Тип вируса: Вредоносная программа для несанкционированного доступа к ресурсам зараженного компьютера.
Уязвимые ОС: Windows NT based
Вредооносная программа является многокомпонентной:
Загрузчик
Компонент предназначен для загрузки и установки уникального для данной системы драйвера режима ядра. Уникальность его заключается в ключе расшифровки, с помощью которого расшифровывается основная часть кода драйвера, как это происходит у Win32.Ntldrbot). Этот ключ формируется на основе информации об оборудовании зараженной машины. Полученный 16-байтный ключ отправляется на сервер с помощью запроса:
http://heathe***c:3128/h725e1361fd6ac35b320730d082e40f38,
в ответ, на который и приходит специально зашифрованный файл, уникальный для данной системы. Сам загрузчик удаляется после успешного выполнения. В качестве имени файла для драйвера берется произвольная строка из 7 символов, например:
"\System32\drivers\sdg29f4.sys".
Драйвер
Это единственный исполняемый файл, который остается физически на диске после заражения системы. Он имеет жесткую привязку к оборудованию зараженного компьютера и служит для скачивания и запуска основного модуля бэкдора. Программный код, реализующий загрузку, внедряется в процесс "explorer.exe", а сам загруженный файл запускается в виде процесса с именем "svchost.exe". Для того чтобы скачать файл, формируется строка из произвольных 32-х шестнадцатеричных символов, которая отсылается на сервер запросом:
http://heathe***c:3128/be49a8c072f2bb0c2853d6108c0ab3efa7.
В ответ приходит исполняемый файл, зашифрованный алгоритмом RC4, ключом для расшифровки которого и является отправленная до этого произвольная строка. В некоторых версиях в драйвере применяются руткит-технологии: защита от изменения и удаления своей ветки реестра и файла на жестком диске, блокирование сетевого трафика у процессов со следующими именами:
kav.exe
nod32.exe
AVPCC.EXE
spiderui.exe
spideragent.exe
spidernt.exe
dwengine.exe
av2009.exe
nod32krn.exe
ekrn.exe
egui.exe
Основной модуль
Модуль предназначен для выполнения различных команд от управляющего сервера, таких как загрузка и запуск исполняемого файла, посещение сайтов, DDoS и т.д. При выполнении некоторых из них устанавливает специальный драйвер для работы с сетью. Остальные команды, полученные от управляющего сервера, выполняются в процессе с именем "svchost.exe".
Curing recommendations
For Microsoft Windows OS:
- If the OS can be loaded (normally or in the safe mode), download the curing utility Dr.Web CureIT! and run a full scan of your computer and the removable media you use.
- If you can't load the OS, change the BIOS settings to load your system from a CD or USB drive. Download the Dr.Web® LiveCD emergency restore disk image or the Dr.Web® LiveUSB emergency recovery utility for your specific OS, using a USB drive , and prepare the appropriate media. After loading the computer with this media, run a full scan and cure detected threats.
