer12.jpeg

  (На момент создания описания загружался файл размером 135681 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Ruskill.p")

  http://www.sit***alace.com/gamil/lokiB.jpeg

  (На момент создания описания загружался файл размером 169985 байт; детектируется эвристиком Антивируса Касперского как "HEUR:Trojan.Win32.Generic") Загруженные файлы сохраняются в системе как

  %USERPROFILE%\<rnd>.exe

  где <rnd> – случайное имя (например: "H8F4D9~1.EXE"). После успешной загрузки файлы запускаются на выполнение.
• Блокирует доступ к веб-ресурсам, содержащим в своих именах следующие подстроки:

  webroot.    
  fortinet.   
  virusbuster.
  nprotect.   
  gdatasoftware.  
  virus.  
  precisesecurity.    
  lavasoft.   
  heck.tc 
  emsisoft.   
  onlinemalwarescanner.   
  onecare.live.   
  f-secure.   
  bullguard.  
  clamav. 
  pandasecurity.  
  sophos. 
  malwarebytes.   
  sunbeltsoftware.    
  norton. 
  norman. 
  mcafee. 
  symantec    
  comodo. 
  avast.  
  avira.  
  avg.    
  bitdefender.    
  eset.   
  kaspersky.  
  trendmicro. 
  iseclab.    
  virscan.    
  garyshood.  
  viruschief. 
  jotti.  
  threatexpert.   
  novirusthanks.  
  virustotal.
  

• Отслеживает исходящий сетевой трафик с целью похищения данных аутентификации пользователей следующих веб-ресурсов:

  OfficeBanking
  LogMeIn
  Megaupload
  FileServe
  Twitter
  AlertPay
  Moneybookers
  Runescape
  DynDNS
  NoIP
  Steam
  Hackforums
  Facebook
  Yahoo
  Live
  Gmail
  Fastmail
  BigString
  AOL
  YouTube
  PayPal
  

  Полученные данные могут быть отправлены на сервер злоумышленника.
• Для выполнения своего основного вредоносного функционала обращается к одному из командных центров, которые располагаются по следующим ссылкам:

  relax3.h***dark.biz     
  relax3.irc***ils.net    
  relax3.p***nc.cz
  

  На момент создания описания указанные IRC-сервера не работали. По получаемым с сервера злоумышленника командам червь может выполнять следующие действия:
  • загружать файлы по полученным ссылкам и запускать их;
  • распространяться, используя программы обмена мгновенными сообщениями;
  • проводить DoS-атаки на указанные злоумышленником сервера;
  • обновлять свой оригинальный файл.