(BackDoor.Agent.AQW, BackDoor.Generic6.UON, Backdoor.Agent.FK, Backdoor.Win32.Agent.vq, Generic Rootkit.d, Generic.Malware.dld!!.3827A30E, Rootkit.Agent.K, Rootkit.Win32.Agent.dp, Rootkit.Win32.Agent.dw, TROJ_DLOADER.HGC, TROJ_ROOTKIT.CW, TROJ_SMALL.EOY, Trojan-Downloader.Win32.Small.ego, Trojan-Dropper.Win32.Small.avu, Trojan.Dropper.Small.BK, Trojan.Klom.A, Trojan.Rootkit.Agent.DP, Trojan.Spy.Agent.QN, Trojan.Win32.Agent.ady, W32/Downloader.BEUK, W32/Downloader.BFBN, Win32/Cutwail!generic, Win32/Cutwail.E)
Уязвимые ОС: Win NT- based
Размер: 20 - 45 Кбайт
Упакован: может быть упакован различными упаковщиками
- Может распространяться либо в результате спам-рассылки, либо устанавливаться на компьютер сторонними вредоносными программами - загрузчиками или дропперами (например, Trojan.MulDrop.7173).
- При своём запуске устанавливает в систему драйвер runtime.sys по пути %WINDIR%\System32\drivers.
- Установленный драйвер %WINDIR%\System32\drivers\runtime.sys регситрирует в системном реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime\ImagePath:
"\??\C:\WINDOWS\System32\drivers\runtime.sys"
- Осуществляет скрытый запуск Internet Explorer и производит попытки соединения с удалённым сервером. В случае неудачи, соединяется с другим сервером и так до тех пор, пока не установит соединение с одним из своих целевых серверов. После получения отзыва положительного от определённого сервера скачивает обновления своих модулей. Скачанный дроппер сохраняется во временный каталог профиля пользователя - %USERPROFILE%\Temp и запускается на исполнение.
- При своём запуске, скачанный дроппер устанавливает в %Systemroot%\system32\drivers драйвер runtime2.sys, который маскирует наличие компонент вредоносной программы, перехватывая IRP-обработчики драйвера файловой системы, а также загрузчик %WINDIR%\Temp\startdrv.exe, который регистриует в секции автозагрузки системного реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
startdrv = "%WINDIR%\Temp"
- Осуществляет рассылку спама по найденным в инфицированной системе почтовым адресам. Поиск почтовых адресов осуществляется в файлах со следующими расширениями:
.txt
.adb
.asp
.dbx
.eml
.fpt
.htm
.inb
.mbx
.php
.pmr
.sht
.tbb
.wab - Перехватывает функции KiST (KeServiceDescriptorTable):
ZwQuerySystemInformation
ZwClose
ZwReadFile
ZwQueryInformationFile
ZwOpenFileВосстанавливает свои перехваты в случае их снятия.
Информация по восстановлении системы Отследить сетевую активность и завершить процесс Internet Explorer можно посредством утилиты TCPView. Для этого в рабочем окне TCPView найдите запись
:[PID] TCP <имя компьютера> <удалённой адрес:порт> <тип пакета> , щёлкните правой кнопкой мыши и выберите "End Process"."Вирусный" драйвер необходимо удалить обновлённым сканером Dr.Web или бесплатной лечащей утилитой Dr.Web Cureit!, предварительно перезагрузив инфицированный компьютер в Безопасный режим без поддержки сетевых устройств.
Комментариев нет:
Отправить комментарий