На работе поймали серьезный вирус. Очень крепко засел в системе, заразил все EXE файлы и чуть было не устроил эпидемию по сети. благо фаеры и антивири не пустили гаденыша.

(BackDoor.Generic6.REC, Generic4.I, PE_CORELINK.A-O, PE_CORELINK.C, Rootkit.Win32.Agent.ev, Rootkit.Win32.Agent.ga, TROJ_AGENT.THK, TROJ_CORELINK.A, Trojan.Rootkit.AY, Virus.Win32.Alman.a, Virus.Win32.Alman.b, W32/Backdoor.AMKY, Win32.Almanahe.B, Win32/Alman, Win32/Almanahe, Win32/Almanahe!generic, Win32/Almanahe.A, Win32/Almanahe.F)
Добавлен в вирусную базу Dr.Web: 2007-06-08 17:12
Тип вируса: Файловый вирус

Уязвимые ОС: Win NT-based

Техническая информация

При своём запуске создаёт следующие файлы: %windir%\linkinfo.dll, %systemroot%\system32\drivers\nvmini.sys и временный файл %systemroot%\system32\drivers\IsDrv118.sys.

Отслеживает подключение новых сменных носителей и, при подключении таковых, создаёт на них файлы boot.exe и autorun.inf.

Скрывает своё присутствие в инфицированной системе, пряча свои установленнные файлы:

nvmini.sys
linkinfo.dll
autorun.inf
boot.exe

а также ветки реестра с подстрокой "nvmini".

Блокирует загрузку драйверов (антируткиты и сетевые фильтры):

ISPUBDRV
ISDRV1
RKREVEAL
PROCEXP
SAFEMON
RKHDRV10
NPF
IRIS
NPPTNT
DUMP_WMIMMC
SPLITTER
EAGLENT

Анализирует таблицы импортов и блокирует драйверы, работающие с KeServiceDescriptorTable.

Блокирует загрузку следующих библиотек:

DLLWM.DLL
DLLHOSTS.DLL
NOTEPAD.DLL
RPCS.DLL
RDIHOST.DLL
RDFHOST.DLL
RDSHOST.DLL
LGSYM.DLL
RUND11.DLL
MDDDSCCRT.DLL
WSVBS.DLL
CMDBCS.DLL
RICHDLL.DLL
WININFO.RXK
WINDHCP.DLL
UPXDHND.DLL

Внедряет свою библиотеку в Explorer.exe

Ожидает свои обновления в файле %windir%\AppPatch\AcLue.dll

Заражает файлы на всех дисках, за исключением системных файлов, защищенных SFC или находящихся в подкаталогах:

\QQ
\WINNT\
\WINDOWS\
LOCAL SETTINGS\TEMP\

Не заражает файлы их списка:

zhengtu.exe
audition.exe
kartrider.exe
nmservice.exe
ca.exe
nmcosrv.exe
nsstarter.exe
maplestory.exe
neuz.exe
zfs.exe
gc.exe
mts.exe
hs.exe
mhclient-connect.exe
dragonraja.exe
nbt-dragonraja2006.exe
wb-service.exe
game.exe
xlqy2.exe
sealspeed.exe
asktao.exe
dbfsupdate.exe
autoupdate.exe
dk2.exe
main.exe
userpic.exe
zuonline.exe
config.exe
mjonline.exe
patcher.exe
meteor.exe
cabalmain.exe
cabalmain9x.exe
cabal.exe
au_unins_web.exe
xy2.exe
flyff.exe
xy2player.exe
trojankiller.exe
patchupdate.exe
ztconfig.exe
woool.exe
wooolcfg.exe

Завершает процессы других вредоносных программ:

sxs.exe
lying.exe
logo1_.exe
logo_1.exe
fuckjacks.exe
spoclsv.exe
nvscv32.exe
svch0st.exe
c0nime.exe
iexpl0re.exe
ssopure.exe
upxdnd.exe
wdfmgr32.exe
spo0lsv.exe
ncscv32.exe
iexplore.exe
iexpl0re.exe
ctmontv.exe
explorer.exe
internat.exe
lsass.exe
smss.exe
svhost32.exe
rundl132.exe
msvce32.exe
rpcs.exe
sysbmw.exe
tempicon.exe
sysload3.exe
run1132.exe
msdccrt.exe
wsvbs.exe
cmdbcs.exe
realschd.exe

Осуществляет попытки распространения по локальной сети, подключаясь как Administrator, используя пароли:

""
"admin"
"1"
"111"
"123"
"aaa"
"12345"
"123456789"
"654321"
"!@#$"
"asdf"
"asdfgh"
"!@#$%"
"!@#$%^"
"!@#$%^&"
"!@#$%^&*"
"!@#$%^&*("
"!@#$%^&*()"
"qwer"
"admin123"
"love"
"test123"
"owner"
"mypass123"
"root"
"letmein"
"qwerty"
"abc123"
"password"
"monkey"
"password1"

В случае удачи создает в корневом каталоге диска С файл setup.exe и удаленно его запускает.

Осуществляет попытки скачать другие вредоносные программы через браузер по умолчанию, например:
Trojan.PWS.Gamania.4375,Trojan.PWS.Wow.632, Trojan.PWS.Legmir.1949
Взято с https://vms.drweb.com/virus/?i=154207