Win32.Alman

Тип вируса: Файловый вирус

Размер:

Уязвимые ОС: Win NT-based

Упакован: -

• При своём запуске создаёт следующие файлы: %windir%\linkinfo.dll, %systemroot%\system32\drivers\nvmini.sys и временный файл %systemroot%\system32\drivers\IsDrv118.sys.
• Отслеживает подключение новых сменных носителей и, при подключении таковых, создаёт на них файлы boot.exe и autorun.inf.
• Скрывает своё присутствие в инфицированной системе, пряча свои установленнные файлы:
  

  nvmini.sys
  linkinfo.dll
  autorun.inf
  boot.exe
  

  а также ветки реестра с подстрокой "nvmini".

• Блокирует загрузку драйверов (антируткиты и сетевые фильтры):
  

  ISPUBDRV
  ISDRV1
  RKREVEAL
  PROCEXP
  SAFEMON
  RKHDRV10
  NPF
  IRIS
  NPPTNT
  DUMP_WMIMMC
  SPLITTER
  EAGLENT
  

• Анализирует таблицы импортов и блокирует драйверы, работающие с KeServiceDescriptorTable.

• Блокирует загрузку следующих библиотек:
  

  DLLWM.DLL
  DLLHOSTS.DLL
  NOTEPAD.DLL
  RPCS.DLL
  RDIHOST.DLL
  RDFHOST.DLL
  RDSHOST.DLL
  LGSYM.DLL
  RUND11.DLL
  MDDDSCCRT.DLL
  WSVBS.DLL
  CMDBCS.DLL
  RICHDLL.DLL
  WININFO.RXK
  WINDHCP.DLL
  UPXDHND.DLL
  

• Внедряет свою библиотеку в Explorer.exe
• Ожидает свои обновления в файле %windir%\AppPatch\AcLue.dll
• Заражает файлы на всех дисках, за исключением системных файлов, защищенных SFC или находящихся в подкаталогах:
  

  \QQ
  \WINNT\
  \WINDOWS\
  LOCAL SETTINGS\TEMP\
  

• Не заражает файлы их списка:
  

  zhengtu.exe
  audition.exe
  kartrider.exe
  nmservice.exe
  ca.exe
  nmcosrv.exe
  nsstarter.exe
  maplestory.exe
  neuz.exe
  zfs.exe
  gc.exe
  mts.exe
  hs.exe
  mhclient-connect.exe
  dragonraja.exe
  nbt-dragonraja2006.exe
  wb-service.exe
  game.exe
  xlqy2.exe
  sealspeed.exe
  asktao.exe
  dbfsupdate.exe
  autoupdate.exe
  dk2.exe
  main.exe
  userpic.exe
  zuonline.exe
  config.exe
  mjonline.exe
  patcher.exe
  meteor.exe
  cabalmain.exe
  cabalmain9x.exe
  cabal.exe
  au_unins_web.exe
  xy2.exe
  flyff.exe
  xy2player.exe
  trojankiller.exe
  patchupdate.exe
  ztconfig.exe
  woool.exe
  wooolcfg.exe
  

• Завершает процессы других вредоносных программ:
  

  sxs.exe
  lying.exe
  logo1_.exe
  logo_1.exe
  fuckjacks.exe
  spoclsv.exe
  nvscv32.exe
  svch0st.exe
  c0nime.exe
  iexpl0re.exe
  ssopure.exe
  upxdnd.exe
  wdfmgr32.exe
  spo0lsv.exe
  ncscv32.exe
  iexplore.exe
  iexpl0re.exe
  ctmontv.exe
  explorer.exe
  internat.exe
  lsass.exe
  smss.exe
  svhost32.exe
  rundl132.exe
  msvce32.exe
  rpcs.exe
  sysbmw.exe
  tempicon.exe
  sysload3.exe
  run1132.exe
  msdccrt.exe
  wsvbs.exe
  cmdbcs.exe
  realschd.exe
  

• Осуществляет попытки распространения по локальной сети, подключаясь как Administrator, используя пароли:
  

  ""
  "admin"
  "1"
  "111"
  "123"
  "aaa"
  "12345"
  "123456789"
  "654321"
  "!@#$"
  "asdf"
  "asdfgh"
  "!@#$%"
  "!@#$%^"
  "!@#$%^&"
  "!@#$%^&*"
  "!@#$%^&*("
  "!@#$%^&*()"
  "qwer"
  "admin123"
  "love"
  "test123"
  "owner"
  "mypass123"
  "root"
  "letmein"
  "qwerty"
  "abc123"
  "password"
  "monkey"
  "password1"
  

  В случае удачи создает в корневом каталоге диска С файл setup.exe и удаленно его запускает.

• Осуществляет попытки скачать другие вредоносные программы через браузер по умолчанию, например:
  Trojan.PWS.Gamania.4375,Trojan.PWS.Wow.632, Trojan.PWS.Legmir.1949