Другие модификации: .ac, .bg, .bl, .bq, .fk, .fs, .jc, .kr, .pj, .rs, .td, .uj, .zf
Поведение: Trojan-Downloader, троянский загрузчик
Платформа: Win32
Технические детали
Троянская программа, которая без ведома пользователя загружает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 49152 байта. Написана на C++.
Деструктивная активность
После запуска троянец удаляет из ключа автозапуска системного реестра следующий параметр:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"updateic"
Затем отправляет запрос на следующий адрес:
http://*****-point.co.kr/exchange_setup.php?pg=vaccinepro&ad=winwin&mac= зараженной машины>
В ответ получает доменное имя, на которое производит следующий запрос:
http://<полученное имя>/version/controllerVersion
На момент создания описания использовалось имя :
*****vaccinepro.co.kr
В ответ на запрос троянец получает текущую версию утилиты "vaccinepro" и сравнивает ее с установленной на зараженной машине, получая данные из ключа системного реестра:
[HKCU/Software/VaccinePro]
"controllerVersion"
Если на зараженной машине не было установлено данной утилиты, то троянец создает каталог:
%Program Files%/VaccinePro
И загружает туда файл "VaccPD.exe", расположенный по адресу:
http://*****vaccinepro.co.kr/version/bin/VaccPD.exe
Данный файл имеет размер 73728 байт.
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на этот исполняемый файл в ключ автозапуска системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"VaccP" = "%Program Files%/VaccinePro/VaccPD.exe"
После этого создает и заполняет специальный ключ системного реестра:
[HKCU/Software/VaccinePro]
"code1" = "winwin"
"code2" = ""
"updateurl" = "*****vaccinepro.co.kr"
"controllerVersion" = "1.1"
"Version" = "1.1"
Затем производит загрузку следующего файла:
http://*****vaccinepro.co.kr/version/bin/VaccPU.exe
Данный файл сохраняется под именем "VaccPU.exe" в созданном каталоге:
%Program Files%/VaccinePro/VaccPU.exe – имеет размер 701952 байта.
После чего троянец обращается по адресу:
http://*****vaccinepro.co.kr/version/list
В ответ получает список файлов, подлежащих загрузке. На момент создания описания список выглядел следующим образом:
http://*****vaccinepro.co.kr/version/bin/VaccP.dll
http://*****vaccinepro.co.kr/version/bin/vpd.dll
http://*****vaccinepro.co.kr/version/bin/uninst_vcpr.exe
http://*****vaccinepro.co.kr/version/bin/VaccPD.dat
http://*****vaccinepro.co.kr/version/bin/VaccPP.dat
http://*****vaccinepro.co.kr/version/bin/VaccPS.exe
http://*****vaccinepro.co.kr/version/bin/VaccP.exe
http://*****vaccinepro.co.kr/version/bin/VaccPP.exe
Данные файлы сохраняются с соответствующими именами:
%Program Files%/VaccinePro/VaccP.dll - имеет размер 40960 байт
%Program Files%/VaccinePro/vpd.dll - имеет размер 511034 байта
%Program Files%/VaccinePro/uninst_vcpr.exe - имеет размер 27484 байта
%Program Files%/VaccinePro/VaccPD.dat - имеет размер 30183 байта
%Program Files%/VaccinePro/VaccPP.dat - имеет размер 30481 байт
%Program Files%/VaccinePro/VaccPS.exe - имеет размер 52602 байта
%Program Files%/VaccinePro/VaccP.exe - имеет размер 30128 байт
%Program Files%/VaccinePro/VaccPP.exe - имеет размер 252416 байт
После чего троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключи системного реестра:
[HKLMSoftware/Microsoft/Windows/CurrentVersion/Run]
"VaccP" = "%Program Files%/VaccinePro/VaccPD.exe"
[HKCUSoftware/VaccinePro]
- Удалить каталог со всем его содержимым:
%Program Files%/VaccinePro
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
