Методы обнаружения вирусов

Net-Worm.Win32.Kolab.ylu

Время детектирования 13 апр 2011 12:20 MSK
Время выпуска обновления 13 апр 2011 18:27 MSK
Описание опубликовано 01 фев 2012 18:20 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Сетевой червь, создает свои копии на съемных дисках, а также загружает и устанавливает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-DLL файл). Имеет размер 60928 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 136 Кб. Написана на C++.

Инсталляция

Копирует свое тело во временный каталог текущего пользователя под именем: <>%Temp%\srv<rnd1>.tmp где <rnd1> - случайный набор из цифр и букв латинского алфавита, например "7E4" или "1E8".

Для автоматического запуска созданной копии червя при каждом следующем старте системы создается служба, за которую отвечает ключ системного реестра:

[HKLM\System\CurrentControlSet\Services\srv<rnd1>]
В отдельном потоке червь непрерывно восстанавливает запись о своей службе в системном реестре. Для работы в безопасном режиме, червь создает следующую запись в системном реестре:
[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\srv<rnd1>]
"(default)"="service"

Распространение

Червь имеет следующие механизмы распространения:

  • Распространяется по сети зараженного компьютера, используя уязвимость MS08-067.
  • Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру:
    <имя зараженного диска>:\setup50045.fon
    Также создаются файлы:
    <имя зараженного диска>:\myporno.avi.lnk
    <имя зараженного диска>:\pornmovs.lnk
    <имя зараженного диска>:\setup50045.lnk
    
    Которые предназначены для запуска червя.

    Вместе со своей копией червь помещает в корневой каталог зараженного диска файл:

    <имя зараженного диска>:\autorun.inf
    следующего содержания:
    [AUTORuN]
    acTiON=opEN
    eixrgvyqxnqvgomwivn=trppqscjmhqpcfp
    ICoN=%wInDir%\SySTEm32\shELl32.Dll,4
    oxvgyrdxbiqedrfhcvnhxcnsrimepigtwgheh=givscvssyxxapiicclucwk
    USeAUtOplAy=1
    txdkjbh=yfmnbyowpigsbnaxqfhqmeqe
    OpeN=RunDLl32.exE SetuP50045.foN,9D025
    ekrvkkwgfucivppdrtavoe=lacmlkuxqkcfyuqipufgse
    sHell\ExPlORe\command=ruNDLl32.eXe SETuP50045.foN,9D025
    ltuqtafivakqjmxfadfopw=mqdcyvbgpwdguytatvrk
    SHell\OpeN\cOMMaND=rUNDlL32.EXe SEtUP50045.FOn,9d025
    jbdodnvlwdeqo=trirjdmlfttsdtiicwfbtvcx
    
    Данный файл обеспечивает червю возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" и "системный".


Деструктивная активность

Червь выполняет внедрение своего кода в системный процесс:

spoolsv.exe
Отвечающий за работу службы:
spooler
После чего в разных потоках выполняет инсталляцию и распространение. Свои настройки червь хранит в следующем файле:
%Temp%\srv<rnd1>.ini
Который содержит следующие строки:
[main]
source=1
affid=50045
id=bbbbbbbbbbbb<ID>
server=http://195.**.***.136/
downloaded=1
где <ID> - значение параметра "MachineGuid" в ключе системного реестра:
[HKLM\Software\Microsoft\Cryptography]
Червь обращается по следующему URL адресу:
http://195.***.***.138/service/listener.php?affid=50045
И выполняет загрузку стороннего программного обеспечения, по следующему URL адресу:
http://195.***.***.139/service/scripts/files/aff_50045.dll
На момент создания описания загружались различные модификации вредоносов семейства Trojan-Dropper.Win32.TDSS.

Загруженный файл сохраняется во временном каталоге текущего пользователя:

%Temp%\<rnd2>.tmp
где <rnd2> - случайный набор из цифр и букв латинского алфавита. Затем червь запускает на выполнение загруженный файл.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Остановить службу:
    spooler
    для этого нужно выполнить следующую команду:
    sc stop spooler
  2. Удалить ключи системного реестра (как работать с реестром?):
    [HKLM\System\CurrentControlSet\Services\srv<rnd1>]
    
    [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\srv<rnd1>]
    
  3. Удалить файлы:
    %Temp%\srv<rnd1>.tmp
    %Temp%\srv<rnd1>.ini
    <имя зараженного диска>:\setup50045.fon
    <имя зараженного диска>:\myporno.avi.lnk
    <имя зараженного диска>:\pornmovs.lnk
    <имя зараженного диска>:\setup50045.lnk
    <имя зараженного диска>:\autorun.inf
    %Temp%\<rnd2>.tmp
    
  4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web