Virus.Win32.Nakuru.a

Материал из Total Malware Info

Virus.Win32.Nakuru.a Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 220160 байт. Упакована с помощью UPX. Распакованный размер 497 КБ. Написана на Borland Delphi.

Содержание 1 Распространение 2 Инсталляция 3 Деструктивная активность 4 Рекомендации по удалению

Распространение

Распространяется на сменных носителях в виде исполняемых файлов, имитирующих внешним видом оригинальные файлы офисных приложений MS Word и MS Excel. Установочный файл содержит вирусную часть и оригинальный офисный файл. При запуске установочного файла происходит извлечение вируса в системный каталог Windows с именем:

%System%\kspoold.exe

и выполняется запуск этого файла с ключами командной строки INSTALL и SILENT. После этого из файла вируса извлекается оригинальный офисный файл, а вирусный инсталлятор удаляется.

Инсталляция

При запуске с ключом командной строки "INSTALL" выполняет проверку наличия отключенной службы с именем:

kspooldaemon

и если это так, происходит удаление этой службы. Далее при наличии службы с таким именем в списке всех служб происходит ее запуск. После этого в зависимости от ключей командной строки происходят следующие действия:

• INSTALL – инсталляция вредоносной программы в качестве системной службы с именем:

kspooldaemon

• UNINSTALL – деинсталляция вредоносной программы из списка служб
• SILENT – не отображать сообщение об инсталляции/деинсталляции программы

Деструктивная активность

При запуске службы вируса происходит создание потока с наименьшим приоритетом (для сокрытия вредоносной активности), в котором и выполняются деструктивные действия. Для всех логических дисков, начиная с логического диска C, выполняется проверка типа диска. Для не виртуальных дисков производится рекурсивный поиск всех файлов, начиная с корневого каталога этого диска. При совпадении файлового расширения со следующими расширениями из списка:

.DOC
.XLS 

и если этот диск является сменным носителем, выполняется создание файла с именем найденного файла и файловым расширением ".EXE". Этот файл содержит вредоносный код, извлекаемый из тела вируса, само тело вируса из файла:

%System%\kspoold.exe

найденный файл, а также иконку, соответствующую файловому типу найденного файла. После этого оригинальный найденный файл удаляется. Если файловое расширение совпало с одним из следующих:

.MDF
.LDF
.DBF
.BAK

и имя файла не соответсвует именам из списка:

distmdl.ldf
distmdl.mdf
master.mdf
mastlog.ldf
model.mdf
modellog.ldf
msdbdata.mdf
msdblog.ldf
mssqlsystemresource.ldf
mssqlsystemresource.mdf
northwnd.ldf
northwnd.mdf
pubs.mdf
pubs_log.ldf
tempdb.mdf
templog.ldf

то выполняется порча этого файла. Если размер такого файла меньше или равен 16384 байтам, то происходит полная перезапись этого файла случайными данными, иначе перезаписывается первые 8192 байта файла, в конец файла дописывается 8192 нулевых байта (ошибка алгоритма?) и 8192 байта случайных данных. Индикацию проверяемых дисков выполняют файлы с расширением ".tmp", расположенные во временном каталоге Windows, имена которых состоят из строки "Uninstall" и именем логического диска:

%Temp%\Uninstall%DriveLetter%.tmp

Рекомендации по удалению

1. При помощи "Диспетчера задач" завершить процесс:

   kspoold.exe.

2. Удалить оригинальный файл вредоносной программы (его расположение на компьютере зависит от способа, которым программа попала на компьютер).
3. В редакторе реестра удалить значения ключа реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\kspooldaemon]

Альтернативный метод:

4. Выполнить приложение:

   %System%\kspoold.exe /UNINSTALL