Virus.Win32.Nimnul

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

KyUffThOkYwRRtgPP

Также проверяется имя исполняемого файла вредоноса. Если имя отлично от "DesktopLayer.exe", тело вредоноса копируется в файл:

%Program Files%MicrosoftDesktopLayer.exe

после чего, запускается на выполнение. Также каталог "Microsoft", содержащий копию вредоноса, может создаваться в каталогах:

%HOMEDRIVE%



%HOMEPATH%



%APPDATA%



%System%



%WinDir%



%Temp%

После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий:

• для автоматического запуска созданной ранее копии вредоноса изменяется значение ключа системного реестра:

  
  [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
  
  
  
  "Userinit" = "%System%userinit.exe,,%Program Files%microsoft
  
  
  
  desktoplayer.exe"
  
  
  
  

  Таким образом, копия будет запускаться процессом "WINLOGON.EXE" даже при запуске компьютера в "безопасном режиме".
• Предотвращается модификация ключа автозапуска реестра, а также файла "DesktopLayer.exe".
• Заражаются файлы с расширениями:

  
  htm
  
  
  
  dll
  
  
  
  exe
  
  
  
  

  При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым. При каждом открытии зараженного HTM файла в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса:

  %Temp%svchost.exe

  Зараженные HTML-страницы детектируются Антивирусом Касперского как "Trojan-Dropper.VBS.Agent.bp".
• В рабочем каталоге исполняемого файла браузера создается конфигурационный файл "dmlconf.dat".
• Для получения команд устанавливается соединение с сервером:

  fget-ca***r.com

  По полученной от злоумышленника команде вредонос может выполнять следующие действия:
  • загружать на зараженный компьютер файлы и запускать их на выполнение.
  • соединяться с другим сервером для получения команд.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com