Virus.Nimnul.Win32.2

Virus.Nimnul.Win32.2  – вирус, заражающий exe, dll и Html файлы, а также  открывающий  злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (EXE файл). размер ~ 65 Кбайт.

Методы распространения 

1. Вирус  создает свои  копии на  всех доступных для записи дисках, включая сетевые и съемные, для этого он  копирует свое тело в папку "<диск>:\Recycler\".
   В корне зараженного диска создается сопутствующий файл  autorun.inf, который позволит вирусу запускаться каждый раз, когда пользователь открывает зараженный диск при помощи программы "Проводник".
2. Вирус заражает exe и dll файлы, для этого он расширяет последнюю секцию заражаемого файла и дописывает туда своё тело. После чего изменяет точку входа, чтобы она указывала на вирусное тело.
3. Вирус заражает html файлы, для этого он дописывает в конец файла Java-скрипт  содержащий тело вируса в HEX кодах, а также команды, которые извлекают его тело во временную папку и запускают на выполнение. Таким образом, при каждом запуске html файла будет создаваться, и запускаться копия вируса.

Техническое описание

После запуска  вирус создает папку microsof, которая может располагаться  в одной из следующих папок

%System%
%WinDir%
%Temp%
%HOMEPATH%
%HOMEDRIVE%
%APPDATA%

После чего копирует туда свое тело под одним из случайных имён.

 Например:
 c:\program files\microsoft\watermark.exe

Для автозапуска, при каждом старте системы, вирус добавляет ключ реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\]
Userinit ="c:\program files\microsoft\watermark.exe"
   (Путь к телу вируса и имя вируса могут принимать разные значения)

В одной из папок создается конфигурационный файл вируса, под именем dmlconf.dat

Например:
C:\WINDOWS\system32\dmlconf.dat

После запуска вирус запускает браузер, и внедряется в его адресное пространство. Также вирус внедряется в память других системных процессов, таких как lsass.exe, svchost.exe и т.д.

Наличие зараженных процессов в системе позволяет вирусу инфицировать exe и html файлы, а также противодействовать попыткам удалить его файлы из системы, или изменить записи в реестре.

Для контроля  своего процесса вирус создает уникальный идентификатор Mutex с именем  “__PDH_PLA_MUTEX__”.

Деструктивные возможности

После запуска вирус проверяет наличие сети Internet, обращаясь к серверу google.com, после чего создает соединение с сервером злоумышленников для получения команд управления.

Вирус, по команде с удаленного сервера, может загружать на зараженный компьютер файлы и запускать их на выполнение, таким образом на компьютере может оказаться большое количество разнообразного вредоносного ПО, такого как Backdoor , троянские программы и т.п.

рекомендации по лечению

Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.