WOweb.ru - Scripts - JavaScript New Window

 
Доброе время суток, Непроверенная личность

Здравствуйте, мы рады вас видеть. Пожалуйста зарегистрируйтесь или авторизуйтесь!
Главная » 2010 » Август » 20 » P2P-Worm.Win32.BlackControl.g
16:15
P2P-Worm.Win32.BlackControl.g
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Технические детали

Вредоносная программа, перехватывающая обращения пользователя к различным сайтам, перенаправляя их на адреса злоумышленника. Кроме этого содержит функционал для рассылки фишинговых писем. Распространяется по электронной почте и используя Peer-to-Peer сети. Является приложением Windows (PE-EXE файл). Имеет размер ~300 кБайт. Написана на С++. Инсталляция

После запуска вредоносная программа копирует свой исполняемый файл в системный каталог windows: %system%\HPWuSchdq.exe
А также извлекает из себя и создает на диске исполняемый файл, который также является частью вредоносной программы: %appdata%\SystemProc\lsass.exe
Для автоматического запуска при каждом следующем старте системы добавляет ссылку на свои исполняемые файлы в следующие ключи автозапуска системного реестра: [HKСU\Software\Microsoft\Windows\CurrentVersion\Run]
"HP Software Updater v1.2"="%system%\HPWuSchdq.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"RTHDBPL"="%appdata%\SystemProc\lsass.exe"

Добавляет свой файл в список доверенный приложений Windows Firewall: [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\Auth orizedApplications\List]
"%system%\HPWuSchdq.exe"="%system%\HPWuSchdq.exe:*:Enabled:Explorer"

Также программа может создавать следующие значения ключа реестра, в которых хранит свои настройки: [HKСU\Identities] "Curr version" "Inst Date" "Last Date" "Send Inst" "First Start" "Popup count" "Popup date" "Popup time" "KillSelf"
Деструктивная активность

После установки программа сообщает серверу об удачном заражении компьютера по следующему адресу: http://contr***.com/inst.php?aid=blackout
Определяет местоположение компьютера по его ip адресу, запрашивая его с сайта: http://whatis***.com/automation/n09230945.asp
Далее программа следит за работой следующих браузеров: Internet Explorer Opera Google Chrome Mozilla Firefox
Если пользователь заходит на страницу, в заголовке которой содержится одно и слов: cialis pharma casino finance mortgage insurance gambling health hotel travel
antivirus antivir pocker poker video vocations design graphic football footbal
estate baseball books gifts money spyware credit loans dating myspace
virus verizon amazon iphone software mobile music craigslist sport medical school
wallpaper military weather twitter fashion spybot trading tramadol flower
cigarettes doctor flights airlines comcast
Программа перехватывает это запрос к странице, и перенаправляет его на адрес: http://oxobla***.com/se.php?pop=1&aid=YmxhY2tvdX
QA9D8&sid=&key=

Где - сгенерированное число, - одно из указанных выше ключевых слов.
Также программа отслеживает все поисковые запросы пользователя, которые он вводит в следующих поисковых системах: google yahoo live msn bing youtobe
Информация вводимая в строку поиска отправляется на адрес: http://tetro***.com/request.php?aid=blackout&ver=25
Программа выполняет поиск всех Email адресов на компьютере, по которым далее рассылает следующие письма:
В этом письме ссылка "visit our verification page" направляет пользователя на поддельную фишинговую страницу http://bar***.ath.cx/LogIn.html, контролируемую злоумышленником.
На данной странице пользователю предлагается ввести конфиденциальные данные для доступа к системе интернет-банкинга Barclays Bank.
Завершает процессы известных антивирусов и антивирусных утилит, в том числе Kaspersky Anti-Virus Antivirus System Tray Tool Avira Internet Security AntiVir PersonalEdition Classic Service Rising Process Communication Center
При этом также удаляя ссылки на них из ключа автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Может блокировать доступ к сайтам различных антивирусных компаний.
Отключает службу контроля пользовательских учетных записей (User Account Control) в Windows Vista/7: [HKLM\SOFTWARE\Microsoft\Security Center]
"UACDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA"=dword:00000000

А также отключает следующие сервисы:
ERSvc - Служба регистрации ошибок (Error Reporting Service)
wscsvc - Служба центра обеспечения безопасности(Windows Security Center Service)
Программа скачивает обновление с одного из следующих адресов: http://simfree***.com/update.php?sd=2010-04-27&aid=blackout http://posit***.com/update.php?sd=2010-04-27&aid=blackout http://rts***.com/update.php?sd=2010-04-27&aid=blackout http://quli***.com/update.php?sd=2010-04-27&aid=blackout
Новая версия вредоносной программы скачивается в файл C:\autoexec.exe и запускается, после чего этот файл удаляется.
На момент создания описания ссылка не работала. Распространение

