Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл)
Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Размер тела вируса – 110592 байта. Написана на С++.
Для контроля уникальности своего процесса в системе вредонос создает уникальные идентификаторы с именами:
gazavat-svcГде <rnd1> - числовое значение от 1 до 100.
gazavat-svc_18
kkq-vx_mtx<rnd1>
Для автоматического запуска при каждой последующей загрузке Windows, вирус заражает исполняемые файлы, отвечающие за работу служб. После этого вирус заражает файлы:
.exeДля ".lnk" – заражаются бинарные файлы, соответствующие данному ярлыку. Заражение, в первую очередь, выполняется в следующих каталогах:
.lnk
%UserProfile%\Рабочий стол\Также заражение файлов выполняется на локальных, сетевых и съемных дисках.
%UserProfile%\Главное меню\Программы\
Для сокрытия своей работы удаляет файлы:
%UserProfile%\Cookies\Вредонос снижает уровень настроек безопасности браузера Internet Explorer, изменив настройки зон безопасности:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Таким образом, вирус отключает уведомления, изменяет доступ к данным при посещении веб-узлов и разрешает обновление строки состояния в сценариях. Для кражи паролей и учетных записей пользователя из программы FileZilla анализирует файл программы с именем "sitemanager.xml".
Zones\0]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\1]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\2]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\3]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\4]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
%AppData%\FileZilla\sitemanager.xmlСобирает информацию о сертификатах, находящихся в хранилище сертификатов компьютера пользователя.
Для похищения сохраненных паролей браузера Internet Explorer анализирует следующий ключ системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\IntelliForms\Для похищения данных об учетных записях программы Outlook Express анализирует данные в защищенном хранилище (Protected Storage). Похищенные данные вирус сохраняет в одном из следующих файлов в зашифрованном виде:
torage2]
%UserProfile%\Local Settings\Application Data\hahhajgb18.nlsЕсли на компьютере пользователя установлена программа Mozilla Firefox, то вирус создает расширение для этой программы, с помощью которого отправляет похищенные данные на следующие адреса:
%UserProfile%\Local Settings\Application Data\kf18lz32.dll
%UserProfile%\Local Settings\Application Data\wsr18zt32.dll
%UserProfile%\Local Settings\Application Data\dfl18z32.dll
gan***roup.netа также понижает настройки безопасности браузера, для чего создает файлы:
kevl***guard.ru
xra***gometer.org
karavja***akistan.net
vahha***yte.ru
ijmas***unschk.ru
lybi***izovernet.biz
fukushim***tom.ru
pash***ers600.ru
fair***ilpigz.biz
%AppData%\Mozilla\Firefox\Profiles\Файл имеет размер 307 байт.
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
%AppData%\Mozilla\Firefox\Profiles\Файл имеет размер 881 байт.
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf
%AppData%\Mozilla\Firefox\Profiles\Файл имеет размер 4152 байта.
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js
%AppData%\Mozilla\Firefox\Profiles\Файл имеет размер 8234 байта. Отправляет запрос вида:
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar
POST <URL> HTTP/1.1На один из следующих URL адресов, а также производных от этих адресов, которые вредонос генерирует автоматически:
User-Agent: Mozilla/4.1
(compatible; MSIE 18; <версия ОС>-
<серийный номер тома>.<локаль>.<ProductID>)
ca***ing.ccВ ответ в зашифрованном виде может получать другие вредоносные файлы, которые сохраняет во временный каталог браузера Internet Explorer:
vir***st.com
av***ck.ru
www.vi***est.com
www.a***eck.ru
gekta***omarenda.ru
a***eck.biz
ga***roup.com
ca***ing.cc
av***ck.ru
licens***olicy2012.ru
www.av***eck.biz
ganz***oup.in
ca***ing.cc
direct***nection.ws
ca***ing.cc
www.av***eck.biz
antivira***stlist.biz
lowlo***asting.ru
xver***ed.ru
www1.h***bc.ca
kgbre***club.ru
kido***ank.ru
sam***dka-ww3.ru
gron***anets.ru
%Temporary Internet Files%\Вирус может запускать их на исполнение или, проверяя дату создания файла, если она совпала с датой прописанной в вирусе, может сохранять файл под именем:
%\Documents and Settings%\All Users\Application Data\Где <u> - случайный набор цифр, например,"18_60447406" После сохранения подгружает библиотеку в свое адресное пространство и вызывает из нее функции "U" или "V". После использования удаляет библиотеку.
p<u>_<u>.dll
Лечим цифровую неграмотность без побочных эффектов