Virus.Nimnul.Win32.2

Virus.Nimnul.Win32.2  – вірус, що інфікує exe, dll і Html файли, а також відкриває  зловмиснику дистанційний доступ до зараженої машини. Є додатком Windows (EXE файл). розмір ~ 65 Кбайт.

Методи поширення 

1. Вірус  створює свої  копії на  всіх доступнх для запису дисках, включаючи мережні й знімні, для цього він  копіює своє тіло в папку <диск>:\Recycler\.
   У корені зараженого диска створюється супутній файл  autorun.inf, який дозволить вірусу запускатися щораз, коли користувач відкриває заражений диск за допомогою програми "Провідник".
2. Вірус заражає exe і dll файли, для цього він розширює останню секцію файлу, що заражається, і дописує туди своє тіло. Після чого змінює точку входу, щоб вона вказувала на вірусне тіло.
3. Вірус заражає html файли, для цього він дописує в кінець файлу Java-скрипт,  що містить тіло вірусу в вигляді HEX кодів, а також команди, які витягають його тіло в тимчасову папку й запускають на виконання. Таким чином, при кожному запуску html файлу буде створюватися, і запускатися копія вірусу.

Технічний опис

Після запуску  вірус створює папку microsof, яка може розташовуватися в одній з наступних папок

% System%
 %Windir%
 %Temp%
 %HOMEPATH%
 %HOMEDRIVE%
 %APPDATA%

Після чого вірус копіює туди своє тіло під одним з випадкових імен.

 Наприклад:
 c:\program files\microsoft\watermark.exe

Для автозапуску, при кожному старті системи, вірус додає ключ реєстру:

[HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon\]
 Userinit ="c:\program files\microsoft\watermark.exe"
   (Шлях до тіла вірусу й ім'я вірусу можуть приймати різні значення)

В одній з папок створюється конфігураційний файл вірусу, під ім'ям dmlconf.dat

Наприклад:
 C:\WINDOWS\system32\dmlconf.dat

Після запуску вірус запускає браузер, і впроваджується в його адресний простір. Також вірус впроваджується в пам'ять інших системних процесів, таких як lsass.exe, svchost.exe і т.д.

Наявність заражених процесів у системі дозволяє вірусу інфікувати exe і html файли, а також протидіяти спробам вилучити його файли із системи, або змінити записи в реєстрі.

Для контролю  свого процесу вірус створює унікальний ідентифікатор Mutex з ім'ям  “__PDH_PLA_MUTEX__”.

Деструктивні можливості

Після запуску вірус перевіряє наявність доступу до мережі Internet, звертаючись до сервера google.com, після чого створює з'єднання із сервером зловмисників для одержання команд управління.

Вірус, по команді з віддаленого сервера, може завантажувати на заражений комп'ютер файли й запускати їх на виконання, у такий спосіб на комп'ютері може виявитися велика кількість різноманітного шкідливого ПО, такого як Backdoor, троянські програми й т.п.

рекомендації з лікування

Для видалення шкідливого програмного забезпечення необхідно виконати повну перевірку інфікованого комп'ютера антивірусом Zillya з новими антивірусними базами.