Trojan-Ransom.Win32.Blocker

Имя файла: xvidDecoder60.exe
Размер: 101.50 Kb
Date/Time Stamp(GMT): 14.04.2009 15:34
http://www.virustotal.com/ru/analisis/26e9e579b640bed619561b23c10ce799
http://www.threatexpert.com/report.aspx?md5=ad2067912176a415afe89e43686507af
Дропер трояна WinLock, извлекает в папку темп файл с рандомным именем и префиксом don. Устанавливает его в автозагрузку, дописав на старте к userinit.exe.
Имя файла: don2.tmp.exe
Размер: 110.50 Kb
Date/Time Stamp(GMT): 14.04.2009 15:34
http://www.virustotal.com/ru/analisis/15168836395103bf6b573acf8bb8fe85
http://www.threatexpert.com/report.aspx?md5=c4d964a404ac82a5f1fa44237fe52f6b
Файл сильно замусорен, очень много лишнего кода. Создает дополнительный десктоп на нем рисует следующею картинку:

Код генерится на основе версии Windows и текущей даты. Если просто нечего не делать, то это спустя пару часов блокировка будет снята, а файл самоудалится. Код для снятия блокировки генерится по формуле:
(((((((X/(2^16))&15)*149)%167)*16+(((X/(2^12))&15)*108)%151)*16+(((X/(2^8))&15)*31)%163)*16+(((X/(2^4))&15)*29)%179)*16+((X&15)*53)%197=
, где X число из текста СМС равено числу текста СМС начиная с 4 символа
Командный центр: f3g3fff3fggff3.com
Имя файла: _don18.exe
Размер: 133.00 Kb
Date/Time Stamp(GMT): 24.04.2009 14:32
http://www.virustotal.com/ru/analisis/dbe138abe259534aa6c3b199156b0faf
http://www.threatexpert.com/report.aspx?md5=ea90969e13d2061054e8dd276720d0d0
Код очень похож на предыдущей экземпляр, похожее окошко:

Код для анлока вычисляется по той же формуле, только X – начиная с третьего символа, по два символа через один (для кода с картинки X=676200). Командный центр: 91.212.132.180

Virus.Win32.Virut.av

Имя файла: NOTEPAD.EXE
Размер: 74.50 Kb
Date/Time Stamp(GMT): 04.08.2004 6:05
http://www.virustotal.com/ru/analisis/40352a18cbc7be8d8c17ef4c670cb7c7
http://www.threatexpert.com/report.aspx?md5=127c54b4211f076ef745788acbd3bdaa
Обычный блокнот заражен вирусом Virut. Размер файла увеличился на 7 Кб. Увеличение за счет расширения последней секции файла, в данном случаи секции ресурсов. Переход на добавленный код сразу на точке входа. Сначала вирус расшифровывает свое тело, затем создает мэпируемую секцию “SectVirtu”, добавляет себе отладочные права, перебирает процессы в системе, затем к пятому по счету процессу (winlogon.exe), мэпируется созданная секция и делает инжект (CreateRemoteThread). В новом потоке производится запись в файл “C:\WINDOWS\system32\DRIVERS\ETC\HOSTS” строки “127.0.0.1 NtKrnlpa.info”. Из ветки “SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer” читает ключ TargetHost. Затем в ветку "SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" добавляется исключение для встроенного фаервола.
Затем идет запрос на командный сервер "proxim.ntkrnlpa.info"

Net-Worm.Win32.Kolabc.gda

Имя файла: unwise_.exe
Размер: 137 Кб
Time/Date Stamp (GMT): 26 марта 2009 г. 06:03:13
http://www.virustotal.com/ru/analisis/a4ec604685deb703f90bcc59cd775a47
http://www.threatexpert.com/report.aspx?md5=bf3e95a24e203f680465e165ba4a02b1
Файл в несколько слоев обернут протекторами: первый не представляет из себя нечего сложного, во втором и третьем применена антиотладка и антидамп. После распаковки оказалось, что программа написана на С++. Качество кода достаточно низкое.
Вначале как всегда инициализация импорта. Затем идут антиотладочные проверки: IsDebuggerPresent, поиск строк VMware в реестре, проверка GetTickCount и т.д., в случаи нахождения чего-либо подозрительного программа самоудаляется с помощью BAT файла. Далее идет странная проверка на хук функции MessageBox, проверяются первые 5 байт этой функции и если это “E8 00 04 00 60” (CALL куда?), то программа зацикливается.

