Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-Downloader
Предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы). Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра:
"Hidden" = "0"
"ShowSuperHidden" = "0"
Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:
"HideFileExt" = "1"
Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню "Свойства папки" для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:
"NoFolderOptions" = "1"
После чего троянец создает в системном каталоге Windows скрытый файл "рsаdоr18.dll":
В этот файл троянец помещает следующие адреса электронной почты:
ot02_***@mail.ru
Также троянец извлекает из своего тела руткит "рsagоr18.sys". Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов "рsаdоr18.dll" и "АHTОMSYS19.exe", а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов.
При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке.
Во время работы троянец отслеживает появление в системе окон со следующими заголовками:
Сканер NOD32 по требованию - [Профиль центра управления - Локально]
Сканер NOD32 по требованию - [Профиль контекстного меню]
NOD32 - Предупреждение
Пpeдупpeждeниe Редактор конфиг
урации NOD32 - [Untitled]
Антивирус Касперского Personal
0- выполняется проверка...
Карантин
Настройка обновления
Настройка карантина и резервного хранилища
Выберите файл для отправки на исследование
AVP.MessageDialog
AVP.MainWindow
AVP.Product_Notification
AVP.SettingsWindow
AVP.ReportWindow
Agnitum Outpost Firewall - configuration.cfg
Настройка системы
Редактор реестра
RegEdit_RegEdit
В случае обнаружения такие окна будут закрываться автоматически.
Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем "CDburn.exe" и создает файл "autorun.inf" со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.
Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:
После запуска троянец извлекает из своего тела в каталог "E_4" во временном каталоге текущего пользователя следующие файлы:
%Temp%E_4krnln.fnr - 1110016 байт %Temp%E_4shell.fne - 61440 байт %Temp%E_4eAPI.fne - 335872 байта %Temp%E_4internet.fne - 196608 байт %Temp%E_4spec.fne - 86016 байт %Temp%E_4RegEx.fne - 167936 байт %Temp%E_4dp1.fne - 126976 байт %Temp%E_4com.run - 278528 байтПосле этого копирует их в системный каталог Windows под теми же именами:
%System%krnln.fnr %System%shell.fne %System%eAPI.fne %System%internet.fne %System%spec.fne %System%RegEx.fne %System%dp1.fne %System%com.runКроме того, извлекает в системный каталог Windows файлы:
%System%ul.dll — 2404 байта %System%og.dll — 692 байта %System%og.edt — 512 байтПосле выполнения этих действий троянец обращается по адресу:
http://www.*****base.cn/install.htm?pn=M080410На момент создания описания ссылка не работала. Файл, расположенный по данной ссылке, сохраняется в каталоге временных файлов интернет и запускается на выполнение. Имя файла — случайное. А так же обращается на следующие адреса:
http://www.microsoft.com http://hi.baidu.com/siletoyou http://www.baihe.googlepages.com/ul.htm http://www.bloguser.googlepages.com/au.htmПосле этого извлекает из своего тела файл с именем, составленным из текущей даты и времени, например 20090929153554.exe и помещает его в системный каталог Windows:
%System%20090929153554.exeДанный файл имеет размер 9216 байт.
Извлеченный файл запускается на выполнение, после чего удаляется. Кроме того, троянец распространяется при помощи сменных носителей под именем "Recycled.exe". Для автоматического запуска файла троянца в корневом каталоге сменного носителя также создается файл "autorun.inf".
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com