- Сообщения
- 24,687
- Реакции
- 13,556
Технические детали:
Файл имеет размер 78336 байт упакован UPX All_Versions SN:1634.
http://www.virustotal.com/file-scan...a4966b07a70b40413540a11b9be3b462d7-1302694115
После распаковки имеет размер 86016 байт.
http://www.virustotal.com/file-scan...4b36d4468637da19554ca88691134d84b7-1302699876
Детальная информация по функционалу:
При запуска файла bulok_un.exe создаёт дополнительный процесс svchost.exe и внедряет в него свой код.
Создаёт копию исполняемого файла с атрибутами (скрытый+системный) и именем fswagz.exe
Для автозапуска зловреда создаётся следующий ключ реестра.
Как видите была произведена подмена диспетчера задач.
Для предотвращения повтороного заражения компьютера создаётся Mutex(sjBf+10)
Производятся попытки связаться с одним из C&C
Статистику по одному из серверов C&Cs можно посмотреть здесь
Вредоносный функционал:
Для лечения от этого зловреда необходимо выполнить следующие рекомендации:
Удалить ключ реестра
Удалить скрытый файл
Прошу учесть, что имя файла может отличаться.
________________________________
UPD: По версии Dr.Web зловред получил имя Win32.HLLW.Autoruner.44048
UPD2: ЛК на дату публикации еще не предоставили вердикт.
Файл имеет размер 78336 байт упакован UPX All_Versions SN:1634.
http://www.virustotal.com/file-scan...a4966b07a70b40413540a11b9be3b462d7-1302694115
После распаковки имеет размер 86016 байт.
http://www.virustotal.com/file-scan...4b36d4468637da19554ca88691134d84b7-1302699876
Детальная информация по функционалу:
При запуска файла bulok_un.exe создаёт дополнительный процесс svchost.exe и внедряет в него свой код.
Код:
CreateProcess((null),svchost.exe,(null)) [c:\bulok_un.exe]Создаёт копию исполняемого файла с атрибутами (скрытый+системный) и именем fswagz.exe
Код:
Copy(C:\bulok_un.exe->C:\Documents and Settings\тест\fswagz.exe) [c:\windows\system32\svchost.exe]Для автозапуска зловреда создаётся следующий ключ реестра.
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Taskman = "%UserProfile%\fswagz.exe"RegCreateKeyEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,(null)) [c:\windows\system32\svchost.exe]
RegSetValueEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman, REG_SZ: C:\Documents and Settings\тест\fswagz.exe) [c:\windows\system32\svchost.exe]
RegSetValueEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman, REG_SZ: C:\Documents and Settings\тест\fswagz.exe) [c:\windows\system32\svchost.exe]
Для предотвращения повтороного заражения компьютера создаётся Mutex(sjBf+10)
CreateMutex(sjBf+10) [c:\windows\system32\svchost.exe]
Производятся попытки связаться с одним из C&C
Код:
jebena.ananikolic.su
peer.pickeklosarske.ru
teske.pornicarke.com
juice.losmibracala.orgСтатистику по одному из серверов C&Cs можно посмотреть здесь
Вредоносный функционал:
- Имеет функционал кейлогера
- Активно распространяет себя при помощи съемных носителей
- Активно обменивается зашифрованными данными с C&C
Для лечения от этого зловреда необходимо выполнить следующие рекомендации:
Удалить ключ реестра
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
[B]Taskman = "%UserProfile%\fswagz.exe"[/B]
Код:
C:\Documents and Settings\*имя пользователя*\fswagz.exe________________________________
- Если по каким-либо причинам у вас это вызывает трудности, то обратитесь за квалифицированной и бесплатной помощью у нас на форуме в раздел "Лечение персонального компьютера от вирусов ". Для этого необходимо выполнить простые Правила оформления запроса.
- Если вы можете дополнить данное описание, прошу не стеснятся и отписываться в этой теме.
UPD: По версии Dr.Web зловред получил имя Win32.HLLW.Autoruner.44048
UPD2: ЛК на дату публикации еще не предоставили вердикт.
