Kaspersky Threats

Дата обнаружения

13/04/2011

Класс

Платформа

Описание

Весь деструктивный функционал червя выполняется кодом, внедряемым в адресное пространство процесса “EXPLORER.EXE”. Деструктивных действий не выполняется при выполнении хотя бы одного из следующих условий:

отсутствует ветвь системного реестра:
```
[HKCUControl PanelPowerCfgPowerPolicies]
```
Имя учетной записи текущего пользователя:
```
USERNAME



user



COMPUTERNAME



CurrentUser
```
В адресное пространство червя подгружены библиотеки:
```
SbieDll.dll



dbghelp.dll



api_log.dll



dir_watch.dll



pstorec.dll
```
Оригинальный файл червя был сохранен в системе как
```
c:file.exe
```
После внедрения вредоносного кода процессом “EXPLORER.EXE” выполняются следующие действия:
для контроля уникальности процесса в системе создается уникальный идентификатор с именем:
```
sereirijtrrejirrrr
```
Для обеспечения доступа к зараженной системе создается именованный канал:
```
.piperrreokdirjiurururr
```
Устанавливается соединение с сервером злоумышленника:
```
di***ind.cn



ant***tition.com



fre***unge.com
```
По команде злоумышленника червь может выполнять на зараженном компьютере следующие действия:
- организация DoS-атак на указанные сервера;
- загрузка файлов по переданным ссылкам. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя “%Temp%” под случайными именами.
- Загрузка с сервера злоумышленника обновленной версии червя.
- Анализ файлов настроек браузеров:
```
Mozilla Firefox



Internet Explorer



Google Chrome



Opera
```
  с целью похищения сохраненных паролей.
- Похищение и модификация “cookie” браузера. Для этого червь использует встроенный в браузер Mozilla Firefox модуль “sqlite”.
- Действия, описанные в разделах “Инсталляция” и “Распространение”.
  Червь обменивается с сервером злоумышленника посредством сообщений следующего вида:
```
Scan stopped



Scan running



Scan started



KB data sent: <число>



SYN packets sent: <число>



Flood running



flood stopped: <строка>



flooding: <строка>



Drive infected: <строка>



USB spreader running



P2P Copy to: <строка>



MSN spreader running



MSN spread started, link: <строка>



MSN link sent
```
- По команде злоумышленника также возможна подмена файла “hosts”:
```
%System%driversetchosts
```

На момент создания описания сервер злоумышленника не отвечал.

Узнай статистику распространения угроз в твоем регионе

Дата обнаружения	13/04/2011
Класс	Net-Worm
Платформа	Win32
Описание	Весь деструктивный функционал червя выполняется кодом, внедряемым в адресное пространство процесса “EXPLORER.EXE”. Деструктивных действий не выполняется при выполнении хотя бы одного из следующих условий: отсутствует ветвь системного реестра: [HKCUControl PanelPowerCfgPowerPolicies] Имя учетной записи текущего пользователя: USERNAME user COMPUTERNAME CurrentUser В адресное пространство червя подгружены библиотеки: SbieDll.dll dbghelp.dll api_log.dll dir_watch.dll pstorec.dll Оригинальный файл червя был сохранен в системе как c:file.exe После внедрения вредоносного кода процессом “EXPLORER.EXE” выполняются следующие действия: для контроля уникальности процесса в системе создается уникальный идентификатор с именем: sereirijtrrejirrrr Для обеспечения доступа к зараженной системе создается именованный канал: .piperrreokdirjiurururr Устанавливается соединение с сервером злоумышленника: di*ind.cn anttition.com fre**unge.com По команде злоумышленника червь может выполнять на зараженном компьютере следующие действия: организация DoS-атак на указанные сервера; загрузка файлов по переданным ссылкам. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя “%Temp%” под случайными именами. Загрузка с сервера злоумышленника обновленной версии червя. Анализ файлов настроек браузеров: Mozilla Firefox Internet Explorer Google Chrome Opera с целью похищения сохраненных паролей. Похищение и модификация “cookie” браузера. Для этого червь использует встроенный в браузер Mozilla Firefox модуль “sqlite”. Действия, описанные в разделах “Инсталляция” и “Распространение”. Червь обменивается с сервером злоумышленника посредством сообщений следующего вида: Scan stopped Scan running Scan started KB data sent: <число> SYN packets sent: <число> Flood running flood stopped: <строка> flooding: <строка> Drive infected: <строка> USB spreader running P2P Copy to: <строка> MSN spreader running MSN spread started, link: <строка> MSN link sent По команде злоумышленника также возможна подмена файла “hosts”: %System%driversetchosts На момент создания описания сервер злоумышленника не отвечал.
	Узнай статистику распространения угроз в твоем регионе

Net-Worm.Win32.Kolab