Поведение
Trojan-Downloader, троянский загрузчик.
Технические детали
Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic.
Инсталляция
После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":
%System%/DETER177/lsass.exe
%System%/DETER177/smss.exe
%System%/DETER177/svсhоst.exe
После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".
Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":
%System%/ctfmon.exe
%System%/АHTОMSYS19.exe
Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:
[HKLM/Software/Microsoft/CurrentVersion/Run]
"ctfmon" = "%System%/ctfmon.exe"
"lsass" = "%System%/DETER177/lsass.exe"
[HKLM/Software/Microsoft/CurrentVersion/Winlogon]
"Shell" = "Explorer.exe %System%/АHTОMSYS19.exe"
Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows.
Деструктивная активность
Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"HideFileExt" = "1"
Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню "Свойства папки" для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer]
"NoFolderOptions" = "1"
После чего троянец создает в системном каталоге Windows скрытый файл "рsаdоr18.dll":
%System%/рsаdоr18.dll
В этот файл троянец помещает следующие адреса электронной почты:
ot01_***@mail.ru
ot02_***@mail.ru
Также троянец извлекает из своего тела руткит "рsagоr18.sys". Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов "рsаdоr18.dll" и "АHTОMSYS19.exe", а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов.
При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке.
Во время работы троянец отслеживает появление в системе окон со следующими заголовками:
NOD32 2.5 Control Center
Сканер NOD32 по требованию - [Профиль центра управления - Локально]
Сканер NOD32 по требованию - [Профиль контекстного меню]
NOD32 - Предупреждение
Пpeдупpeждeниe Редактор конфиг
урации NOD32 - [Untitled]
Антивирус Касперского Personal
0- выполняется проверка...
Карантин
Настройка обновления
Настройка карантина и резервного хранилища
Выберите файл для отправки на исследование
AVP.MessageDialog
AVP.MainWindow
AVP.Product_Notification
AVP.SettingsWindow
AVP.ReportWindow
Agnitum Outpost Firewall - configuration.cfg
Настройка системы
Редактор реестра
RegEdit_RegEdit
В случае обнаружения такие окна будут закрываться автоматически.
Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем "CDburn.exe" и создает файл "autorun.inf" со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.
Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:
Я незнаю ее там помоему небыло(((... вот, посмотри http://softclub.land.ru/seeing/katie.rar
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы, созданные троянцем:
%System%/DETER177/lsass.exe
%System%/DETER177/smss.exe
%System%/DETER177/svсhоst.exe
%System%/ctfmon.exe
%System%/АHTОMSYS19.exe
%System%/рsаdоr18.dll
- Удалить ключи системного реестра:
[HKLM/Software/Microsoft/CurrentVersion/Run]
"ctfmon" = "%System%/ctfmon.exe"
"lsass" = "%System%/DETER177/lsass.exe"
- Перезагрузить компьютер в обычном режиме.
- Заменить ключи системного реестра:
[HKLM/Software/Microsoft/CurrentVersion/Winlogon]
"Shell" = "Explorer.exe %System%/АHTОMSYS19.exe"
на
[HKLM/Software/Microsoft/CurrentVersion/Winlogon]
"Shell" = "Explorer.exe"
----------------------------------------------------------------------------------------------------------------
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
"HideFileExt" = "1"
на
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = ""
"ShowSuperHidden" = ""
"HideFileExt" = ""
----------------------------------------------------------------------------------------------------------------
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer]
"NoFolderOptions" = "1"
на
[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer]
"NoFolderOptions" = ""
- Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:
CDburn.exe
autorun.inf
Если такие файлы существуют, удалить их.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|