W32.Gampxia

Новости

Тип:

Червь Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).

Операционная система:

Windows

Уровень:

низкий

Размер:

18.432 байта

Признаки

При запуске создает следующие файлы:

  • C:\WINDOWS\Temp\svchost.exe
  • C:\Documents and Settings\All Users\[Kaishi Caidan]\[Chengxu]\[Qidong]\svchost.exe

Вышеуказанные файлы создаются только на версиях Windows, локализованных подупрощенную китайскую кодировку (Simplified Chinese).

Для всех версий Windows создает следующие файлы:

  • C:\WINDOWS\cs.txt (чистый файл)
  • C:\WINDOWS\Temp\Url.txt (файл конфигурации, содержимое которого получает потом из интернета)
  • C:\WINDOWS\Temp\winpcap.exe (программа WinPcap)
  • C:\WINDOWS\Temp\arp.exe (копия Hacktool)

(Замечание: неизвестно, является ли arp.exe хакерским инструментом (Hacktool),либо это стандартная утилита Windows для работы с адресными таблицами)

Копирует себя на все диски в корень под именем svchost.exe; там же создаетфайл autorun.inf, содержащий команду “open=svchost.exe”. Таким образом червьзапускается при подключении диска к системе.

Заменяет своей копией исполняемый файл Диспетчера задач (taskmgr.exe в системнойдиректории Windows).

Удаляет в реестре подключ:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

Устанавливает системное время на 1 декабря 1989 года, что позволяет запретитьсканирование системы некоторыми антивирусами от Kaspersky.

Загружает Infostealer.Gampass, троян, крадущий реквизиты доступа к игровымсерверам, с URL [http://]www.balbv.cn/xz/12387617/log[???].

Копия Hacktool загружается с URL [http://]www.balbv.cn/xz/12387617/arp.exe.

WinPCap загружается с URL [http://]www.balbv.cn/xz/12387617/winpcap.exe

Пытается распространяться через сетевой ресурс \C$\, копируя туда файлыSetup.exe и или AutoExec.bat.

Отправляет атакующему оповещение о захвате компьютера, включая информацию обантивирусных приложениях, работающих в системе, по следующему URL: [http://]www.sitama.cn/lin[???]

Удаляет все файлы с расширением .gho на дисках D:, E: и F:.

Внедряет код в файлы с расширениями .jsp, .html, .htm, .aspx, .asp и .phpна дисках D:, E: и F:. Данные “зараженные” файлы определяются антивирусамиSymantec как W32.Gampxia!html.

Закрывает окна, относящиеся к антивирусным приложениям, по их именам:

  • NOD32
  • Rising (на китайском)
  • Jiangmin (на китайском)
  • Kaspersky (на китайском)
  • Kingsoft (на китайском)

Завершает процессы 360tray.exe и 360safe.exe.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием на все диски, включая съемные и сетевые. Загружает на компьютер копии Infostealer.Gampass, Hacktool и библиотеку перехвата трафика WinPCap.

Внедряет в HTML-файлы код обращения к сайту атакующего.

Устанавливает системное время в 1 декабря 1989 г.