Описание |
После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
KyUffThOkYwRRtgPP
Также проверяется имя исполняемого файла вредоноса. Если имя отлично от “DesktopLayer.exe”, тело вредоноса копируется в файл:
%Program Files%MicrosoftDesktopLayer.exe
после чего, запускается на выполнение. Также каталог “Microsoft”, содержащий копию вредоноса, может создаваться в каталогах:
%HOMEDRIVE%
%HOMEPATH%
%APPDATA%
%System%
%WinDir%
%Temp%
После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий:
- для автоматического запуска созданной ранее копии вредоноса изменяется значение ключа системного реестра:
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit" = "%System%userinit.exe,,%Program Files%microsoft
desktoplayer.exe"
Таким образом, копия будет запускаться процессом “WINLOGON.EXE” даже при запуске компьютера в “безопасном режиме”.
- Предотвращается модификация ключа автозапуска реестра, а также файла “DesktopLayer.exe”.
- Заражаются файлы с расширениями:
htm
dll
exe
При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым.
При каждом открытии зараженного HTM файла в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса:
%Temp%svchost.exe
Зараженные HTML-страницы детектируются Антивирусом Касперского как “Trojan-Dropper.VBS.Agent.bp”.
- В рабочем каталоге исполняемого файла браузера создается конфигурационный файл “dmlconf.dat”.
- Для получения команд устанавливается соединение с сервером:
fget-ca***r.com
По полученной от злоумышленника команде вредонос может выполнять следующие действия:
- загружать на зараженный компьютер файлы и запускать их на выполнение.
- соединяться с другим сервером для получения команд.
|