Worm.Win32.VBNA

Дата обнаружения 06/08/2009
Класс Worm
Платформа Win32
Описание

Червь загружает из сети Интернет файлы со следующих хостов:




ener**h.com



bigsh**art.com



godig**alarts.com



Загруженные файлы сохраняются под случайными именами в каталогах «%Temp%» и «%WinDir%». На момент создания описания загружались следующие файлы:




%Temp%Nth.exe (180224 байта)



%Temp%Ntg.exe (182272 байта)



%Temp%Ntf.exe (275968 байт)



%WinDir%Nmaraa.exe (182272 байта)



После успешной загрузки файлы запускаются на выполнение.

Например Worm.Win32.VBNA.alpw:

Троянская библиотека является компонентом другой вредоносной программы. При загрузке данной библиотеки в адресное пространство какого-либо процесса осуществляется запуск на выполнение файла:

C:x.exe

Кроме того, библиотека содержит функционал для работы с файлами и диалоговыми окнами.

Например Worm.Win32.VBNA.b:

В зависимости от модификации конкретного экземпляра вредоноса, могут выполняться следующие действия:

  • из тела троянца извлекаются файлы, которые сохраняются в системе как
    %System%sdra64.exe

    (в зависимости от модификации троянца файл может иметь размер от 474 до 839 КБ; детектируется Антивирусом Касперского как «Trojan.Win32.VBKrypt.asd»)

    %Temp%MeTuS ( Thrasher ).exe

    (144384 байта; детектируется Антивирусом Касперского как «Worm.Win32.AutoRun.gsy»)

    %Temp%Fake Message Box.exe

    (16384 байта)

  • Изменяется значение ключа системного реестра:
    
    
    
    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
    
    
    
    "userinit"= "%System%userinit.exe,%System%sdra64.exe,"
    
    
    
    

    Таким образом, файл «sdra64.exe» будет автоматически запускаться процессом «WINLOGON.EXE» при каждом следующем старте системы.

  • Также троянец может копировать свое тело в файл:
    %Temp%explorer.exe

    При этом для автозапуска созданного файла создаются следующие ключи системного реестра:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

    «Microsoft Windows Hosting Service Login» = «%Temp%explorer.exe»

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

    «Microsoft Windows Hosting Service Login» = «%Temp%explorer.exe»

    Кроме того, созданная копия троянца добавляется в список доверенных приложений Брандмауэра Windows:

    [HKLMSystemControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile
    AuthorizedApplicationsList]

    «Microsoft Windows Hosting Service Login» = «%Temp%explorer.exe»

  • Троянец может загружать файлы со следующих хостов:
    
    
    
    dark***xist.com
    
    
    
    enter***955.dyndns.org
    
    
    
    

    Код, реализующий функционал загрузчика может внедряться в адресное пространство процесса «IEXPLORE.EXE».