• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Описание Trojan:Win32/Rimecud.A (Win32.HLLW.Autoruner.44048, P2P-Worm.Win32.Palevo.clmd)

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#1
Технические детали:
Файл имеет размер 78336 байт упакован UPX All_Versions SN:1634.
http://www.virustotal.com/file-scan...a4966b07a70b40413540a11b9be3b462d7-1302694115

После распаковки имеет размер 86016 байт.
http://www.virustotal.com/file-scan...4b36d4468637da19554ca88691134d84b7-1302699876

Детальная информация по функционалу:
При запуска файла bulok_un.exe создаёт дополнительный процесс svchost.exe и внедряет в него свой код.
Код:
CreateProcess((null),svchost.exe,(null)) [c:\bulok_un.exe]
Создаёт копию исполняемого файла с атрибутами (скрытый+системный) и именем fswagz.exe
Код:
Copy(C:\bulok_un.exe->C:\Documents and Settings\тест\fswagz.exe) [c:\windows\system32\svchost.exe]

Для автозапуска зловреда создаётся следующий ключ реестра.
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Taskman = "%UserProfile%\fswagz.exe"
Как видите была произведена подмена диспетчера задач.
RegCreateKeyEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,(null)) [c:\windows\system32\svchost.exe]
RegSetValueEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman, REG_SZ: C:\Documents and Settings\тест\fswagz.exe) [c:\windows\system32\svchost.exe]


Для предотвращения повтороного заражения компьютера создаётся Mutex(sjBf+10)
CreateMutex(sjBf+10) [c:\windows\system32\svchost.exe]

Производятся попытки связаться с одним из C&C
Код:
jebena.ananikolic.su
peer.pickeklosarske.ru
teske.pornicarke.com
juice.losmibracala.org
Статистику по одному из серверов C&Cs можно посмотреть здесь


Вредоносный функционал:
  • Имеет функционал кейлогера
  • Активно распространяет себя при помощи съемных носителей
  • Активно обменивается зашифрованными данными с C&C

Для лечения от этого зловреда необходимо выполнить следующие рекомендации:
Удалить ключ реестра
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
[B]Taskman = "%UserProfile%\fswagz.exe"[/B]
Удалить скрытый файл
Код:
C:\Documents and Settings\*имя пользователя*\fswagz.exe
Прошу учесть, что имя файла может отличаться.

________________________________
________________________________

  • Если вы можете дополнить данное описание, прошу не стеснятся и отписываться в этой теме.

UPD: По версии Dr.Web зловред получил имя Win32.HLLW.Autoruner.44048
UPD2: ЛК на дату публикации еще не предоставили вердикт.
 

akok

Команда форума
Администратор
Сообщения
14,808
Симпатии
12,158
#2
Здравствуйте,


123862349_432236957_bulok.exe - P2P-Worm.Win32.Palevo.clmd
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Ну вот и все :)
 
Сверху Снизу