Тип вируса: Вредоносная программа для несанкционированного доступа к ресурсам зараженного компьютера.
Уязвимые ОС: Windows NT based
Вредооносная программа является многокомпонентной:
Загрузчик
Компонент предназначен для загрузки и установки уникального для данной системы драйвера режима ядра. Уникальность его заключается в ключе расшифровки, с помощью которого расшифровывается основная часть кода драйвера, как это происходит у Win32.Ntldrbot). Этот ключ формируется на основе информации об оборудовании зараженной машины. Полученный 16-байтный ключ отправляется на сервер с помощью запроса:
http://heathe***c:3128/h725e1361fd6ac35b320730d082e40f38,
в ответ, на который и приходит специально зашифрованный файл, уникальный для данной системы. Сам загрузчик удаляется после успешного выполнения. В качестве имени файла для драйвера берется произвольная строка из 7 символов, например:
"\System32\drivers\sdg29f4.sys".
Драйвер
Это единственный исполняемый файл, который остается физически на диске после заражения системы. Он имеет жесткую привязку к оборудованию зараженного компьютера и служит для скачивания и запуска основного модуля бэкдора. Программный код, реализующий загрузку, внедряется в процесс "explorer.exe", а сам загруженный файл запускается в виде процесса с именем "svchost.exe". Для того чтобы скачать файл, формируется строка из произвольных 32-х шестнадцатеричных символов, которая отсылается на сервер запросом:
http://heathe***c:3128/be49a8c072f2bb0c2853d6108c0ab3efa7.
В ответ приходит исполняемый файл, зашифрованный алгоритмом RC4, ключом для расшифровки которого и является отправленная до этого произвольная строка. В некоторых версиях в драйвере применяются руткит-технологии: защита от изменения и удаления своей ветки реестра и файла на жестком диске, блокирование сетевого трафика у процессов со следующими именами:
kav.exe
nod32.exe
AVPCC.EXE
spiderui.exe
spideragent.exe
spidernt.exe
dwengine.exe
av2009.exe
nod32krn.exe
ekrn.exe
egui.exe
Основной модуль
Модуль предназначен для выполнения различных команд от управляющего сервера, таких как загрузка и запуск исполняемого файла, посещение сайтов, DDoS и т.д. При выполнении некоторых из них устанавливает специальный драйвер для работы с сетью. Остальные команды, полученные от управляющего сервера, выполняются в процессе с именем "svchost.exe".
Curing recommendations
- If the operating system (OS) can be loaded (either normally or in safe mode), download Dr.Web Security Space and run a full scan of your computer and removable media you use. More about Dr.Web Security Space.
- If you cannot boot the OS, change the BIOS settings to boot your system from a CD or USB drive. Download the image of the emergency system repair disk Dr.Web® LiveDisk, mount it on a USB drive or burn it to a CD/DVD. After booting up with this media, run a full scan and cure all the detected threats.
| Free trial | Download Dr.Web |
|---|---|
| One month (no registration) or three months (registration and renewal discount) | Download by serial number |