Для распространения по электронной почте, программа рассылает себя в следующих письмах, прикрепляя свой исполняемый файл в приложение к письму под разными именами:
Также распространяется используя Peer-to-Peer сети, копируя себя в следующие расшаренные папки: %ProgramFiles%\winmx\shared\ %ProgramFiles%\tesla\files\ %ProgramFiles%\limewire\shared\ %ProgramFiles%\morpheus\my shared folder\ %ProgramFiles%\emule\incoming\ %ProgramFiles%\edonkey2000\incoming\ %ProgramFiles%\bearshare\shared\ %ProgramFiles%\grokster\my grokster\ %ProgramFiles%\icq\shared folder\ %ProgramFiles%\kazaa lite k++\my shared folder\ %ProgramFiles%\kazaa lite\my shared folder\ %ProgramFiles%\kazaa\my shared folder\
Под следующими именами: YouTubeGet 5.6.exe Youtube Music Downloader 1.3.exe WinRAR v3.x keygen [by HiXem].exe Windows2008 keygen and activator.exe [+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe Windows Password Cracker + Elar3 key.exe [Eni0j0 team] Windows 7 Ultimate keygen.exe Windows 2008 Enterprise Server VMWare Virtual Machine.exe Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe Website Hacker.exe [Eni0j0 team] Vmvare keygen.exe VmWare 7.x keygen.exe UT 2003 KeyGen.exe Twitter FriendAdder 2.3.9.exe Tuneup Ultilities 2010.exe [antihack tool] Trojan Killer v2.9.4173.exe Total Commander7 license+keygen.exe Super Utilities Pro 2009 11.0.exe Sub7 2.5.1 Private.exe Sophos antivirus updater bypass.exe sdbot with NetBIOS Spread.exe [fixed]RapidShare Killer AIO 2010.exe Rapidshare Auto Downloader 3.8.6.exe Power ISO v4.4 + keygen milon.exe [patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe [patched, serial not needed] PDF to Word Converter 3.4.exe PDF password remover (works with all acrobat reader).exe Password Cracker.exe Norton Internet Security 2010 crack.exe Norton Anti-Virus 2010 Enterprise Crack.exe Norton Anti-Virus 2005 Enterprise Crack.exe NetBIOS Hacker.exe NetBIOS Cracker.exe [patched, serial not need] Nero 9.x keygen.exe Myspace theme collection.exe MSN Password Cracker.exe Mp3 Splitter and Joiner Pro v3.48.exe Motorola, nokia, ericsson mobil phone tools.exe Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe Microsoft Visual Studio KeyGen.exe Microsoft Visual C++ KeyGen.exe Microsoft Visual Basic KeyGen.exe McAfee Total Protection 2010 [serial patch by AnalGin].exe Magic Video Converter 8.exe LimeWire Pro v4.18.3 [Cracked by AnalGin].exe L0pht 4.0 Windows Password Cracker.exe K-Lite Mega Codec v5.2 Portable.exe K-Lite Mega Codec v5.2.exe Keylogger unique builder.exe Kaspersky Internet Security 2010 keygen.exe Kaspersky AntiVirus 2010 crack.exe IP Nuker.exe Internet Download Manager V5.exe Image Size Reducer Pro v1.0.1.exe ICQ Hacker Trial version [brute].exe Hotmail Hacker [Brute method].exe Hotmail Cracker [Brute method].exe Half-Life 2 Downloader.exe Grand Theft Auto IV [Offline Activation + mouse patch].exe Google SketchUp 7.1 Pro.exe G-Force Platinum v3.7.6.exe FTP Cracker.exe DVD Tools Nero 10.x.x.x.exe Download Boost 2.0.exe Download Accelerator Plus v9.2.exe Divx Pro 7.x version Keymaker.exe DivX 5.x Pro KeyGen generator.exe DCOM Exploit archive.exe Daemon Tools Pro 4.8.exe Counter-Strike Serial key generator [Miona patch].exe CleanMyPC Registry Cleaner v6.02.exe Brutus FTP Cracker.exe Blaze DVD Player Pro v6.52.exe BitDefender AntiVirus 2010 Keygen.exe Avast 5.x Professional.exe Avast 4.x Professional.exe Ashampoo Snap 3.xx [Skarleot Group].exe AOL Password Cracker.exe AOL Instant Messenger (AIM) Hacker.exe AnyDVD HD v.6.3.1.8 Beta incl crack.exe Anti-Porn v13.x.x.x.exe Alcohol 120 v1.9.x.exe Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe Adobe Illustrator CS4 crack.exe Adobe Acrobat Reader keygen.exe Ad-aware 2010.exe [patched, serial not needed] Absolute Video Converter 6.2-7.exe
Просмотров: 485 | Добавил: ADMINISTRATOR | Теги: антивирус, Новый вирус, опасно
Всего комментариев: 0
СКАЧИВАТЬ ФАЙЛЫ, ДОБОВЛЯТЬ КОММЕНТАРИИ МОГУТ ТОЛЬКО ЗАРЕГИСТРИРОВАННЫЕ ПОЛЬЗОВАТЕЛИ!!!.
[ Регистрация | Вход ]
 
ANIMEFM.RU
 
Установите Flash player
 
 
 
Кто у нас онлайн:
                                                                                                
 

Вверх Владельцы и создатели данного сайта не несут ответственность за использование и содержание ссылок и информации, представленных на этом сайте, а также за возможное игнорирование пользователями коммерческого статуса программного обеспечения, к которому ведут ссылки, представленные на данном сайте
сайт софта, варез, проги для компа, soft скачать бесплатно, бесплатный софт без регистрации, без регистрации бесплатный софт скачать, Программы и софт, скачать бесплатно программы для компьютера, скачать бесплатно софт, бесплатные программы для windows 7, софт 2011 без регистрации, скачать софт, программы софт, бесплатный софт, программы скачать, программы бесплатно, скачать бесплатно софт, программы скачать бесплатно, лвгейм, директх 10, directx, copenhagen windows 8, новая виндовс, Copenhagen OS Emulation Suite, интерфейс Windows 8 бесплатно, без регистрации без смс		 Хостинг от uCoz
Карта сайта | Карта форума