Описание Trojan:Win32/Rimecud.A (Win32.HLLW.Autoruner.44048, P2P-Worm.Win32.Palevo.clmd)

Тема в разделе "Борьба с типовыми зловредами", создана пользователем akok, 13 апр 2011.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Технические детали:
    Файл имеет размер 78336 байт упакован UPX All_Versions SN:1634.
    http://www.virustotal.com/file-scan...a4966b07a70b40413540a11b9be3b462d7-1302694115

    После распаковки имеет размер 86016 байт.
    http://www.virustotal.com/file-scan...4b36d4468637da19554ca88691134d84b7-1302699876

    Детальная информация по функционалу:
    При запуска файла bulok_un.exe создаёт дополнительный процесс svchost.exe и внедряет в него свой код.
    Код (Text):
    CreateProcess((null),svchost.exe,(null)) [c:\bulok_un.exe]
    Создаёт копию исполняемого файла с атрибутами (скрытый+системный) и именем fswagz.exe
    Код (Text):
    Copy(C:\bulok_un.exe->C:\Documents and Settings\тест\fswagz.exe) [c:\windows\system32\svchost.exe]

    Для автозапуска зловреда создаётся следующий ключ реестра.
    Код (Text):
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Taskman = "%UserProfile%\fswagz.exe"
    Как видите была произведена подмена диспетчера задач.
    RegCreateKeyEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,(null)) [c:\windows\system32\svchost.exe]
    RegSetValueEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman, REG_SZ: C:\Documents and Settings\тест\fswagz.exe) [c:\windows\system32\svchost.exe]


    Для предотвращения повтороного заражения компьютера создаётся Mutex(sjBf+10)
    CreateMutex(sjBf+10) [c:\windows\system32\svchost.exe]

    Производятся попытки связаться с одним из C&C
    Код (Text):
    jebena.ananikolic.su
    peer.pickeklosarske.ru
    teske.pornicarke.com
    juice.losmibracala.org
    Статистику по одному из серверов C&Cs можно посмотреть здесь


    Вредоносный функционал:
    • Имеет функционал кейлогера
    • Активно распространяет себя при помощи съемных носителей
    • Активно обменивается зашифрованными данными с C&C

    Для лечения от этого зловреда необходимо выполнить следующие рекомендации:
    Удалить ключ реестра
    Код (Text):
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    [B]Taskman = "%UserProfile%\fswagz.exe"[/B]
    Удалить скрытый файл
    Код (Text):
    C:\Documents and Settings\*имя пользователя*\fswagz.exe
    Прошу учесть, что имя файла может отличаться.

    ________________________________
    ________________________________

    • Если вы можете дополнить данное описание, прошу не стеснятся и отписываться в этой теме.

    UPD: По версии Dr.Web зловред получил имя Win32.HLLW.Autoruner.44048
    UPD2: ЛК на дату публикации еще не предоставили вердикт.
     
    Kиpилл, Alex.M, Tiare и 6 другим нравится это.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Ну вот и все :)
     
    Kиpилл, Alex.M, Tiare и 3 другим нравится это.

Поделиться этой страницей