Новый сетевой червь Net-Worm.Win32.Kolab.ylu


Описание
Net-Worm.Win32.Kolab.ylu - сетевой червь, создающий свои копии на съемных дисках, а также загружает и устанавливает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-DLL файл). Размер - 60928 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 136 Кб. Написана на C++.


Инсталляция
Копирует свое тело во временный каталог текущего пользователя под именем:

  • <>%Temp%\srv<rnd1>.tmp
  • <rnd1> - случайный набор из цифр и букв латинского алфавита, например "7E4" или "1E8".


Для автоматического запуска созданной копии червя при каждом следующем старте системы создается служба, за которую отвечает ключ системного реестра:

  • [HKLM\System\CurrentControlSet\Services\srv<rnd1>]


В отдельном потоке червь непрерывно восстанавливает запись о своей службе в системном реестре. Для работы в безопасном режиме, червь создает следующую запись в системном реестре:

  • [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\srv<rnd1>]
    "(default)"="service"


Распространение
Червь имеет следующие механизмы распространения:

  • Распространяется по сети зараженного компьютера, используя уязвимость MS08-067.
  • Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру:
    • <имя зараженного диска>:\setup50045.fon


    Также создаются файлы:

    • <имя зараженного диска>:\myporno.avi.lnk
    • <имя зараженного диска>:\pornmovs.lnk
    • <имя зараженного диска>:\setup50045.lnk


    Которые предназначены для запуска червя.

    Вместе со своей копией червь помещает в корневой каталог зараженного диска файл:

    • <имя зараженного диска>:\autorun.inf

    следующего содержания:

    • [AUTORuN]
      acTiON=opEN
      eixrgvyqxnqvgomwivn=trppqscjmhqpcfp
      ICoN=%wInDir%\SySTEm32\shELl32.Dll,4
      oxvgyrdxbiqedrfhcvnhxcnsrimepigtwgheh=givscvssyxxapiicclucwk
      USeAUtOplAy=1
      txdkjbh=yfmnbyowpigsbnaxqfhqmeqe
      OpeN=RunDLl32.exE SetuP50045.foN,9D025
      ekrvkkwgfucivppdrtavoe=lacmlkuxqkcfyuqipufgse
      sHell\ExPlORe\command=ruNDLl32.eXe SETuP50045.foN,9D025
      ltuqtafivakqjmxfadfopw=mqdcyvbgpwdguytatvrk
      SHell\OpeN\cOMMaND=rUNDlL32.EXe SEtUP50045.FOn,9d025
      jbdodnvlwdeqo=trirjdmlfttsdtiicwfbtvcx


    Данный файл обеспечивает червю возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


Созданным файлам присваиваются атрибуты "скрытый" и "системный".


Деструктивная активность
Червь выполняет внедрение своего кода в системный процесс:

  • spoolsv.exe


Отвечающий за работу службы:

  • spooler


После чего в разных потоках выполняет инсталляцию и распространение. Свои настройки червь хранит в следующем файле:

  • %Temp%\srv<rnd1>.ini


Который содержит следующие строки:

  • [main]
  • source=1
  • affid=50045
  • id=bbbbbbbbbbbb<ID>
  • server=http://195.**.***.136/
  • downloaded=1


<ID> - значение параметра "MachineGuid" в ключе системного реестра:

  • [HKLM\Software\Microsoft\Cryptography]


Червь обращается по следующему URL адресу:

  • http://195.***.***.138/service/listener.php?affid=50045


И выполняет загрузку стороннего программного обеспечения, по следующему URL адресу:

  • http://195.***.***.139/service/scripts/files/aff_50045.dll


На момент создания описания загружались различные модификации вредоносов семейства Trojan-Dropper.Win32.TDSS.
Загруженный файл сохраняется во временном каталоге текущего пользователя:

  • %Temp%\<rnd2>.tmp

<rnd2> - случайный набор из цифр и букв латинского алфавита. Затем червь запускает на выполнение загруженный файл.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Остановить службу:
    • spooler

    для этого нужно выполнить следующую команду:

    • sc stop spooler

  2. Удалить ключи системного реестра:
    • [HKLM\System\CurrentControlSet\Services\srv<rnd1>]
    • [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\srv<rnd1>]

  3. Удалить файлы:
    • %Temp%\srv<rnd1>.tmp
    • %Temp%\srv<rnd1>.ini
      <имя зараженного диска>:\setup50045.fon
      <имя зараженного диска>:\myporno.avi.lnk
      <имя зараженного диска>:\pornmovs.lnk
      <имя зараженного диска>:\setup50045.lnk
      <имя зараженного диска>:\autorun.inf

    • %Temp%\<rnd2>.tmp

  4. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.