Главная » Статьи » О Безоапсности |
Технические деталиСетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX. ИнсталляцияЧервь копирует свой исполняемый файл в системный каталог Windows со случайным именем вида: %System%\<rnd>.dll, где <rnd> - случайная последовательность символов. Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра: [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
Также червь изменяет значение следующего ключа реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "<оригинальное значение> %System%\<rnd>.dll"
Распространение по сетиПри заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры. Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине. Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:
Распространение при помощи сменных носителейЧервь копирует свой исполняемый файл на все съемные диски со следующим именем: <X>:\RECYCLER\S-5-3-42-2819952290-8240758988 Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл: <X>:\autorun.inf
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Деструктивная активностьПри запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:
Также червь скачивает файл по следующей ссылке: http://trafficconverter.biz/*****/antispyware/load
Скачанный файл сохраняется в системный каталог Windows (%System%) с оригинальным именем и запускается на выполнение. На момент создания описания указанная ссылка не работала. Также червь может скачивать файлы по ссылкам вида: http://<URL>/search?q=<%rnd2%>
где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов: http://www.w3.org
http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами. Рекомендации по удалению
Источник: http://www.securelist.com/ru/viruses/ | |||
Просмотров: 909 | | |
Всего комментариев: 0 | |