После этого расшифровываются строки, часть строк зашифрована по замысловатому алгоритму, основанному на XOR, а часть с использованием алгоритм BlowFish. Файл копируется в папку FONTS и запускается как служба с именем “Windows Host Controller”. Затем запускается новый поток, который проверяет наличие мютекса "gx000032", если он есть, то система уже инфицирована и процесс завершается. Программа читает ключи из ветки реестра “SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions” и если там есть ключи с именами файлов, то они удаляются. Затем в эту ветку записывается дата и время заражения, и время работы системы. Далее просматриваются и отправляются в командный центр список служб, доступность записи в реестр и общие сетевые ресурсы. Очищается кеш DNS и все журналы событий. Червь правит множество параметров в реестре для своей комфортной работы по сети, включая отключение встроенного бранмауера и проброс портов с помощью программы “netsh.exe”.
Далее начинается непосредственно работа с командным центром. В программу зашит большой список IRC серверов, которые можно использовать для управления ботом:
cx10man.weedns.com
fx010413.whyI.org
gynoman.weedns.com
c010x1.co.cc
commgr.co.cc
g.0x20.biz
telephone.dd.blueline.be
phonewire.dd.blueline.be
phonelogin.dd.blueline.be
ufospace.etowns.net
theforums.bbsindex.com
phonewire.dnip.net
phonelogin.dnip.net
koopa.dnip.net
cx10man.weedns.com
fx010413.whyI.org
gynoman.weedns.com
c010x1.co.cc
commgr.co.cc
g.0x20.biz
telephone.dd.blueline.be
phonewire.dd.blueline.be
phonelogin.dd.blueline.be
ufospace.etowns.net
theforums.bbsindex.com
phonewire.dnip.net
phonelogin.dnip.net
koopa.dnip.net
Интересно, что среди большого количества функций по управлению ботом (апдейт, сбор информации, DoS, заражение USB дисков и т.д.), есть функция самоуничтожения. При запросе информации о версии, бот отправляет: “Built: Mar 26 2009 01:02:59 g.3.2 (g.3.2.3.fp)”.

Worm.Win32.AutoRun.bix

Имя файла: fnexsjs.exe
Размер: 24,6 Кб
http://www.virustotal.com/ru/analisis/366c1b1ad51d3fd7ea8c3109e0e7b8e6
http://www.threatexpert.com/report.aspx?md5=16802528a2e57daa1179c67ad15bd485
Файл упакован Upack. После распаковки размер ~ 150 Кб. Написан на Delphi. Качество кода отвратительное. Файл оказался китайским вирусом, написанным на делфи, логика работы соответствующая… Делает следующие: копирует себя в папки “Common Files\System\” и “Common Files\Microsoft Shared\”, копируется на все диски в качестве autorun(для этого перебирает все буквы), inf файл такого вида:
[AutoRun]
open=fnexsjs.exe
shell\open=ґтїЄ(&O)
shell\open\Command=fnexsjs.exe
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command=fnexsjs.exe
,отключает показ скрытых файлов, прописывается в автозапуск, отключает некоторые сервисы (wscsvc, helpsvc, wuauserv, SharedAccess), не дает перезагрузится в безопасный режим, по заголовку окна убивает некоторые процессы (диспетчер процессов, IceSword и т.д.), ставит себя отладчиком при старте некоторых файлов (Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\) и еще уйма китайского кода. Возможные китайские названия: "the AV End", "Animal Virus", "the Kind of AV End". Командный центр: www.webweb.com.