Worm.Win32.Skipi.a
Robak ma posta膰 pliku PE EXE o rozmiarze 188 416 bajt贸w. Powsta艂 w j臋zyku programowania C++.
W celu ukrycia swojej obecno艣ci przed u偶ytkownikiem robak otwiera nast臋puj膮cy plik przy u偶yciu przegl膮darki obraz贸w (zak艂adaj膮c, 偶e plik ten jest obecny na zaatakowanej maszynie):
%WinDir%Soap Bubbles.bmp
Po uruchomieniu robak kopiuje sw贸j plik wykonywalny do foldera systemowego z nast臋puj膮cymi nazwami:
%System%wndrivs.exe %System%mshtml32.exe %System%sdrives32.exe %System%winlgcver.exe
Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz z ka偶dym startem systemu operacyjnego, robak dodaje do rejestru systemowego odsy艂acz do swojego pliku wykonywalnego (%WormCopy% prowadzi do jednego z poni偶szych plik贸w):
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
"Start Services" = "%WormCopy%"
"Windows Explorer" = "explorer.exe %WormCopy%"
"Logon Data" = "%WormCopy%"
"Policies Settings" = ""
Robak tworzy r贸wnie偶 nast臋puj膮cy klucz rejestru systemowego:
Robak rozprzestrzenia si臋 za po艣rednictwem Skype'a. Jest zarz膮dzany zdalnie za pomoc膮 wyspecjalizowanego interfejsu API. Wysy艂a wiadomo艣ci do wszystkich z listy kontakt贸w. Szkodnik tworzy wiadomo艣膰 skomponowan膮 z jednych z poni偶szych (wybranych) ci膮g贸w tekstowych:
hey how are u ? :) look your photos looks realy nice where I put ur photo :D I used photoshop and edited it look what crazy photo Tiffany sent to me... haha lol now u populr really funny you checked ? oops sorry please don't look there :S oh sry not for u u happy ? this (happy) sexy one what ur friend name wich is in photo ? labas esi? ziurek kur tavo foto imeciau :D kaip as taves noriu zek kur tavo foto metos isdergta cia tu isimetei ? cia biski su photoshopu pazaidziau bet... kas cia tavim taip isderge ? =]] patinka? geras ane ? matai :D as net nezinau ka tavo vietoj daryciau... :S pala biski
Wiadomo艣膰 zawiera odsy艂acz do pliku robaka:
Poni偶ej znajduje si臋 przyk艂ad wiadomo艣ci wys艂anych przez robaka:
[17:59:05] User says: how are u ? :) [17:59:22] User says: look what crazy photo Tiffany sent to me,looks cool [17:59:26] User says: http://www%InfectedURL%.jpg [17:59:37] User says: oops sorry please don't look there :S [17:59:40] User says: :)
W celu zamaskowania programu robak wykorzystuje ikonk臋 pliku Windows.
Gdy zaatakowana maszyna jest po艂膮czona z Internetem, robak mo偶e pobiera膰 pliki z nast臋puj膮cych odsy艂aczy:
http://www.****me.org/erotic-gallerys/usr5d8c/****.jpg (w momencie powstawania tego opisu odsy艂acz ten nie dzia艂a艂) http://www.****space.net/erotic-gallerys/usr5d8c/****.scr - plik ten ma rozmiar 188 416 bajt贸w i jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Worm.Win32.Skipi.c
Robak rozprzestrzenia si臋 r贸wnie偶 poprzez kopiowanie si臋 do pami臋ci flash pod艂膮czonej do zaatakowanej maszyny. Szkodnik kopiuje si臋 do foldera g艂贸wnego z nast臋puj膮cymi nazwami:
game.exe zjbs.exe
Robak tworzy plik o nazwie "autorun.inf" w folderze g艂贸wnym pami臋ci flash. Plik ten zawiera nast臋puj膮cy kod:
[autorun] action=Windows Picture and Fax Viewer open=zjbs.exe icon=zjbs.exe
Dzi臋ki temu robak mo偶e si臋 automatycznie uruchamia膰, gdy pami臋膰 flash jest pod艂膮czona do niezainfekowanej maszyny.
