Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 14.09.2010, 18:48

P2P-Worm.Win32. BlackControl.g

Вредоносная программа, перехватывающая обращения пользователя к различным сайтам, перенаправляя их на адреса злоумышленника. Кроме этого содержит функционал для рассылки фишинговых писем. Распространяется по электронной почте и используя Peer-to-Peer сети. Является приложением Windows (PE-EXE файл). Имеет размер ~300 кБайт. Написана на С++.
Инсталляция

После запуска вредоносная программа копирует свой исполняемый файл в системный каталог windows:
%system%\HPWuSchdq.exe

А также извлекает из себя и создает на диске исполняемый файл, который также является частью вредоносной программы:
%appdata%\SystemProc\lsass.exe

Для автоматического запуска при каждом следующем старте системы добавляет ссылку на свои исполняемые файлы в следующие ключи автозапуска системного реестра:
[HKСU\Software\Microsoft\Windows\CurrentVersion\Run]
"HP Software Updater v1.2"="%system%\HPWuSchdq.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run]
"RTHDBPL"="%appdata%\SystemProc\lsass.exe"

Добавляет свой файл в список доверенный приложений Windows Firewall:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\Auth orizedApplications\List]
"%system%\HPWuSchdq.exe"="%system%\HPWuSchdq.exe:* :Enabled:Explorer"

Также программа может создавать следующие значения ключа реестра, в которых хранит свои настройки:
[HKСU\Identities]
"Curr version"
"Inst Date"
"Last Date"
"Send Inst"
"First Start"
"Popup count"
"Popup date"
"Popup time"
"KillSelf"

Деструктивная активность

После установки программа сообщает серверу об удачном заражении компьютера по следующему адресу:
http://contr***.com/inst.php?aid=blackout

Определяет местоположение компьютера по его ip адресу, запрашивая его с сайта:
http://whatis***.com/automation/n09230945.asp

Далее программа следит за работой следующих браузеров:
Internet Explorer
Opera
Google Chrome
Mozilla Firefox

Если пользователь заходит на страницу, в заголовке которой содержится одно и слов:
cialis pharma casino finance mortgage insurance gambling health hotel travel
antivirus antivir pocker poker video vocations design graphic football footbal
estate baseball books gifts money spyware credit loans dating myspace
virus verizon amazon iphone software mobile music craigslist sport medical school
wallpaper military weather twitter fashion spybot trading tramadol flower
cigarettes doctor flights airlines comcast

Программа перехватывает это запрос к странице, и перенаправляет его на адрес:
http://oxobla***.com/se.php?pop=1&aid=YmxhY2tvdX
QA9D8&sid=<rnd>&key=<keyword>

Где <rnd>- сгенерированное число, <keyword> - одно из указанных выше ключевых слов.

Также программа отслеживает все поисковые запросы пользователя, которые он вводит в следующих поисковых системах:
google
yahoo
live
msn
bing
youtobe

Информация вводимая в строку поиска отправляется на адрес:
http://tetro***.com/request.php?aid=blackout&ver=25

Программа выполняет поиск всех Email адресов на компьютере, по которым далее рассылает следующие письма:

В этом письме ссылка "visit our verification page" направляет пользователя на поддельную фишинговую страницу http://bar***.ath.cx/LogIn.html, контролируемую злоумышленником.

На данной странице пользователю предлагается ввести конфиденциальные данные для доступа к системе интернет-банкинга Barclays Bank.

Завершает процессы известных антивирусов и антивирусных утилит, в том числе

Kaspersky Anti-Virus

Antivirus System Tray Tool

Avira Internet Security

AntiVir PersonalEdition Classic Service

Rising Process Communication Center

При этом также удаляя ссылки на них из ключа автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Может блокировать доступ к сайтам различных антивирусных компаний.

Отключает службу контроля пользовательских учетных записей (User Account Control) в Windows Vista/7:
[HKLM\SOFTWARE\Microsoft\Security Center]
"UACDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system]
"EnableLUA"=dword:00000000

А также отключает следующие сервисы:

ERSvc - Служба регистрации ошибок (Error Reporting Service)
wscsvc - Служба центра обеспечения безопасности(Windows Security Center Service)

Программа скачивает обновление с одного из следующих адресов:
http://simfree***.com/update.php?sd=...7&aid=blackout
http://posit***.com/update.php?sd=20...7&aid=blackout
http://rts***.com/update.php?sd=2010-04-27&aid=blackout
http://quli***.com/update.php?sd=201...7&aid=blackout

Новая версия вредоносной программы скачивается в файл C:\autoexec.exe и запускается, после чего этот файл удаляется.

