Trojan-Downloader.Win32.VB

Дата обнаружения 13/04/2010
Класс Trojan-Downloader
Платформа Win32
Описание

Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

«Hidden» = «0»

«ShowSuperHidden» = «0»

Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

«HideFileExt» = «1»

Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню «Свойства папки» для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]

«NoFolderOptions» = «1»

После чего троянец создает в системном каталоге Windows скрытый файл «рsаdоr18.dll»:

%System%рsаdоr18.dll

В этот файл троянец помещает следующие адреса электронной почты:

ot01_***@mail.ru

ot02_***@mail.ru

Также троянец извлекает из своего тела руткит «рsagоr18.sys». Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов «рsаdоr18.dll» и «АHTОMSYS19.exe», а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов.

При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке.

Во время работы троянец отслеживает появление в системе окон со следующими заголовками:

NOD32 2.5 Control Center

Сканер NOD32 по требованию — [Профиль центра управления — Локально]

Сканер NOD32 по требованию — [Профиль контекстного меню]

NOD32 — Предупреждение

Пpeдупpeждeниe

Редактор конфиг
урации NOD32 — [Untitled]

Антивирус Касперского Personal

0- выполняется проверка…

Карантин

Настройка обновления

Настройка карантина и резервного хранилища

Выберите файл для отправки на исследование

AVP.MessageDialog

AVP.MainWindow

AVP.Product_Notification

AVP.SettingsWindow

AVP.ReportWindow

Agnitum Outpost Firewall — configuration.cfg

Настройка системы

Редактор реестра

RegEdit_RegEdit

В случае обнаружения такие окна будут закрываться автоматически.

Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем «CDburn.exe» и создает файл «autorun.inf» со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.

Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:

Я незнаю ее там помоему небыло(((… вот, посмотри http://softclub.land.ru/seeing/katie.rar

Например Trojan-Downloader.Win32.VB.eql:

После запуска троянец извлекает из своего тела в каталог «E_4» во временном каталоге текущего пользователя следующие файлы:

%Temp%E_4krnln.fnr - 1110016 байт

%Temp%E_4shell.fne - 61440 байт

%Temp%E_4eAPI.fne - 335872 байта

%Temp%E_4internet.fne - 196608 байт

%Temp%E_4spec.fne - 86016 байт

%Temp%E_4RegEx.fne - 167936 байт

%Temp%E_4dp1.fne - 126976 байт

%Temp%E_4com.run - 278528 байт

После этого копирует их в системный каталог Windows под теми же именами:

%System%krnln.fnr

%System%shell.fne

%System%eAPI.fne

%System%internet.fne

%System%spec.fne

%System%RegEx.fne

%System%dp1.fne

%System%com.run

Кроме того, извлекает в системный каталог Windows файлы:

%System%ul.dll — 2404 байта

%System%og.dll — 692 байта

%System%og.edt — 512 байт

После выполнения этих действий троянец обращается по адресу:

http://www.*****base.cn/install.htm?pn=M080410

На момент создания описания ссылка не работала.

Файл, расположенный по данной ссылке, сохраняется в каталоге временных файлов интернет и запускается на выполнение. Имя файла — случайное.

А так же обращается на следующие адреса:

http://www.microsoft.com

http://hi.baidu.com/siletoyou

http://www.baihe.googlepages.com/ul.htm

http://www.bloguser.googlepages.com/au.htm

После этого извлекает из своего тела файл с именем, составленным из текущей даты и времени, например 20090929153554.exe и помещает его в системный каталог Windows:

%System%20090929153554.exe

Данный файл имеет размер 9216 байт.

Извлеченный файл запускается на выполнение, после чего удаляется.

Кроме того, троянец распространяется при помощи сменных носителей под именем «Recycled.exe». Для автоматического запуска файла троянца в корневом каталоге сменного носителя также создается файл «autorun.inf».