Virus.Win32.Alman.b (Kaspersky)
W32.Almanahe.B!inf (Symantec)
W32/Almanahe.c (McAfee)
Jest to szkodnik polimorficzny wykorzystujący wiele technik znanych dla rootkitów.
uruchamia się z folderu systemowego Windows. Startuje od pliku linkinfo.dll
Następnie zrzuca do folderu system\drivers pliki cdralw.sys i IsDrv122.sys
Dodaje się też do rejestru
Kod: Zaznacz cały
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%variable%] "DisplayName" = "NVIDIA Compatible Windows Miniport Driver" "ImagePath" = "%system%\drivers\%variable%.sys"
gdzie jako variable pojawia się nvmini lub cdralw. Następnie już uruchomiony wirus szuka w sterownikach plików exe.
Nie rusza plików:
Kod: Zaznacz cały
LOCAL SETTINGS\TEMP\
\QQ
\WINDOWS\
\WINNT\
Unika też plików:
Kod: Zaznacz cały
asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
ztconfig.exe
zuonline.exe
launcher.exe
repair.exe
wow.exe
zhengtu.exe
大话西游.exe
Sam szkodnik dodaje się na koniec plików wykonywalnych. Próbuje się też skopiować do folderu głównego jako plik setup.exe a sam plim jest zdalnie uruchamiany.
Wykorzystuje też kodno Administrator z hasłami:
Kod: Zaznacz cały
admin
1
111
123
aaa
12345
123456789
654321
!@#$
asdf
asdfgh
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
qwer
admin123
love
test123
owner
mypass123
root
letmein
qwerty
abc123
password
monkey
password1
Przerywa też działanie programów
Kod: Zaznacz cały
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
iexpl0re.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo_1.exe
logo1_.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svhost32.exe
svch0st.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
Na koniec je kasuje. Może też wyłączać komputery oraz ściągać i uruchamiać inne pliki z Internetu.
źródło: ESET