Kaspersky Threats

Дата обнаружения

12/07/2012

Класс

Платформа

Описание

После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

KyUffThOkYwRRtgPP

Также проверяется имя исполняемого файла вредоноса. Если имя отлично от «DesktopLayer.exe», тело вредоноса копируется в файл:

%Program Files%MicrosoftDesktopLayer.exe

после чего, запускается на выполнение. Также каталог «Microsoft», содержащий копию вредоноса, может создаваться в каталогах:


%HOMEDRIVE%



%HOMEPATH%



%APPDATA%



%System%



%WinDir%



%Temp%

После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий:

для автоматического запуска созданной ранее копии вредоноса изменяется значение ключа системного реестра:
```
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]



"Userinit" = "%System%userinit.exe,,%Program Files%microsoft



desktoplayer.exe"
```
Таким образом, копия будет запускаться процессом «WINLOGON.EXE» даже при запуске компьютера в «безопасном режиме».
Предотвращается модификация ключа автозапуска реестра, а также файла «DesktopLayer.exe».
Заражаются файлы с расширениями:
```
htm



dll



exe
```
При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым.

При каждом открытии зараженного HTM файла в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса:
```
%Temp%svchost.exe
```
Зараженные HTML-страницы детектируются Антивирусом Касперского как «Trojan-Dropper.VBS.Agent.bp».
В рабочем каталоге исполняемого файла браузера создается конфигурационный файл «dmlconf.dat».
Для получения команд устанавливается соединение с сервером:
```
fget-ca***r.com
```
По полученной от злоумышленника команде вредонос может выполнять следующие действия:
- загружать на зараженный компьютер файлы и запускать их на выполнение.
- соединяться с другим сервером для получения команд.

Узнай статистику распространения угроз в твоем регионе

Дата обнаружения	12/07/2012
Класс	Virus
Платформа	Win32
Описание	После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем: KyUffThOkYwRRtgPP Также проверяется имя исполняемого файла вредоноса. Если имя отлично от «DesktopLayer.exe», тело вредоноса копируется в файл: %Program Files%MicrosoftDesktopLayer.exe после чего, запускается на выполнение. Также каталог «Microsoft», содержащий копию вредоноса, может создаваться в каталогах: %HOMEDRIVE% %HOMEPATH% %APPDATA% %System% %WinDir% %Temp% После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий: для автоматического запуска созданной ранее копии вредоноса изменяется значение ключа системного реестра: [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon] "Userinit" = "%System%userinit.exe,,%Program Files%microsoft desktoplayer.exe" Таким образом, копия будет запускаться процессом «WINLOGON.EXE» даже при запуске компьютера в «безопасном режиме». Предотвращается модификация ключа автозапуска реестра, а также файла «DesktopLayer.exe». Заражаются файлы с расширениями: htm dll exe При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым. При каждом открытии зараженного HTM файла в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса: %Temp%svchost.exe Зараженные HTML-страницы детектируются Антивирусом Касперского как «Trojan-Dropper.VBS.Agent.bp». В рабочем каталоге исполняемого файла браузера создается конфигурационный файл «dmlconf.dat». Для получения команд устанавливается соединение с сервером: fget-ca***r.com По полученной от злоумышленника команде вредонос может выполнять следующие действия: загружать на зараженный компьютер файлы и запускать их на выполнение. соединяться с другим сервером для получения команд.
	Узнай статистику распространения угроз в твоем регионе

Virus.Win32.Nimnul