Win32.LazyMin

Jest to rezydentny, zaszyfrowany wirus Win32 o rozmiarze oko艂o 30 KB (kompresja PECompact). Atakuje pliki posiadaj膮ce rozszerzenie EXE. Kod wirusa znajduj膮cy si臋 w zainfekowanym pliku sk艂ada si臋 z dw贸ch cz臋艣ci - instaluj膮cej oraz g艂贸wnej.

Po uruchomieniu zainfekowanego pliku kontrol臋 przejmuje modu艂 instaluj膮cy, kt贸ry deszyfruje kod g艂贸wny i zapisuje go w pliku "C:Rar$DI01.903" posiadaj膮cym format biblioteki DLL. Nast臋pnie kod g艂贸wny jest kopiowany z losow膮 nazw膮 (przyk艂adowo "Kmdldnok.dll") do folderu systemowego Windows i uruchamiany. Po wykonaniu tych czynno艣ci wirus usuwa plik "C:Rar$DI01.903" i rozpoczyna infekowanie wszystkich plik贸w EXE zapisanych na lokalnych dyskach twardych.

Szkodnik wyposa偶ony jest w procedur臋 backdoor, kt贸ra nawi膮zuje po艂膮czenie z internetem i oczekuje na nast臋puj膮ce polecenia hakera:

  • wysy艂anie oraz odbieranie plik贸w,
  • uruchamianie program贸w,
  • wysy艂anie raport贸w dotycz膮cych zainfekowanego systemu,
  • wysy艂anie hase艂 zapisanych w zainfekowanym systemie,
  • uruchamianie wbudowanego serwera FTP,
  • restartowanie komputera,
  • czyszczenie pami臋ci CMOS,
  • dopisywanie do pliku autoexec.bat polecenia formatuj膮cego dysk twardy.

Dodatkowo wirus podejmuje pr贸by zamykania proces贸w popularnych zap贸r ogniowych.

W celu przechowywania w艂asnych danych szkodnik tworzy w rejestrze systemowym nast臋puj膮ce klucze:

HKLMSoftwareMicrosoftMSDN
IDT
PSBAHMBS
fprt
KSE

W kodzie wirusa mo偶na znale藕膰 nast臋puj膮c膮 sygnatur臋:

LazyAdmin30
Release: 00:11 16.10.2002 [LCC-ViR]
LazyAdmin-VX v3.0 by ArkhAdms [DLL]