Дата обнаружения | 13/04/2010 |
Класс | Trojan-Downloader |
Платформа | Win32 |
Описание |
Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра: [HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
«Hidden» = «0» «ShowSuperHidden» = «0» Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра: [HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
«HideFileExt» = «1» Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню «Свойства папки» для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]
«NoFolderOptions» = «1» После чего троянец создает в системном каталоге Windows скрытый файл «рsаdоr18.dll»: %System%рsаdоr18.dll
В этот файл троянец помещает следующие адреса электронной почты: ot01_***@mail.ru
ot02_***@mail.ru Также троянец извлекает из своего тела руткит «рsagоr18.sys». Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов «рsаdоr18.dll» и «АHTОMSYS19.exe», а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов. При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке. Во время работы троянец отслеживает появление в системе окон со следующими заголовками: NOD32 2.5 Control Center
Сканер NOD32 по требованию — [Профиль центра управления — Локально] Сканер NOD32 по требованию — [Профиль контекстного меню] NOD32 — Предупреждение Пpeдупpeждeниe Редактор конфиг Антивирус Касперского Personal 0- выполняется проверка… Карантин Настройка обновления Настройка карантина и резервного хранилища Выберите файл для отправки на исследование AVP.MessageDialog AVP.MainWindow AVP.Product_Notification AVP.SettingsWindow AVP.ReportWindow Agnitum Outpost Firewall — configuration.cfg Настройка системы Редактор реестра RegEdit_RegEdit В случае обнаружения такие окна будут закрываться автоматически. Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем «CDburn.exe» и создает файл «autorun.inf» со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства. Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания: Я незнаю ее там помоему небыло(((… вот, посмотри http://softclub.land.ru/seeing/katie.rar
Например Trojan-Downloader.Win32.VB.eql: После запуска троянец извлекает из своего тела в каталог «E_4» во временном каталоге текущего пользователя следующие файлы: %Temp%E_4krnln.fnr - 1110016 байт %Temp%E_4shell.fne - 61440 байт %Temp%E_4eAPI.fne - 335872 байта %Temp%E_4internet.fne - 196608 байт %Temp%E_4spec.fne - 86016 байт %Temp%E_4RegEx.fne - 167936 байт %Temp%E_4dp1.fne - 126976 байт %Temp%E_4com.run - 278528 байт После этого копирует их в системный каталог Windows под теми же именами: %System%krnln.fnr %System%shell.fne %System%eAPI.fne %System%internet.fne %System%spec.fne %System%RegEx.fne %System%dp1.fne %System%com.run Кроме того, извлекает в системный каталог Windows файлы: %System%ul.dll — 2404 байта %System%og.dll — 692 байта %System%og.edt — 512 байт После выполнения этих действий троянец обращается по адресу: http://www.*****base.cn/install.htm?pn=M080410 На момент создания описания ссылка не работала. Файл, расположенный по данной ссылке, сохраняется в каталоге временных файлов интернет и запускается на выполнение. Имя файла — случайное. А так же обращается на следующие адреса: http://www.microsoft.com http://hi.baidu.com/siletoyou http://www.baihe.googlepages.com/ul.htm http://www.bloguser.googlepages.com/au.htm После этого извлекает из своего тела файл с именем, составленным из текущей даты и времени, например 20090929153554.exe и помещает его в системный каталог Windows: %System%20090929153554.exe Данный файл имеет размер 9216 байт. Извлеченный файл запускается на выполнение, после чего удаляется. Кроме того, троянец распространяется при помощи сменных носителей под именем «Recycled.exe». Для автоматического запуска файла троянца в корневом каталоге сменного носителя также создается файл «autorun.inf». |
Узнай статистику распространения угроз в твоем регионе |