IM-Worm.Win32.Sohanad

Дата обнаружения 20/06/2012
Класс IM-Worm
Платформа Win32
Описание

Программа — червь, создающая свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Размер скрипта составляет 28298 байт. Размер скомпилированного скрипта около — 1,02 МБ.

Инсталляция

Если червь запускается с правами администратора – выполняет следующий функционал:

  • Удаляет следующие файлы:
    
    
    
    %System%setup.ini
    
    
    
    %System%regsvr.exe
    
    
    
    %System%winhelp.exe
    
    
    
    %WinDir%regsvr.exe
    
    
    
    
  • Переименовывает файл:
    %System%rundll.exe

    в

    %System%delete.exe
  • Восстанавливает автозапуск «Проводника» перезаписав следующие значения в системный реестр:
    
    
    
    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
    
    
    
    "Shell" = "Explorer.exe"
  • Разблокирует запуск «Диспетчера задач» и «Редактора реестра» установив следующие значения в ключе системного реестра:
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    
    
    
    "DisableTaskMgr"=0
    
    
    
    "DisableRegistryTools"=0
    
    
    
    
  • Открывает пункт меню «Свoйcтва пaпки» в «Проводнике» и в «Панели инструментов», изменяя следующий ключ реестра:
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    
    
    
    "NofolderOptions" = 0
    
    
    
    
  • Останавливает выполнение запланированных в Windows задач, изменяя ключ реестра:
    
    
    
    [HKLMSystemCurrentControlSetServicesSchedule] 
    
    
    
    "AtTaskMaxHours" = 0
    
    
    
    
  • Отключает автозапуск приложения «Msn Messsenger», удаляя параметр «Msn Messsenger» из ключа реестра:
    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

Затем червь создает в системном каталоге скрытый каталог с именем «28463» и затем извлекает в него файлы со следующими именами:

System%28463svchost.exe

Данный файл имеет размер 525312 байт и детектируется антивирусом Касперского как not-a-virus:Monitor.Win32.Ardamax.te.

%System%28463svchost.001

Данный файл имеет размер 2800 байт и детектируется антивирусом Касперского как IM-Worm.Win32.Sohanad.it.

Также копирует себя под такими именами:




%System%regsvr.exe



%System%svchost.exe



%WinDir%regsvr.exe



Всем своим копиям устанавливает атрибуты «Только на чтение», «Скрытый», «Системный». Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:




[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]



"Msn Messsenger"="C:Windowssystem32regsvr.exe"



[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]



"Shell" = "Explorer.exe regsvr.exe "



Если червь запускается, не имея прав администратора – создает каталог с именем




%Documents and Settings%%Current User%Application Data



support

создает в нем копию своего исполняемого файла с именем:

%Documents and Settings%%Current User%Application Datasupportregsvr.exe

Также вредонос извлекает в данный каталог файлы:

%Documents and Settings%%Current User%



Application Datasupportsvchost.exe



%Documents and Settings%%Current User%Application Datasupportsvchost.001



и запускает файл «svchost.exe» на выполнение.

Например IM-Worm.Win32.Sohanad.qi:

После запуска червь выполняет следующие действия:

  • изменяет значения ключей системного реестра:
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    
    "DisableTaskMgr" = "0"
    
    "DisableRegistryTools" = "1"
    
    

    Это приводит к отключению системного редактора реестра.

    
    [HKLMSystemCurrentControlSetServicesSchedule]
    
    "AtTaskMaxHours" = "0"
    
    

    Таким образом, останавливается выполнение всех запланированных системным планировщиком задач.

    
    [HKCUSoftwareMicrosoftWindowsCurrentVersion
    
    Internet Settings]
    
    "GlobalUserOffline" = "0"
    
    

    Таким образом, установленный в системе по умолчанию браузер будет всегда запускаться в режиме «on-line».

  • Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
    %System%dotnetfx.dll

    (16384 байта; MD5: 5C9F26E1C4C352C6D9CF97CEA3D01433, SHA1:

    10DE2FFB4B8859AE6BC8C457FB226117ECE9938B)

    %System%28463svchost.exe

    (525312 байт; детектируется Антивирусом Касперского как «not-a-virus:Monitor.Win32.Ardamax.te»)

    Данная программа предназначена для наблюдения за активностью пользователя на зараженном компьютере. В зависимости от установленных настроек, программа позволяет осуществлять следующие действия:

    • вести лог нажатых пользователем клавиш клавиатуры;
    • вести лог чатов при использовании пользователем некоторых программ обмена мгновенными сообщениями;
    • вести лог буфера обмена;
    • сохранять скриншоты активного окна или всего экрана;
    • вести лог посещаемых Интернет-ресурсов;

      Вся собранная информация отправляется злоумышленнику.

    %System%28463svchost.001

    (2800 байт; детектируется Антивирусом Касперского как «IM-Worm.Win32.Sohanad.it»)

    %System%28463svchost.002

    (8418 байт)

  • Запускает системную утилиту «rundll32.exe» со следующими параметрами:
    dotnetfx.dll,repair

    Таким образом, из ранее извлеченной библиотеки вызывается функция «repair».

  • Запускает на выполнение извлеченный ранее файл «svchost.exe».
  • Записывает в файл:
    
    %System%setup.ini
    
    

    (96 байт; детектируется Антивирусом Касперского как «Trojan.Win32.AutoRun.ke») команды автозапуска файла «regsvr.exe»:

    
    [Autorun]
    
    Open=regsvr.exe
    
    Shellexecute=regsvr.exe
    
    ShellOpencommand=regsvr.exe
    
    Shell=Open
    
    
  • Загружает с одного из хостов:
    
    87.***.122
    
    69.***.65
    
    

    файл инициализации, который сохраняется как

    %System%setting.ini

    На момент создания описания файл не загружался.

    Загружаемый файл содержит ссылки для загрузки на зараженный компьютер других вредоносных программ. По полученным ссылкам вредонос осуществляет загрузку с последующим запуском загруженных файлов на выполнение.