Тип вируса: Вредоносная программа для несанкционированного доступа к ресурсам зараженного компьютера.
Уязвимые ОС: Windows NT based
Вредооносная программа является многокомпонентной:
Загрузчик
Компонент предназначен для загрузки и установки уникального для данной системы драйвера режима ядра. Уникальность его заключается в ключе расшифровки, с помощью которого расшифровывается основная часть кода драйвера, как это происходит у Win32.Ntldrbot). Этот ключ формируется на основе информации об оборудовании зараженной машины. Полученный 16-байтный ключ отправляется на сервер с помощью запроса:
http://heathe***c:3128/h725e1361fd6ac35b320730d082e40f38,
в ответ, на который и приходит специально зашифрованный файл, уникальный для данной системы. Сам загрузчик удаляется после успешного выполнения. В качестве имени файла для драйвера берется произвольная строка из 7 символов, например:
"\System32\drivers\sdg29f4.sys".
Драйвер
Это единственный исполняемый файл, который остается физически на диске после заражения системы. Он имеет жесткую привязку к оборудованию зараженного компьютера и служит для скачивания и запуска основного модуля бэкдора. Программный код, реализующий загрузку, внедряется в процесс "explorer.exe", а сам загруженный файл запускается в виде процесса с именем "svchost.exe". Для того чтобы скачать файл, формируется строка из произвольных 32-х шестнадцатеричных символов, которая отсылается на сервер запросом:
http://heathe***c:3128/be49a8c072f2bb0c2853d6108c0ab3efa7.
В ответ приходит исполняемый файл, зашифрованный алгоритмом RC4, ключом для расшифровки которого и является отправленная до этого произвольная строка. В некоторых версиях в драйвере применяются руткит-технологии: защита от изменения и удаления своей ветки реестра и файла на жестком диске, блокирование сетевого трафика у процессов со следующими именами:
kav.exe
nod32.exe
AVPCC.EXE
spiderui.exe
spideragent.exe
spidernt.exe
dwengine.exe
av2009.exe
nod32krn.exe
ekrn.exe
egui.exe
Основной модуль
Модуль предназначен для выполнения различных команд от управляющего сервера, таких как загрузка и запуск исполняемого файла, посещение сайтов, DDoS и т.д. При выполнении некоторых из них устанавливает специальный драйвер для работы с сетью. Остальные команды, полученные от управляющего сервера, выполняются в процессе с именем "svchost.exe".
Рекомендации по лечению
- В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIT! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
- Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
| Демо бесплатно | Скачать Dr.Web |
|---|---|
| На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление) | По серийному номеру |