Robak modyfikuje r贸wnie偶 nast臋puj膮cy plik:
%System%driversetchosts
W rezultacie, 偶膮dania do poni偶szych stron aktualizacji antywirusowych baz danych przekierowywane s膮 na losowo wybrany adres IP:
avast.com avp.com ca.com drweb.comeset.com f-secure.com symantec.com pandasoftware.com sophos.com mcafee.com kaspersky-labs.com kaspersky.ru symantecliveupdate.com viruslist.com networkassociates.com norman.com trendmicro.com nai.com grisoft.com esaugumas.lt virustotal.com windowsupdate.microsoft.com jotti.org bkav.com.vn bitdefender.com barracudanetworks.com free-av.com nod32-es.com my-etrust.com
Robak ko艅czy r贸wnie偶 procesy, je偶eli nazwy proces贸w zawieraj膮 jeden z poni偶szych ci膮g贸w:
53ARCH _AVP32 _AVPCC _AVPM ACKWIN32 ADAWARE ADVXDWIN AGENTSVR AGENTW ALERTSVC ALEVIR ALOGSERV AMON9X ANTI-TROJAN ANTIVIRUS APIMONITOR APLICA32 APORTS APVXDWIN ARMKILLER ATCON ATGUARD ATRO55EN ATUPDATER ATWATCH AUPDATE AUTODOWN AUTOTRACE AUTOUPDATE AVCONSOL AVE32 AVGCC32 AVGCTRL AVGNT AVGSERV AVGSERV9 AVGUARD AVKPOP AVKSERV AVKSERVICE AVKWCTl9 AVLTMAIN AVP32 AVPCC AVPDOS32 AVPTC32 AVPUPD AVSCHED32 AvSynMgr AVWIN95 AVWINNT.EXE AVWUPD AVWUPD32 AVWUPSRV AVXMONITOR9X AVXMONITORNT AVXQUAR BACKWEB BARGAINS BD_PROFESSIONAL BEAGLE BIDEF BIDSERVER BIPCP BIPCPEVALSETUP BLACKD BLACKICE BOOTCONF BOOTWARN BORG2 BRASIL BS120 BUNDLE CCAPP CCEVTMGR CCPXYSVC CFGWIZ CFIADMIN CFIAUDIT CFINET CFINET32 Claw95 CLAW95CF CLEAN CLEANER CLEANER3 CLEANPC CLICK CLIENT CMD32 CMESYS CMGRDIAN CMON016 CONDOM CPF9X206 CPFNT206 CRACKER CWNB181 CWNTDWMO DATEMANAGER DCOMX DEFALERT DEFSCANGUI DEFWATCH DEPUTY DLLCACHE DLLREG DOORS DPFSETUP DPPS2 DRWATSON DRWEB32 DRWEBUPW DSSAGENT DVP95 DVP95_0 ECENGINE EFPEADM ESAFE ESCANH95 ESCANHNT ESCANV95 ESPWATCH ETHEREAL ETRUSTCIPE EXE.AVXW EXPERT EXPLORE F-AGNT95 F-AGOBOT F-PROT F-PROT95 F-STOPW FAMEH32 FCH32 FIH32 FINDVIRU FIREWALL FLOWPROTECTOR FNRB32 FP-WIN FP-WIN_TRIAL FPORT FPROT FRHED FSAV32 FSAV530STBYB FSAV530WTBYB FSAV95 FSGK32 FSM32 FSMA32 FSMB32 GATOR GBMENU GBPOLL GENERICS GUARD GUARDDOG HACKTRACERSETUP HBINST HBSRV HIJACKTHIS HONEYD HOTACTIO HOTPATCH HTLOG HTPATCH HXIUL IAMAPP IAMSERV IAMSTATS IBMASN IBMAVSP ICESWORD ICLOAD95 ICLOADNT ICMON ICSUPP95 ICSUPPNT IEDLL IEDRIVER IEXPLORER IFACE IFW2000 IISLOCKD INETLNFO INFUS INFWIN INTDEL INTREN IOMON98 IPARMOR ISASS ISRV95 ISTSVC JAMMER JDBGMRG KAVLITE40ENG KAVPERS40ENG KAVPF KAVSVC KAZZA KEENVALUE KERNEL32 