Trojan.Lopad.K
( Swizzor )
|
Raspandire
:
|
mare
|
|
|
Dauna
:
|
mare
|
|
Size:
|
18944
|
|
Descoperit
:
|
2006 Apr 05
|
SYMPTOMS:
Se observa multiple instante ale procesului „Internet Explorer” in memorie.
Numeroase directoare, avand denumiri ciudate, situate in %appdata% ce contin diversi virusi, spyware, adware sub forma executabila(extensia exe).
TECHNICAL DESCRIPTION:
Calea exacta pentru "Internet Explorer" este extrasa din registrii.
Se verifica daca codul virusului se executa din spatiul de adrese a iexplorer. Daca nu se intampla acest lucru, este infectata o alta copie a iexplore.exe cu codul viral si apoi e lansata in executie.
Infectia se realizeaza astfel:
descarcarea altor fisiere (virusi, spyware, adware), avand extensia int de la o adresa url aleatoare de forma http://[aleator].bins.lop.com/[sters]
salvarea acestora in directorul %tmp%
mutarea si redenumirea acestora in directorul %appdata%, folosind un nume format din 3 cuvinte aleatoare dintr-un dictionar intern, la care se adauga extensia exe; de aici fisierele vor fi executate, la un moment dat.
Daca infectarea lui iexplorer esueaza atunci virusul ruleaza de sine statator si:
Daca linia de comanda nu contine sirul de caractere "923CCB1F", atunci o casuta de dialog cu titlul "Bad Elmo" si textul "You must install this software as part of the parent program. Press OK to exit." apare inainte de inchidere.
Daca in linia de comanda este prezent argumentul "-newkEm", atunci se cauta o fereastra de clasa "wwBYAwnd" si numele "windWWAA" si ii trimite un mesaj cu id-ul 0x533 dupa care iese. Daca fereastra nu poate fi gasita, se foloseste algoritmul din pasul 3 al procesului de infectie descris mai sus pentru a executa un fisier cu nume aleator(de exemplu cdromruleclose.exe) din %appdata%. Virusul va iesi, da nu inainte de a reincerca trimiterea mesajului anterior.
Daca in linia de comanda este prezent "SWIcertifiedEd 1", atunci este cautat fisierul „%tmp%\bis[numar aleator].tmp” si este sters. In continuare se realizeaza procesul de infectie descris mai sus.
Virusul foloseste siruri de caractere criptate pentru a face analiza sa dificila.
Folosirea argumentelor din linia de comanda este folosita pentru a preveni detectia euristica.
Removal instructions:
Lasati BitDefender sa dezinfecteze fisierele infectate.
ANALYZED BY:
Marian RADU, virus researcher
