Тип вируса: Вредоносная программа для несанкционированного доступа к ресурсам зараженного компьютера.
Уязвимые ОС: Windows NT based
Вредооносная программа является многокомпонентной:
Загрузчик
Компонент предназначен для загрузки и установки уникального для данной системы драйвера режима ядра. Уникальность его заключается в ключе расшифровки, с помощью которого расшифровывается основная часть кода драйвера, как это происходит у Win32.Ntldrbot). Этот ключ формируется на основе информации об оборудовании зараженной машины. Полученный 16-байтный ключ отправляется на сервер с помощью запроса:
http://heathe***c:3128/h725e1361fd6ac35b320730d082e40f38,
в ответ, на который и приходит специально зашифрованный файл, уникальный для данной системы. Сам загрузчик удаляется после успешного выполнения. В качестве имени файла для драйвера берется произвольная строка из 7 символов, например:
"\System32\drivers\sdg29f4.sys".
Драйвер
Это единственный исполняемый файл, который остается физически на диске после заражения системы. Он имеет жесткую привязку к оборудованию зараженного компьютера и служит для скачивания и запуска основного модуля бэкдора. Программный код, реализующий загрузку, внедряется в процесс "explorer.exe", а сам загруженный файл запускается в виде процесса с именем "svchost.exe". Для того чтобы скачать файл, формируется строка из произвольных 32-х шестнадцатеричных символов, которая отсылается на сервер запросом:
http://heathe***c:3128/be49a8c072f2bb0c2853d6108c0ab3efa7.
В ответ приходит исполняемый файл, зашифрованный алгоритмом RC4, ключом для расшифровки которого и является отправленная до этого произвольная строка. В некоторых версиях в драйвере применяются руткит-технологии: защита от изменения и удаления своей ветки реестра и файла на жестком диске, блокирование сетевого трафика у процессов со следующими именами:
kav.exe
nod32.exe
AVPCC.EXE
spiderui.exe
spideragent.exe
spidernt.exe
dwengine.exe
av2009.exe
nod32krn.exe
ekrn.exe
egui.exe
Основной модуль
Модуль предназначен для выполнения различных команд от управляющего сервера, таких как загрузка и запуск исполняемого файла, посещение сайтов, DDoS и т.д. При выполнении некоторых из них устанавливает специальный драйвер для работы с сетью. Остальные команды, полученные от управляющего сервера, выполняются в процессе с именем "svchost.exe".
Recommandations pour le traitement
- Si le système d'exploitation peut être démarré (en mode normal ou en mode sans échec), téléchargez Dr.Web Security Space et lancez un scan complet de votre ordinateur et de tous les supports amovibles que vous utilisez. En savoir plus sur Dr.Web Security Space.
- Si le démarrage du système d'exploitation est impossible, veuillez modifier les paramètres du BIOS de votre ordinateur pour démarrer votre ordinateur via CD/DVD ou clé USB. Téléchargez l'image du disque de secours de restauration du système Dr.Web® LiveDisk ou l'utilitaire pour enregistrer Dr.Web® LiveDisk sur une clé USB, puis préparez la clé USB appropriée. Démarrez l'ordinateur à l'aide de cette clé et lancez le scan complet et le traitement des menaces détectées.
| Version démo gratuite | Télécharger Dr.Web |
|---|---|
| Pour 1 mois (sans enregistrement) ou 3 mois (avec enregistrement et remise pour le renouvellement) | Par le numéro de série |
