Virus.Win32.Nimnul

Дата обнаружения 12/07/2012
Класс Virus
Платформа Win32
Описание

После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

KyUffThOkYwRRtgPP

Также проверяется имя исполняемого файла вредоноса. Если имя отлично от «DesktopLayer.exe», тело вредоноса копируется в файл:

%Program Files%MicrosoftDesktopLayer.exe

после чего, запускается на выполнение. Также каталог «Microsoft», содержащий копию вредоноса, может создаваться в каталогах:




%HOMEDRIVE%



%HOMEPATH%



%APPDATA%



%System%



%WinDir%



%Temp%



После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий:

  • для автоматического запуска созданной ранее копии вредоноса изменяется значение ключа системного реестра:
    
    
    
    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
    
    
    
    "Userinit" = "%System%userinit.exe,,%Program Files%microsoft
    
    
    
    desktoplayer.exe"
    
    
    
    

    Таким образом, копия будет запускаться процессом «WINLOGON.EXE» даже при запуске компьютера в «безопасном режиме».

  • Предотвращается модификация ключа автозапуска реестра, а также файла «DesktopLayer.exe».
  • Заражаются файлы с расширениями:
    
    
    
    htm
    
    
    
    dll
    
    
    
    exe
    
    
    
    

    При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым.

    HTM файлы заражаются путем дописывания в конец целевого файла скрипта следующего содержания:

    
    
    
    
    
    
    
    

    Таким образом, при каждом запуске скрипта в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса:

    %Temp%svchost.exe

    Зараженные HTML-страницы детектируются Антивирусом Касперского как «Trojan-Dropper.VBS.Agent.bp».

  • В рабочем каталоге исполняемого файла браузера создается конфигурационный файл «dmlconf.dat».
  • Для получения команд устанавливается соединение с сервером:
    fget-ca***r.com

    По полученной от злоумышленника команде вредонос может выполнять следующие действия:

    • загружать на зараженный компьютер файлы и запускать их на выполнение.
    • соединяться с другим сервером для получения команд.