Многокомпонентный троянец-руткит, распространявшийся (в том числе) с использованием уязвимости Java CVE-2012-4681. Дроппер обладает функционалом антиотладки.
В процессе заражения дроппер сохраняет основной модуль троянца в папку %TEMP% под именем %s-%u.exe, например, 5aAAA-9.exe, где в начале идет произвольная строка от 4 до 8 символов, а %u — уникальный идентификатор троянца, который также используется в генерируемых троянцем поисковых запросах.
В случае достаточных привилегий инфицирует драйвер %systemroot%\system32\drivers\fastfat.sys, с целью скрытия следов присутствия основного модуля в инфицированной системе. Использует локальные уязвимости ОС для поднятия собственных привилегий. Отключает User Accounts Control (UAC) как в 32-разрядных, так и в 64-разрядных версиях Windows. Изменяет настройки браузеров Firefox и Internet Explorer. Для Firefox сохраняет специальный поисковый плагин search.xml в папке \searchplugins\, и изменяя пользовательские настройки поисковой системы по умолчанию с использованием файла prefs.js. В результате отправляемые пользователем поисковые запросы имеют вид http://findgala.com/?&uid=%d&q={поисковый запрос}, где %d — уникальный идентификатор троянца.
Модифицирует файл %systemroot% \system32\drivers\etc\hosts:
- 64.27.10.42 www.google-analytics.com.
- 64.27.10.42 ad-emea.doubleclick.net.
- 64.27.10.42 www.statcounter.com.
- 108.163.215.51 www.google-analytics.com.
- 108.163.215.51 ad-emea.doubleclick.net.
- 108.163.215.51 www.statcounter.com.
Функциональное назначение основного модуля — перехват трафика на инфицированном ПК.
