24 kwietnia 2003

Win32.LazyMin - wyposażony w backdoora

Jest to rezydentny, zaszyfrowany wirus Win32 o rozmiarze około 30 KB (kompresja PECompact). Atakuje pliki posiadające rozszerzenie EXE. Kod wirusa znajdujący się w zainfekowanym pliku składa się z dwóch części - instalującej oraz głównej.

Po uruchomieniu zainfekowanego pliku kontrolę przejmuje moduł instalujący, który deszyfruje kod główny i zapisuje go w pliku "C:\Rar$DI01.903" posiadającym format biblioteki DLL. Następnie kod główny jest kopiowany z losową nazwą (przykładowo "Kmdldnok.dll") do folderu systemowego Windows i uruchamiany. Po wykonaniu tych czynności wirus usuwa plik "C:\Rar$DI01.903" i rozpoczyna infekowanie wszystkich plików EXE zapisanych na lokalnych dyskach twardych.

Szkodnik wyposażony jest w procedurę backdoor, która nawiązuje połączenie z internetem i oczekuje na następujące polecenia hakera:

  • wysyłanie oraz odbieranie plików,
  • uruchamianie programów,
  • wysyłanie raportów dotyczących zainfekowanego systemu,
  • wysyłanie haseł zapisanych w zainfekowanym systemie,
  • uruchamianie wbudowanego serwera FTP,
  • restartowanie komputera,
  • czyszczenie pamięci CMOS,
  • dopisywanie do pliku autoexec.bat polecenia formatującego dysk twardy.

Dodatkowo wirus podejmuje próby zamykania procesów popularnych zapór ogniowych.

W celu przechowywania własnych danych szkodnik tworzy w rejestrze systemowym następujące klucze:

HKLM\Software\Microsoft\MSDN
IDT
PSBAHMBS
fprt
KSE

W kodzie wirusa można znaleźć następującą sygnaturę:

LazyAdmin30
Release: 00:11 16.10.2002 [LCC-ViR]
LazyAdmin-VX v3.0 by ArkhAdms [DLL]