Уязвимые ОС: Win NT- based
Размер: 20 - 45 Кбайт
Упакован: может быть упакован различными упаковщиками
- Может распространяться либо в результате спам-рассылки, либо устанавливаться на компьютер сторонними вредоносными программами - загрузчиками или дропперами (например, Trojan.MulDrop.7173).
- При своём запуске устанавливает в систему драйвер runtime.sys по пути %WINDIR%\System32\drivers.
- Установленный драйвер %WINDIR%\System32\drivers\runtime.sys регситрирует в системном реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime\ImagePath:
"\??\C:\WINDOWS\System32\drivers\runtime.sys"
- Осуществляет скрытый запуск Internet Explorer и производит попытки соединения с удалённым сервером. В случае неудачи, соединяется с другим сервером и так до тех пор, пока не установит соединение с одним из своих целевых серверов. После получения отзыва положительного от определённого сервера скачивает обновления своих модулей. Скачанный дроппер сохраняется во временный каталог профиля пользователя - %USERPROFILE%\Temp и запускается на исполнение.
- При своём запуске, скачанный дроппер устанавливает в %Systemroot%\system32\drivers драйвер runtime2.sys, который маскирует наличие компонент вредоносной программы, перехватывая IRP-обработчики драйвера файловой системы, а также загрузчик %WINDIR%\Temp\startdrv.exe, который регистриует в секции автозагрузки системного реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
startdrv = "%WINDIR%\Temp"
- Осуществляет рассылку спама по найденным в инфицированной системе почтовым адресам. Поиск почтовых адресов осуществляется в файлах со следующими расширениями:
.txt
.adb
.asp
.dbx
.eml
.fpt
.htm
.inb
.mbx
.php
.pmr
.sht
.tbb
.wab
- Перехватывает функции KiST (KeServiceDescriptorTable):
ZwQuerySystemInformation
ZwClose
ZwReadFile
ZwQueryInformationFile
ZwOpenFile
Восстанавливает свои перехваты в случае их снятия.
Отследить сетевую активность и завершить процесс Internet Explorer можно посредством утилиты TCPView. Для этого в рабочем окне TCPView найдите запись <explorer>:[PID] TCP <имя компьютера> <удалённой адрес:порт> <тип пакета>, щёлкните правой кнопкой мыши и выберите "End Process".
"Вирусный" драйвер необходимо удалить обновлённым сканером Dr.Web или бесплатной лечащей утилитой Dr.Web Cureit!, предварительно перезагрузив инфицированный компьютер в Безопасный режим без поддержки сетевых устройств.
