Описание |
Весь деструктивный функционал червя выполняется кодом, внедряемым в адресное пространство процесса «EXPLORER.EXE». Деструктивных действий не выполняется при выполнении хотя бы одного из следующих условий:
- отсутствует ветвь системного реестра:
[HKCUControl PanelPowerCfgPowerPolicies ]
- Имя учетной записи текущего пользователя:
USERNAME
user
COMPUTERNAME
CurrentUser
- В адресное пространство червя подгружены библиотеки:
SbieDll.dll
dbghelp.dll
api_log.dll
dir_watch.dll
pstorec.dll
- Оригинальный файл червя был сохранен в системе как
c:file.exe
После внедрения вредоносного кода процессом «EXPLORER.EXE» выполняются следующие действия:
- для контроля уникальности процесса в системе создается уникальный идентификатор с именем:
sereirijtrrejirrrr
- Для обеспечения доступа к зараженной системе создается именованный канал:
.piperrreokdirjiurururr
- Устанавливается соединение с сервером злоумышленника:
di***ind.cn
ant***tition.com
fre***unge.com
По команде злоумышленника червь может выполнять на зараженном компьютере следующие действия:
- организация DoS-атак на указанные сервера;
- загрузка файлов по переданным ссылкам. Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя «%Temp%» под случайными именами.
- Загрузка с сервера злоумышленника обновленной версии червя.
- Анализ файлов настроек браузеров:
Mozilla Firefox
Internet Explorer
Google Chrome
Opera
с целью похищения сохраненных паролей.
- Похищение и модификация «cookie» браузера. Для этого червь использует встроенный в браузер Mozilla Firefox модуль «sqlite».
- Действия, описанные в разделах «Инсталляция» и «Распространение».
Червь обменивается с сервером злоумышленника посредством сообщений следующего вида:
Scan stopped
Scan running
Scan started
KB data sent: <число>
SYN packets sent: <число>
Flood running
flood stopped: <строка>
flooding: <строка>
Drive infected: <строка>
USB spreader running
P2P Copy to: <строка>
MSN spreader running
MSN spread started, link: <строка>
MSN link sent
- По команде злоумышленника также возможна подмена файла «hosts»:
%System%driversetchosts
На момент создания описания сервер злоумышленника не отвечал.
|