Троян

Trojan.Peacomm.D

[ Новости о вирусах ]

Троян поступает на компьютер через зараженные веб-страницы, посвященные Хэллоуину (по данным на 31 октября 2007 г.) в файлах-носителях halloween.exe (определяется Symantec как Trojan.Packed.13) или sony.exe (-//-).
При запуске копирует себя как %Windir%noskrnl.exe.
Обеспечивает через реестр автозагрузку этого файла при каждом старте Windows:
HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"noskrnl" = "%Windir%noskrnl.exe"
Отключает брандмауэр Windows:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess"Start" = "4"

Пытается запустить программу синхронизации системных часов:

w32tm.exe /config /synffromflags:manual /manualpeerlist:time.windows.com,time.nist.gov
w32tm.exe /config /update

Записывает драйвер ядра %System%noskrnl.sys (определяется как Trojan.Peacomm.D), регистрирует его и загружает в память. Для драйвера в реестре создается раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesnoskrnl.

Использует функционал руткита для сокрытия себя. Перехватывает системные функции для сокрытия файлов и ключей реестра, начинающихся с "noskrnl":

ZwEnumerateValueKey
ZwQueryDirectoryFile

При помощи руткита прячет процесс noskrnl.exe.

При обнаружении в памяти процессов, принадлежащих антивирусным и другим защитным приложениям, завершает эти процессы:

avp.exe
avpm.exe
avz.exe
bdmcon.exe
bdss.exe
ccapp.exe
ccevtmgr.exe
cclaw.exe
ccpxysvc.exe
fsav32.exe
fsbl.exe
fsm32.exe
gcasserv.exe
iao.exe
icmon.exe
inetupd.exe
issvc.exe
kav.exe
kavss.exe
kavsvc.exe
klswd.exe
livesrv.exe
mcshield.exe
msssrv.exe
nod32krn.exe
nod32ra.exe
pavfnsvr.exe
rtvscan.exe
savscan.exe

Отключает драйверы, принадлежащие антивирусным и другим защитным программам:

bc_hassh_f.sys
bc_ip_f.sys
bc_ngn.sys
bc_pat_f.sys
bc_prt_f.sys
bc_tdi_f.sys
bcfilter.sys
bcftdi.sys
filtnt.sys
mpfirewall.sys
sandbox.sys
vsdatant.sys
watchdog.sys
zclient.exe

Создает/проверяет события (events) Windows, обеспечивающие однократную установку в память модуля и необходимые для связи с драйвером ядра:

ExitEvent
idlock.temp0995499F553D877887444EC7A
Iu6Uu3wJJHF%WYHS
xInstalled

Сохраняет в файле %System%noskrnl.config зашифрованный список адресов участников троянской P2P-сети по умолчанию для связи и обмена данными.

Регистрирует захваченный компьютер в качестве участника P2P-сети, работающей на основе измененной шифрованной версии протокола Overnet. Для регистрации подключается к одному из адресов, указанных в зашифрованном файле.

Использует случайно выбранный UDP-порт для связи с другими компьютерами в P2P-сети.

P2P-сеть может быть использована атакующим для выполнения следующих действий:

Рассылка спама при помощи встроенного SMTP-движка
Сбор системной информации с компьютера (имя, версия ОС, страна, IP-адрес)
Участие в DDoS-атаке
Загрузка и запуск на компьютере произвольных файлов по заданному URL
Обновление трояна

Пытается распространяться, копируя себя в директории, содержащие исполняемые файлы, под именем _install.exe.

Ищет файлы .htm, .html, .php, встраивает в них плавающую рамку (iframe), загружающую вредоносную страницу со своей копией:

На момент составления описания, вредоносные страницы находились по адресам [http://]yxbegan.com и [http://]snlilac.com.

Троян также может подключаться к заданным удаленным FTP серверам для исходящего и входящего копирования файлов.

Может изменить адрес DNS-сервера захваченного компьютера через реестр:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpIpParametersInterfaces[CLSID]"NamServer" = "[DNS SERVER]"

Собирает адреса электронной почты из файлов с расширениями:

.adb
.asp
.cfg
.cgi
.dat
.dbx
.dhtm
.eml
.htm
.jsp
.lst
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Рассылает себя по этим адресам. Игнорирует адреса, содержащие следующие подстроки:

@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

Собирает данные об идентификаторе компьютера в файлообменной сети, находящиеся в ключе реестра HKEY_LOCAL_MACHINEMicrosoftWindowsITStorageFinders"config".

ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Найти и остановить сервис, созданный вредоносной программой.
Действие
Троян для платформы Windows. Собирает и отсылает атакующему системную информацию и списки адресов электронной почты с захваченного компьютера.

Symantec.com