Вредоносная программа. Является библиотекой Windows (PE DLL-файл).
Инсталляция
Копирует свой исполняемый файл в следующие папки со случайными именами вида: %Program Files%\Internet Explorer\.dll
%Program Files%\Windows Media Player\.dll
%Program Files%\WindowsNT\.dll
%Program Files%\Movie Maker\.dll
%SpecialFolder%\.dll
%System%\.dll
%Temp%\.dll
где — случайная последовательность символов.
Для автоматического запуска при следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "" = "rundll32.exe <путь к файлу троянца>"
где — случайная последовательность символов.
Также удаляет следующий ключ реестра с целью сделать невозможным запуск системы в безопасном режиме: [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Удаляет следующий ключ системного реестра, отключая уведовления центра безопасности Windows (Windows Security Center): [HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\ {FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
Удаляет значение автозапуска для Windows Defender: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender]
Также изменяет значение следующего ключа реестра, добавляя ссылку на службу троянца: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<оригинальное значение> <имя службы троянца>"
Для автоматического запуска при следующем старте системы троянец создает службу, которая запускает его библиотеку при каждой последующей загрузке Windows, при этом создается следующий ключ реестра: [HKLM\SYSTEM\CurrentControlSet\Services\<%rnd%>] "Description" = "<описание одной из системных служб>" "DisplayName" = "Manager Security" "ImagePath" = REG_EXPAND_SZ, "%SystemRoot%\system32\svchost.exe -k netsvcs" "Start" = "dword:0x00000002" [HKLM\SYSTEM\CurrentControlSet\Services\<%rnd%>\Parameters] "ServiceDll" = "%System%\<%rnd%>.dll"
где %rnd% — случайная последовательность символов.
Отображаемое имя службы составляется из следующих слов: Policy Discovery Storage Power Logon Machine Browser Management Framework Component Trusted Backup Notify Audit Control Hardware Windows Update Universal Task Support Shell Security Network Monitor Microsoft Manager Installer Image Helper Driver Config Center Boot
Имя службы составляется из комбинации следующих слов: Time System svc Svc srv Srv Service Server serv prov mon mgmt man logon auto agent access
А также включает слово из следующего списка: xml wuau wsc Wmi Wmdm win W32 Trk Tapi Sec Remote Ras Ntms Net Lanman Ias help Event Audio App
Для определения своего присутствия в системе создает следующий уникальный идентификатор: Global\%rnd%-%rnd% Global\%rnd%-7
Деструктивная активность
Вредоносная программа проверяет, если текущая дата позднее 1 апреля 2009 года, то запускает свой деструктивный функционал.
Осуществляет проверку на наличие следующих папок в системе: Adobe Agent App Assemblies assembly Boot Build Calendar Collaboration Common Components Cursors Debug Defender Definitions Digital Distribution Documents Downloaded en Explorer Files Fonts Gallery Games Globalization Google Help IME inf Installer Intel Inter Internet Java Journal Kernel L2S Live Logs Mail Maker Media Microsoft Mobile Modem Movie MS msdownld NET New Office Offline Options Packages Pages Patch Performance Photo PLA Player Policy Prefetch Profiles Program Publish Reference Registered registration Reports Resources schemas Security Service Setup Shell Software Speech System Tasks Temp tmp tracing twain US Video Visual Web winsxs Works Zx
Если данные папки не обнаружены — прекращает свою работу.
При запуске отключает следующие службы в зависимости от модификации: Windows Automatic Update Service (wuauserv) Background Intelligent Transfer Service (BITS) Windows Security Center Service (wscsvc) Windows Defender Service (WinDefend, WinDefender) Windows Error Reporting Service (ERSvc) Windows Error Reporting Service (WerSvc)
Для этого изменяет исходное значение параметра Start для каждой службы на следующее: "Start" ="dword:0x00000004"
Троянец внедряет свой код в адресное пространство системных процессов:
svchost.exe
explorer.exe (если запись в svchost.exe не была успешной)
services.exe (для Windows 2000)
Внедренный код выполняет основной деструктивный функционал троянца:
Троянец не использует драйвер для доступа к сетевому протоколу, как это было реализовано в черве Kido.
Троянец устанавливает перехваты на следующие API вызовы (из библиотеки dnsrslvr.dll) с целью заблокировать доступ к списку пользовательских доменов: DNS_Query_A DNS_Query_UTF8 DNS_Query_W Query_Main sendto NetpwPathCanonicalize InternetGetConnectedState
Завершает процессы, в именах которых присутствуют следующие строки: wireshark unlocker tcpview sysclean scct_ regmon procmon procexp ms08-06 mrtstub mrt. mbsa. klwk kido kb958 kb890 hotfix gmer filemon downad confick avenger autoruns
Таким образом, троянец блокирует доступ пользователю к основным сайтам где можно скачать обновление антивирусных баз или специальные утилиты удаления вредоносных программ.
Производит загрузку файлов со следующего URL: http:///search?q=<%rnd2%>
где rnd2 — случайное число, URL — ссылка, сформированная по специальному алгоритму в зависимости от текущей даты.
В алгоритме создания доменных имен используется Microsoft Base Cryptographic Provider v1.0 для генерации псевдослучайных значений.
Локализации доменов выбираются из следующего списка: vn vc us tw to tn tl tj tc su sk sh sg sc ru ro ps pl pk pe no nl nf my mw mu ms mn me md ly lv lu li lc la kz kn is ir in im ie hu ht hn hk gy gs gr gd fr fm es ec dm dk dj cz cx cn cl ch cd ca bz bo be at as am ag ae ac com.ve com.uy com.ua com.tw com.tt com.tr com.sv com.py com.pt com.pr com.pe com.pa com.ni com.ng com.mx com.mt com.lc com.ki com.jm com.hn com.gt com.gl com.gh com.fj com.do com.co com.bs com.br com.bo com.ar com.ai com.ag co.za co.vi co.uk co.ug co.nz co.kr co.ke co.il co.id co.cr
Новая модификация троянца генерирует 50000 доменных имен в сутки, при этом пропускает следующие группы адресов: 127.x.x.x 169.254.x.x x.198.x.x x.255.255.253 224-239.x.x.x 240-255.x.x.x
Из данного списка троянец выбирает 500 произвольных имен и пытается подключиться к ним для загрузки файлов. Если подключение не произошло, через некоторое время выбираются следующие 500 имен.
Также троянец имеет в теле «черный» список IP адресов, принадлежащих компаниям в сфере безопасности — 399 IP адресов.
Текущую дату троянец запрашивает с одного из следующих сайтов: http://www.w3.org http://www.ask.com http://www.yahoo.com http://www.google.com http://www.baidu.com http://www.rapidshare.com http://www.imageshack.us http://www.facebook.com
Если соединение установить не удалось, то используется текущая дата из системы пользователя.
Загруженные файлы сохраняются в папку: %Temp%\<%computer _id%>\<%rnd% >.tmp
