Worm.Win32.VBNA

Червь загружает из сети Интернет файлы со следующих хостов:

ener**h.com



bigsh**art.com



godig**alarts.com

Загруженные файлы сохраняются под случайными именами в каталогах “%Temp%” и “%WinDir%”. На момент создания описания загружались следующие файлы:

%Temp%Nth.exe (180224 байта)



%Temp%Ntg.exe (182272 байта)



%Temp%Ntf.exe (275968 байт)



%WinDir%Nmaraa.exe (182272 байта)

После успешной загрузки файлы запускаются на выполнение.

Например Worm.Win32.VBNA.alpw:

Троянская библиотека является компонентом другой вредоносной программы. При загрузке данной библиотеки в адресное пространство какого-либо процесса осуществляется запуск на выполнение файла:

C:x.exe

Кроме того, библиотека содержит функционал для работы с файлами и диалоговыми окнами.

Например Worm.Win32.VBNA.b:

В зависимости от модификации конкретного экземпляра вредоноса, могут выполняться следующие действия:

• из тела троянца извлекаются файлы, которые сохраняются в системе как

  %System%sdra64.exe

  (в зависимости от модификации троянца файл может иметь размер от 474 до 839 КБ; детектируется Антивирусом Касперского как “Trojan.Win32.VBKrypt.asd”)

  %Temp%MeTuS ( Thrasher ).exe

  (144384 байта; детектируется Антивирусом Касперского как “Worm.Win32.AutoRun.gsy”)

  %Temp%Fake Message Box.exe

  (16384 байта)

• Изменяется значение ключа системного реестра:

  
  
  
  [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
  
  
  
  "userinit"= "%System%userinit.exe,%System%sdra64.exe,"
  
  
  
  

  Таким образом, файл “sdra64.exe” будет автоматически запускаться процессом “WINLOGON.EXE” при каждом следующем старте системы.

• Также троянец может копировать свое тело в файл:

  %Temp%explorer.exe

  При этом для автозапуска созданного файла создаются следующие ключи системного реестра:

  [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

  “Microsoft Windows Hosting Service Login” = “%Temp%explorer.exe”

  [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

  “Microsoft Windows Hosting Service Login” = “%Temp%explorer.exe”

  Кроме того, созданная копия троянца добавляется в список доверенных приложений Брандмауэра Windows:

  [HKLMSystemControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile
  AuthorizedApplicationsList]

  “Microsoft Windows Hosting Service Login” = “%Temp%explorer.exe”

• Троянец может загружать файлы со следующих хостов:

  
  
  
  dark***xist.com
  
  
  
  enter***955.dyndns.org
  
  
  
  

  Код, реализующий функционал загрузчика может внедряться в адресное пространство процесса “IEXPLORE.EXE”.