|
Вирус-червь. Первоначально распространился при помощи спам-рассылки. Является приложением Windows (PE EXE-файл). Размер компонентов червя варьируется в пределах от 102 до 165 КБ.
Инсталляция
При запуске червь извлекает из своего тела следующие файлы в системный каталог Windows:
%System%\diagisr.dll
%System%\isrprf32.dll
%System%\isrprov.exe
%System%\117X4sHrH5C.dll
С целью автоматического запуска при каждом последующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"himem.exe" = "<путь до исполняемого файла червя> -s"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\diagisr.dll"
Деструктивная активность
Червь подгружает свой компонент «%System%\diagisr.dll» в следующие процессы:
iexplore.exe
services.exe
Firefox.exe
opera.exe
zlclient.exe
zapro.exe
smc.exe
ccapp.exe
outpost.exe
mpftray.exe
Данный компонент применяет к каждому из процессов специальные процедуры обхода систем безопансности. Для каждого процесса процедура индивидуальна, однако все они основаны на имитировании нажатий пользователем на кнопки подтверждения разрешения доступа в сеть или другой подозрительной активности.
Также червь пытается отключить службы программ обеспечения безопасности:
Zone Labs Zone Alarm
Sygate Personal Firewall
Symantec Internet Security
Agnitum Outpost Firewall
Kaspersky Anti-Virus Personal
Основной компонент червя похищает информацию о контактах из адресной книги Microsoft Outlook, а также из контакт листа программы Yahoo Messenger.
Похищенную информацию червь загружает на один из доступных сайтов злоумышленника:
****kerunskdarun.com
****dinkionkderunjsa.com
****linkdeshkina.com
****ionkertunhasderun.com
****ionkdesunjafunhde.com
****tunjinkderunhasdefun.com
****dunkinmdespish.com
****dinjertiona.com
****erunkiondemfunhas.com
****uiceshkin.com
****etionkasde.com
****onlderunjadesunjerpas.com
****sariomdesin.com
****onjderinjdaserinjde.com
****onmdefunshjin.com
****ionkdesunjadewionsa.com
****defunjdesa.com
****defunhsadefuinn.com
****dasetiondegnas.com
****onkdesunjadefinpiomi.com
****onkdaerinjdefunhsa.com
****onkadesunjionkasde.com
****ndefunhasetrionde.com
****jinpiontunyunde.com
****runjionkdefunhasde.com
****suntiondeunwaserun.com
****sunjiokderunjdaserin.com
****sinlinmaspion.com
****funtionkderunhsa.com
****derionjdepisadrin.com
****dnegunhfaxesun.com
****djeinkdadeisna.com
****nsadehungans.com
****esinjertiopasde.com
****duewnahsuewaa.com
****nmdefuhawuinde.com
****kirationdefun.com
****unkionmasderunhas.com
****ionkdrunjdapolinkdun.com
****npasdinkerinjjas.com
****esunjionderunshishu.com
|
