Detect date
20/06/2012
Класс
IM-Worm
Платформа
Win32

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: IM-Worm

Размножаются по каналам систем мгновенного обмена сообщениями (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). Для этих целей черви, как правило, рассылают по списку контактов сообщения, содержащие ссылку (URL) на файл с телом червя, расположенного на каком-либо сетевом ресурсе. Этот прием практически полностью повторяет аналогичный способ рассылки, используемый почтовыми червями.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Программа - червь, создающая свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Размер скрипта составляет 28298 байт. Размер скомпилированного скрипта около - 1,02 МБ.

Инсталляция

Если червь запускается с правами администратора – выполняет следующий функционал:

  • Удаляет следующие файлы:
    
    
    
    %System%setup.ini
    
    
    
    %System%regsvr.exe
    
    
    
    %System%winhelp.exe
    
    
    
    %WinDir%regsvr.exe
    
    
    
    
  • Переименовывает файл:
    %System%rundll.exe
    в
    %System%delete.exe
  • Восстанавливает автозапуск "Проводника" перезаписав следующие значения в системный реестр:
    
    
    
    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
    
    
    
    "Shell" = "Explorer.exe"
  • Разблокирует запуск "Диспетчера задач" и "Редактора реестра" установив следующие значения в ключе системного реестра:
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    
    
    
    "DisableTaskMgr"=0
    
    
    
    "DisableRegistryTools"=0
    
    
    
    
  • Открывает пункт меню "Свoйcтва пaпки" в "Проводнике" и в "Панели инструментов", изменяя следующий ключ реестра:
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    
    
    
    "NofolderOptions" = 0
    
    
    
    
  • Останавливает выполнение запланированных в Windows задач, изменяя ключ реестра:
    
    
    
    [HKLMSystemCurrentControlSetServicesSchedule] 
    
    
    
    "AtTaskMaxHours" = 0
    
    
    
    
  • Отключает автозапуск приложения "Msn Messsenger", удаляя параметр "Msn Messsenger" из ключа реестра:
    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
Затем червь создает в системном каталоге скрытый каталог с именем "28463" и затем извлекает в него файлы со следующими именами:
System%28463svchost.exe
Данный файл имеет размер 525312 байт и детектируется антивирусом Касперского как not-a-virus:Monitor.Win32.Ardamax.te.
%System%28463svchost.001
Данный файл имеет размер 2800 байт и детектируется антивирусом Касперского как IM-Worm.Win32.Sohanad.it.

Также копирует себя под такими именами:




%System%regsvr.exe



%System%svchost.exe



%WinDir%regsvr.exe



Всем своим копиям устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:



[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]



"Msn Messsenger"="C:Windowssystem32regsvr.exe"



[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]



"Shell" = "Explorer.exe regsvr.exe "



Если червь запускается, не имея прав администратора – создает каталог с именем



%Documents and Settings%%Current User%Application Data



support
создает в нем копию своего исполняемого файла с именем:
%Documents and Settings%%Current User%Application Datasupportregsvr.exe
Также вредонос извлекает в данный каталог файлы:
%Documents and Settings%%Current User%



Application Datasupportsvchost.exe



%Documents and Settings%%Current User%Application Datasupportsvchost.001



и запускает файл "svchost.exe" на выполнение.

Например IM-Worm.Win32.Sohanad.qi:

После запуска червь выполняет следующие действия:

  • изменяет значения ключей системного реестра:
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    
    "DisableTaskMgr" = "0"
    
    "DisableRegistryTools" = "1"
    
    
    Это приводит к отключению системного редактора реестра.
    
    [HKLMSystemCurrentControlSetServicesSchedule]
    
    "AtTaskMaxHours" = "0"
    
    
    Таким образом, останавливается выполнение всех запланированных системным планировщиком задач.
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersion
    
    Internet Settings]
    
    "GlobalUserOffline" = "0"
    
    
    Таким образом, установленный в системе по умолчанию браузер будет всегда запускаться в режиме "on-line".
  • Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
    %System%dotnetfx.dll
    (16384 байта; MD5: 5C9F26E1C4C352C6D9CF97CEA3D01433, SHA1: 10DE2FFB4B8859AE6BC8C457FB226117ECE9938B)
    %System%28463svchost.exe
    (525312 байт; детектируется Антивирусом Касперского как "not-a-virus:Monitor.Win32.Ardamax.te")

    Данная программа предназначена для наблюдения за активностью пользователя на зараженном компьютере. В зависимости от установленных настроек, программа позволяет осуществлять следующие действия:

    • вести лог нажатых пользователем клавиш клавиатуры;
    • вести лог чатов при использовании пользователем некоторых программ обмена мгновенными сообщениями;
    • вести лог буфера обмена;
    • сохранять скриншоты активного окна или всего экрана;
    • вести лог посещаемых Интернет-ресурсов; Вся собранная информация отправляется злоумышленнику.
    %System%28463svchost.001
    (2800 байт; детектируется Антивирусом Касперского как "IM-Worm.Win32.Sohanad.it")
    %System%28463svchost.002
    (8418 байт)
  • Запускает системную утилиту "rundll32.exe" со следующими параметрами:
    dotnetfx.dll,repair
    Таким образом, из ранее извлеченной библиотеки вызывается функция "repair".
  • Запускает на выполнение извлеченный ранее файл "svchost.exe".
  • Записывает в файл:
    
    %System%setup.ini
    
    
    (96 байт; детектируется Антивирусом Касперского как "Trojan.Win32.AutoRun.ke") команды автозапуска файла "regsvr.exe":
    
    [Autorun]
    
    Open=regsvr.exe
    
    Shellexecute=regsvr.exe
    
    ShellOpencommand=regsvr.exe
    
    Shell=Open
    
    
  • Загружает с одного из хостов:
    
    87.***.122
    
    69.***.65
    
    
    файл инициализации, который сохраняется как
    %System%setting.ini
    На момент создания описания файл не загружался.

    Загружаемый файл содержит ссылки для загрузки на зараженный компьютер других вредоносных программ. По полученным ссылкам вредонос осуществляет загрузку с последующим запуском загруженных файлов на выполнение.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.