Тип вируса: Вредоносная программа для несанкционированного доступа к ресурсам зараженного компьютера.
Уязвимые ОС: Windows NT based
Вредооносная программа является многокомпонентной:
Загрузчик
Компонент предназначен для загрузки и установки уникального для данной системы драйвера режима ядра. Уникальность его заключается в ключе расшифровки, с помощью которого расшифровывается основная часть кода драйвера, как это происходит у Win32.Ntldrbot). Этот ключ формируется на основе информации об оборудовании зараженной машины. Полученный 16-байтный ключ отправляется на сервер с помощью запроса:
http://heathe***c:3128/h725e1361fd6ac35b320730d082e40f38,
в ответ, на который и приходит специально зашифрованный файл, уникальный для данной системы. Сам загрузчик удаляется после успешного выполнения. В качестве имени файла для драйвера берется произвольная строка из 7 символов, например:
"\System32\drivers\sdg29f4.sys".
Драйвер
Это единственный исполняемый файл, который остается физически на диске после заражения системы. Он имеет жесткую привязку к оборудованию зараженного компьютера и служит для скачивания и запуска основного модуля бэкдора. Программный код, реализующий загрузку, внедряется в процесс "explorer.exe", а сам загруженный файл запускается в виде процесса с именем "svchost.exe". Для того чтобы скачать файл, формируется строка из произвольных 32-х шестнадцатеричных символов, которая отсылается на сервер запросом:
http://heathe***c:3128/be49a8c072f2bb0c2853d6108c0ab3efa7.
В ответ приходит исполняемый файл, зашифрованный алгоритмом RC4, ключом для расшифровки которого и является отправленная до этого произвольная строка. В некоторых версиях в драйвере применяются руткит-технологии: защита от изменения и удаления своей ветки реестра и файла на жестком диске, блокирование сетевого трафика у процессов со следующими именами:
kav.exe
nod32.exe
AVPCC.EXE
spiderui.exe
spideragent.exe
spidernt.exe
dwengine.exe
av2009.exe
nod32krn.exe
ekrn.exe
egui.exe
Основной модуль
Модуль предназначен для выполнения различных команд от управляющего сервера, таких как загрузка и запуск исполняемого файла, посещение сайтов, DDoS и т.д. При выполнении некоторых из них устанавливает специальный драйвер для работы с сетью. Остальные команды, полученные от управляющего сервера, выполняются в процессе с именем "svchost.exe".
Raccomandazioni per il ripristino del sistema
Raccomandazioni per la cura dei virus
Se si utilizza un sistema operativo della famiglia Microsoft Windows:
- Se il sistema operativo può essere caricato (in modalità standard o failsafe), scaricare l'utility di cura dei virus Dr.Web CureIT! ed eseguire una scansione completa del computer e dei supporti portatili utilizzati.
- Se il caricamento del sistema operativo non è possibile, modificare le impostazioni del BIOS del computer per fornire la possibilità di caricamento del PC da un CD o un supporto USB. Scaricare l'immagine disco del disco di ripristino del sistema d'emergenza Dr.Web® LiveDisk o l'utility di registrazione di Dr.Web® LiveDisk su un supporto USB, preparare il supporto corrispondente. Dopo aver caricato il computer da questo supporto, eseguire la scansione completa e la cura delle minacce rilevate.