LAUNCHER LDNETMON LDPRO LDPROMENU LDSCAN LNETINFO LOADER LOCALNET LOCKDOWN LOCKDOWN2000 LOGGER LOGVIEWER LOOKOUT LORDPE LSETUP LUALL LUCOMSERVER LUINIT LUSPT MAPISVC32 MCAGENT MCMNHDLR MCSHIELD MCTOOL MCUPDATE MCVSRTE MCVSSHLD MFIN32 MFW2EN MFWENG3.02D30 MGAVRTCL MGAVRTE MGHTML MINILOG MONITOR MOOLIVE MOSTAT MPFAGENT MPFSERVICE MPFTRAY MRFLUX MSAPP MSBLAST MSCACHE MSCCN32 MSCMAN MSCONFIG MSDOS MSIEXEC16 MSINFO32 MSLAUGH MSMGT MSMSGRI32 MSSMMC32 MSSYS MSVXD MU0311AD MWATCH N32SCANW NAVAP.NAVAPSVC NAVAPSVC NAVAPW32 NAVDX NAVLU32 NAVNT NAVSTUB NAVW32 NAVWNT NC2000 NCINST4 NDD32 NEOMONITOR NEOWATCHLOG NETARMOR NETD32 NETINFO NETMON NETSCANPRO NETSTAT NETUTILS NISSERV NISUM NMAIN NOD32 NOD32CC NOD32KRN NOD32KUI NOD32M2 NORMIST NOTSTART NPFMESSENGER NPROTECT NPSCHECK NPSSVC NSCHED32 NSSYS32 NSTASK32 NSUPDATE NTRTSCAN NTVDM NTXconfig NUPGRADE NVARCH16 NVC95 NVSVC32 NWINST4 NWSERVICE NWTOOL16 OLLYDBG ONSRVR OPTIMIZE OSTRONET OTFIX OUTPOST OUTPOSTINSTALL PADMIN PANIXK PATCH PAVCL PAVPROXY PAVSCHED PCC2002S902 PCC2K_76_1436 PCCIOMON PCCNTMON PCCWIN97 PCCWIN98 PCDSETUP PCFWALLICON PCIP10117_0 PCSCAN PDSETUP PEDASM PENIS PERISCOPE PERSFW PERSWF pexplorer PFWADMIN PGMONITR PINGSCAN PLATIN PMDUMP POP3TRAP POPROXY POPSCAN PORTDETECTIVE PORTMONITOR POWERSCAN PPINUPDT PPTBC PPVSTOP PRIZESURFER PRMVR PROCDUMP PROCESSMONITOR PROCEXP PROGRAMAUDITOR PROPORT PROTECTX PURGE PUSSY PVIEW95 QCONSOLE QSERVER RAPAPP RAV7WIN RAV8WIN32ENG RCSYNC REALMON REGCLEANER REGED REGEDIT REGEDT32 RERGCLEANR RESCUE RESCUE32 RRGUARD RSHELL RTVSCAN RTVSCN95 RULAUNCH RUN32DLL RUNDLL RUNDLL16 RUXDLL32 SAFEWEB SAHAGENT SAVENOW SBSERV SCAM32 SCAN32 SCAN95 SCANPM SCRSCAN SCRSVR SCVHOST SERV95 SERVICE SERVLCE SERVLCES SETUPVAMEEVAL SGSSFW32 SHELLSPYINSTALL SHOWBEHIND SMSS32 SPERM SPHINX SPOLER SPOOLCV SPOOLSV32 SPYXX SREXE SS3EDIT SSG_4104 SSGRATE START STCLOADER SUPFTRL SUPPORT SUPPORTER5 SVCHOSTC SVCHOSTS SVSHOST SWEEP95 SYMPROXYSVC SYMTRAY SYSEDIT SYSTEM SYSTEM32 SYSUPD TASKMG TASKMO TASKMON TAUMON TBSCAN TCPVIEW TDS-3 TDS2-98 TDS2-NT TEEKIDS TFAK5 TGBOB TITANIN TITANINXP TRACERT TRICKLER TRJSCAN TRJSETUP TROJANTRAP3 TSADBOT TVTMD UNDOBOOT UPDAT UPDATE UPGRAD UTPOST VBCMSERV VBCONS VBUST VBWIN9X VBWINNTW VCSETUP VET32 VET95 VETTRAY VFSETUP VIR-HELP VNLAN300 VNPC3000 VPC32 VPC42 VPFW30S VPTRAY VSCAN40 VSCENU6.02D30 VSCHED VSECOMR VSHWIN32 VSISETUP VSMAIN VSMON VSSTAT VSWIN9XE