Description |
En infectant le système hôte:
- Lorsque le logiciel malveillant s'exécute pour la première fois, il recherche
% system32% wmicuclt.exe et% system32% wscript.exe
. Une fois trouvé, il va infecter les fichiers originaux en ajoutant une partie de malware dans la dernière section de fichier (voir la méthode d'infection ci-dessous);
- Crée le service "Remote Access Connection Service" sous
HKLMSystemControlSetServices (ainsi que d'autres ControlSets).
La chaîne "ImagePath" pointera vers le fichier infecté dans% system32% wmicuclt.exe;
- Crée une nouvelle valeur sous HKLMSystemSelect. Le nom de la valeur peut être "rtm" ou "v". HKLMSystemSelect est utilisé par Windows OS pour stocker les informations de démarrage. Le chargeur de système d'exploitation lit la configuration de démarrage Current / Default / failed / LastKnownGood lors du chargement du système d'exploitation. Le logiciel malveillant utilise la clé de registre pour se stocker lui-même ou des données spécifiques de virus à cet emplacement;
- Injecte le code dans
SVCHOST.EXE, LSASS.EXE
- Évite d'infecter les dossiers suivants:
"Windows", "winnt", "s", "qq", "Outlook", "Informations sur le volume système",
"Recycler", "InternetExplorer", "Messenger",
"Fichiers communs"
- Recherche les paramètres d'accès WOW64, SQSh, Srh s'ils sont installés sur le système hôte;
- Si une session distante est détectée (vers l'hôte infecté), elle tentera d'accéder au lecteur distant en exécutant la commande client Windows " tsclient $ c" et infectera les fichiers * .exe. En conséquence, l'hôte de connexion sera également infecté;
- Infecte les fichiers sur l'hôte distant
"Admin $" system32wmicuclt.exe,
"Admin $" system32wscript.exe
- Mappe les lecteurs distants via remotehostipc $
URL distante:
- Le ver peut se connecter aux URL contenant les sous-chaînes "ppift", "ppns" dans un nom de site Web;
Quand il infecte les fichiers, il fait ce qui suit:
- Il recherche les dossiers partagés sur l'ordinateur infecté et infecte tous les fichiers * .exe qu'il trouve;
- Si l'accès à un dossier partagé nécessite des informations d'identification, il tente de forcer les comptes d'utilisateur et les mots de passe. Ce ne sont que quelques variantes:
"Admin" / "678", "admin" / "1qaz2wsx", "utilisateur" / "1", "test" / "1",
"test" / "321"
et d'autres combinaisons de mots de passe simples pour les comptes ou les mots de passe tels que
"1234", "56", "qwert", "letmein", "secret", "rockyou", "iloveyou",
"root", "super", "princesse", "alpha", "Patrick", "temp",
"P @ ssW0rd"
. et beaucoup d'autres mots à la mode;
- Quand il infecte un fichier, il s'ajoute à la fin du fichier hôte d'origine, à la dernière section du fichier. Il modifie l'en-tête du fichier en écrivant le mot-clé "PPIF" au décalage 0x28h à partir du début du fichier;
- Le nouveau fichier a une taille de 47 872 octets supérieure à l'original.
Comment cela désactive les applications AV
- Lorsqu'il est exécuté sur l'hôte infecté, il recherche les processus avec les mots suivants dans le nom du processus:
"F-Secure", "IKARUS-GuardX", "360sd", "360Tray", "WP", "ShStatEx",
"Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui",
"G Data Antivirus", "BitDefender AntiVirus",
"Trende Micro Client Framework", "kxesc", "avgnt",
"RAvTray", "DWIN";
- Une fois trouvée, elle recherchera une entrée de registre, la supprimera et redémarrera le système immédiatement. Après le redémarrage, le système ne pourra pas démarrer le produit AV car il n'y a pas d'entrée de service.
|