--------------------------------------------------------------------------------

Описание

В распространяемых почтовых сообщениях адресатам предлагается посетить Интернет-ресурс gsm-card.iscool.net и загрузить универсальный генератор кодов для пополнения абонентских счетов мобильных операторов Украины. При запуске программы компьютер заражается троянцем, который выдает уведомление о необходимости перечисления 25 грн на определенный счет для восстановления работоспособности ПК. Имя программы CodGen7.9.exe. Размер 53964 байта.

Запуск вируса

С целью обеспечения автозапуска своей копии в системе троян вносит следующие значения в ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run :
“winlogon.exe” = C:\WINDOWS\system32\services.db.exe
“svchost” = C:\WINDOWS\inf\svchost.exe

Распространение

Способов самостоятельного распространения (почтовая рассылка, использование удаленных уязвимостей) не выявлено. Для заражения системы необходимо загрузить программу с указанного выше ресурса и запустить ее.

Действия

1) Программа копирует себя в директорию C:\WINDOWS\system32 под именем services.db.exe и в директорию C:\WINDOWS\inf под именем svchost.exe.
2)Создаёт следующие директории на диске С:
Типа Windows
062014622823780
302308736266644
447515826626665
824523728671442
3) Меняет атрибуты директорий Windows и Program Files на Скрытый
4) Блокируется запуск системных утилит для запуска редактора реестра Windows путём задания следующих значений в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
5) Блокирует запуск стандартных системных утилит Администрирования в Windows, в том числе Восстановление Системы;
6) Удаляет все пункты системного меню Windows, кроме Программы, Настройка
7) Удаляет все иконки с Рабочего стола;
8) Подменяет стартовую страницу Internet Explorer путём внесения следующих изменений в реестре:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = _http://poetry.rotten.com/uday/index19.html
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = _http://poetry.rotten.com/uday/index19.html
9) Блокирует выгрузку Internet Explorerа и изменение его свойств путём задания в реестре следующих значений:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoBrowserClose=1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoNavButtons=1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoSelectDownloadDir=1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoBrowserContextMenu=1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoBrowserOptions=1
10) Блокируется запуск Диспетчера Задач Windows, а также команды Завершения/перезагрузки системы через стандартный графический интерфейс.

Рекомендации по восстановлению системы

В случае заражения системы рекомендуется произвести следующие действия:
A. Воспользоваться дисковым сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT! для сканирования диска С. Действие для файлов из п. 1) – удалить.
B. Произвести загрузку системы с загрузочного СD диска, например Live CD XP;
C. Восстановить первичную контрольную точку воcстановления Windows (созданную при инсталляции Windows), воспользовавшись дополнительными утилитами по восстановлению реестра сторонних производителей. Подробнее о контрольных точках восстановления Windows см. _http://support.microsoft.com/default.aspx?scid=kb;ru;310405