VSWINNTSE VSWINPERSE W32DSM89 WATCHDOG WEBDAV WEBSCANX WEBTRAP WFINDV32 WGFE95 WHOSWATCHINGME WIMMUN32 WIN-BUGSFIX WIN32 WIN32US WINACTIVE WINDBG WINDOW WINDOWS WINDUMP WININETD WININIT WININITX WINLOGIN WINMAIN WINNET WINPPR32 WINRECON WINSERVN WINSSK32 WINSTART WINSTART001 WINTSK32 WINUPDATE WKUFIND WRADMIN WRCTRL WSBGATE WUPDATER WUPDT XPF202EN ZAPRO ZAPSETUP3001 ZATUTOR ZONALM2601 ZONEALARM
Je偶eli zostanie podj臋ta pr贸ba zako艅czenia nast臋puj膮cych proces贸w:
wndrivs.exe mshtml32.exe sdrives32.exe winlgcver.exe
kod robaka wstrzykni臋ty do procesu "explorer.exe" zostanie powt贸rnie uruchomiony.
Wykrywanie
Wykrywanie tej wersji robaka zosta艂o dodane do antywirusowych baz danych firmy Kaspersky jako uaktualnienie pilne.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Uruchom komputer w trybie awaryjnym (podczas sekwencji startowej nale偶y wcisn膮膰 i przytrzyma膰 klawisz F8, a nast臋pnie wybra膰 "tryb awaryjny" z menu tekstowego, kt贸re pojawi si臋 na ekranie).
- Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 wszystkie pliki stworzone przez robaka:
%System%wndrivs.exe %System%mshtml32.exe %System%sdrives32.exe %System%winlgcver.exe
- Usu艅 nast臋puj膮ce klucze rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
"Start Services" = "%WormCopy%"[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Windows Explorer" = "explorer.exe %WormCopy%"
"Logon Data" = "%WormCopy%"[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
"Policies Settings" = "[HKLMSoftwareRMXcfg]
- Zmodyfikuj plik %System%driversetchosts przy u偶yciu standardowej aplikacji (np. Notepad). Usu艅 ci膮gi dodane przez robaka. Oryginalny plik hosts posiada nast臋puj膮c膮 zawarto艣膰:
# Copyright (c) 1993-1999 Microsoft Corp. # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # This file contains the mappings of IP addresses to host names. Each entry should be kept on an individual line. #The IP address should be placed in the first column followed by the corresponding host name. #The IP address and the host name should be separated by at least one space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost
- Sprawd藕 wszystkie pami臋ci flash, kt贸re zosta艂y pod艂膮czone do zaatakowanej maszyny w celu wykrycia obecno艣ci nast臋puj膮cych plik贸w w folderze g艂贸wnym:
game.exe zjbs.exe autorun.inf
- Je艣li pliki takie zostan膮 znalezione, usu艅 je.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).