Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

W32.Harakit

автор: Administrator | 30 сентября 2009, 11:00 | Просмотров: 15037
теги: Вредоносные программы, Червь, W32.Harakit, Windows, IRC сервер, ресурсы, файл, черный ход



Описание:
Троян-червь для платформы Windows. Распространяется копированием на совместно используемые сетевые ресурсы, съемные диски и интернет-пейджеры. Открывает в системе "черный ход" через IRC сервер.

Тип вредоносной программы:
Червь

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
низкий

Размер:
454.134 байта

Технические детали:
При старте создает следующие файлы:
%SystemDrive%\khq
%SystemDrive%\khr
%System%\cftm.exe
%System%\cftmen.exe

%SystemDrive% - системный диск
%System% - системная директория Window


Затем копирует себя как "%System%\csrcs.exe" и удаляет копию, с которой был запущен. Копирует себя в корень каждого диска, доступного для записи, создавая там же файл автозапуска autorun.inf.

Обеспечивает себе автозагрузку при каждом старте системы. Для этого вносит в реестр следующие записи (последнюю - модифицирует):
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ Explorer\ Run\ "cftm" = "C:\WINDOWS\system32\cftm.exe"

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ Explorer\ Run\ "csrcs" = "C:\WINDOWS\system32\csrcs.exe"

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ "cftm" = "C:\WINDOWS\system32\cftm.exe"

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices\ "cftm" = "C:\WINDOWS\system32\cftm.exe"

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ "Shell" = "Explorer.exe csrcs.exe"


Через реестр отключает отображение файлов в системной директории:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ "ShowSuperHidden" = "0"

Может создать и заполнить различными данными следующие ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM

HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Nod

Может удалить следующие записи в реестре:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\"NoDriveTypeAutoRun" = "B5"

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\"NoDriveAutoRun" = "FF FF FF 03"

Может удалять из реестра записи с целью понижения защищенности системы:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ NonEnum

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ system

Для обеспечения НСД атакующему, подключается к IRC-серверу для получения и выполнения следующих команд:
- Сбор конфиденциальной информации
- Работа на IRC-каналах в качестве бота
- Загрузка и запуск дополнительных исполняемых файлов
- Обновление себя

Пытается подключаться к ряду URL:
- akitaka.oct382x.com/lexum/genst.htm
- checkip.dyndns.org/?rndl
- diesam.moe.hm/ii/133.php
- geoloc.daiguo.com
- lemox.myhome.cx
- oct382x.com/4.exe
- oct382x.com/4.php
- oct382x.com/lexum/genste.htm
- sousi/extasix.com/genst.htm
- tonkor.or.tp/llkah.htm
- tonkor.or.tp/worlog1.php
- tonkor.or.tp/worlog2.php
- tonkor.or.tp/worlog3.php
- tonkor.or.tp/worlog4.php
- tonkor.or.tp/worlog5.php
- tonkor.or.tp/worlog6.php
- www.whatismyip.com/?rndl
- www.whatismyip.com/automation/n09230945.asp
- zkarmy.dip.jp/oolksh.htm

Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.

Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.