На момент создания описания ссылка не работала.
Распространение

Для распространения по электронной почте, программа рассылает себя в следующих письмах, прикрепляя свой исполняемый файл в приложение к письму под разными именами:

14.09.2010, 18:48	#16
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,638 раз(а) в 4,437 сообщениях Вес репутации: 49	P2P-Worm.Win32. BlackControl.g Вредоносная программа, перехватывающая обращения пользователя к различным сайтам, перенаправляя их на адреса злоумышленника. Кроме этого содержит функционал для рассылки фишинговых писем. Распространяется по электронной почте и используя Peer-to-Peer сети. Является приложением Windows (PE-EXE файл). Имеет размер ~300 кБайт. Написана на С++. Инсталляция После запуска вредоносная программа копирует свой исполняемый файл в системный каталог windows: %system%\HPWuSchdq.exe А также извлекает из себя и создает на диске исполняемый файл, который также является частью вредоносной программы: %appdata%\SystemProc\lsass.exe Для автоматического запуска при каждом следующем старте системы добавляет ссылку на свои исполняемые файлы в следующие ключи автозапуска системного реестра: [HKСU\Software\Microsoft\Windows\CurrentVersion\Run] "HP Software Updater v1.2"="%system%\HPWuSchdq.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run] "RTHDBPL"="%appdata%\SystemProc\lsass.exe" Добавляет свой файл в список доверенный приложений Windows Firewall: [HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\ FirewallPolicy\StandardProfile\Auth orizedApplications\List] "%system%\HPWuSchdq.exe"="%system%\HPWuSchdq.exe:* :Enabled:Explorer" Также программа может создавать следующие значения ключа реестра, в которых хранит свои настройки: [HKСU\Identities] "Curr version" "Inst Date" "Last Date" "Send Inst" "First Start" "Popup count" "Popup date" "Popup time" "KillSelf" Деструктивная активность После установки программа сообщает серверу об удачном заражении компьютера по следующему адресу: http://contr*.com/inst.php?aid=blackout Определяет местоположение компьютера по его ip адресу, запрашивая его с сайта: http://whatis.com/automation/n09230945.asp Далее программа следит за работой следующих браузеров: Internet Explorer Opera Google Chrome Mozilla Firefox Если пользователь заходит на страницу, в заголовке которой содержится одно и слов: cialis pharma casino finance mortgage insurance gambling health hotel travel antivirus antivir pocker poker video vocations design graphic football footbal estate baseball books gifts money spyware credit loans dating myspace virus verizon amazon iphone software mobile music craigslist sport medical school wallpaper military weather twitter fashion spybot trading tramadol flower cigarettes doctor flights airlines comcast Программа перехватывает это запрос к странице, и перенаправляет его на адрес: http://oxobla.com/se.php?pop=1&aid=YmxhY2tvdX QA9D8&sid=<rnd>&key=<keyword> Где <rnd>- сгенерированное число, <keyword> - одно из указанных выше ключевых слов. Также программа отслеживает все поисковые запросы пользователя, которые он вводит в следующих поисковых системах: google yahoo live msn bing youtobe Информация вводимая в строку поиска отправляется на адрес: http://tetro.com/request.php?aid=blackout&ver=25 Программа выполняет поиск всех Email адресов на компьютере, по которым далее рассылает следующие письма: В этом письме ссылка "visit our verification page" направляет пользователя на поддельную фишинговую страницу http://bar.ath.cx/LogIn.html, контролируемую злоумышленником. На данной странице пользователю предлагается ввести конфиденциальные данные для доступа к системе интернет-банкинга Barclays Bank. Завершает процессы известных антивирусов и антивирусных утилит, в том числе Kaspersky Anti-Virus Antivirus System Tray Tool Avira Internet Security AntiVir PersonalEdition Classic Service Rising Process Communication Center При этом также удаляя ссылки на них из ключа автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Может блокировать доступ к сайтам различных антивирусных компаний. Отключает службу контроля пользовательских учетных записей (User Account Control) в Windows Vista/7: [HKLM\SOFTWARE\Microsoft\Security Center] "UACDisableNotify"=dword:00000001 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system] "EnableLUA"=dword:00000000 А также отключает следующие сервисы: ERSvc - Служба регистрации ошибок (Error Reporting Service) wscsvc - Служба центра обеспечения безопасности(Windows Security Center Service) Программа скачивает обновление с одного из следующих адресов: http://simfree.com/update.php?sd=...7&aid=blackout http://posit.com/update.php?sd=20...7&aid=blackout http://rts.com/update.php?sd=2010-04-27&aid=blackout http://quli**.com/update.php?sd=201...7&aid=blackout Новая версия вредоносной программы скачивается в файл C:\autoexec.exe и запускается, после чего этот файл удаляется. На момент создания описания ссылка не работала. Распространение Для распространения по электронной почте, программа рассылает себя в следующих письмах, прикрепляя свой исполняемый файл в приложение к письму под разными именами: __________________