Descrição |
Enquanto infectando o sistema host:
- Quando o malware é executado pela primeira vez, ele procura
% system32% wmicuclt.exe e% system32% wscript.exe
. Quando encontrado, ele infectará os arquivos originais, adicionando parte de malware na última seção do arquivo (veja o método de infecção abaixo);
- Cria o serviço "Remote Access Connection Service" em
HKLMSystemControlSetServices (bem como outros ControlSets).
A string "ImagePath" apontará para o arquivo infectado em% system32% wmicuclt.exe;
- Cria um novo valor em HKLMSystemSelect. O nome do valor pode ser "rtm" ou "v". O HKLMSystemSelect é usado pelo sistema operacional Windows para armazenar informações de inicialização. O carregador do sistema operacional lê a configuração de inicialização Atual / Padrão / com falha / LastKnownGood ao carregar o sistema operacional. O malware usa a chave de registro para armazenar a si mesmo ou dados específicos de vírus neste local;
- Injeta o código em
SVCHOST.EXE, LSASS.EXE
- Evita infectar as seguintes pastas:
"Windows", "winnt", "s", "qq", "Outlook", "Informações de volume do sistema", "Recycler", "InternetExplorer", "Messenger", "Arquivos comuns"
- Procura parâmetros de acesso WOW64, SQSh, Srh, se instalados no sistema host;
- Se uma sessão remota for detectada (no host infectado), ela tentará acessar a unidade remota executando o comando do cliente do Windows " tsclient $ c" e infectará os arquivos * .exe. Como resultado, o host de conexão também será infectado;
- Infecta arquivos no host remoto
"Admin $" system32wmicuclt.exe, "Admin $" system32wscript.exe
- Mapas de unidades remotas via remotehostipc $
URL remoto:
- O worm pode se conectar a URLs contendo as substrings "ppift", "ppns" em um nome de site;
Quando infecta os arquivos, ele faz o seguinte:
- Ele procura por pastas compartilhadas no computador infectado e infecta todos os arquivos * .exe encontrados;
- Se o acesso a uma pasta compartilhada exigir credenciais de usuário, ele tentará forçar as contas e senhas do usuário. Estas são apenas algumas variantes:
"Admin" / "678", "admin" / "1qaz2wsx", "usuário" / "1", "teste" / "1", "teste" / "321"
e outras combinações de senhas simples para contas ou senhas, como
"1234", "56", "qwert", "letmein", "segredo", "rockyou", "iloveyou", "raiz", "super", "princesa", "alfa", "Patrick", "temp", "P @ ssW0rd"
. e muitas outras palavras de zumbido;
- Quando infecta um arquivo, ele se anexa ao final do arquivo host original, até a última seção do arquivo. Ele modifica o cabeçalho do arquivo, escrevendo a palavra-chave "PPIF" no deslocamento 0x28h do início do arquivo;
- O novo arquivo é 47.872 bytes maior que o original.
Como desativa aplicativos antivírus
- Quando executado no host infectado, ele procura por processos com as seguintes palavras no nome do processo:
"F-Secure", "IKARUS-GuardX", "360SD", "360Tray", "WP", "ShStatEx", "Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui", "G Data Antivirus", "BitDefender AntiVirus","Trende Micro Client Framework", "kxesc", "avgnt", "RAvTray", "DWIN";
- Quando encontrado, ele procurará uma entrada do registro, a excluirá e reinicializará o sistema imediatamente. Após a reinicialização, o sistema não poderá iniciar o produto antivírus porque não há entrada de serviço.
|