Технические детали
Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя и удаленного управления зараженным компьютером. Является приложением Windows (PE-EXE файл). Имеет размер ~470 кБайт.
Инсталляция
При запуске, троянец создает на диске следующий файл:
%AppData%/name.exe
Где - произвольное имя из списка:
dumpreport
msiexeca
svchosts
upnpsvc
service
taskmon
rundll
helper
event
logon
sound
lsas
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
“” = %AppData%/name.exe
Где - произвольное имя из списка:
CrashDump
svchosts
EventLog
TaskMon
Windows
RunDll
System
Setup
Sound
lsass
UPNP
Init
Деструктивная активность
В процессе работы, троянец соединяется с серверами, с которых скачивается вредоносный код на исполнение. Адреса cерверов троянец хранит в ключе системного реестра:
HKCU/Software/Microsoft/Internet Explorer/Settings/"GatesList"
Также он хранит свои настройки в следующих ключах реестра:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Settings/"GID"
HKEY_CURRENT_USER/SoftwareMicrosoft/Internet Explorer/Settings/"KeyM"
HKEY_CURRENT_USER/SoftwareMicrosoft/Internet Explorer/Settings/"KeyE"
HKEY_CURRENT_USER/SoftwareMicrosoft/Internet Explorer/Settings/"PID
С вышеприведенных серверов, троянец скачивает вредоносный код, с помощью которого собирает всю информацию о компьютере(имена пользователей, их логины и пароли, пароли от программ, пароли локальных и сетевых ресурсов windows).
Также троянец может быть настроен на кражу логинов и паролей от систем интернет-банкинга, путем подмены банковский страниц своими. При этом программа направлена на такие распространенные банковские страницы как:
https://www.hsbc.co.uk
https://www.mybusinessbank.co.uk
https://investing.schwab.com
Распространение по сети:
Для распостранения в локальной сети программа пытается скопировать и запустить себя на соседних компьютерах, используя сетевые ресурсы ipc$, admin$, а также расшаренные папки. Для запуска на соседних компьютерах троянец использует легальную утилиту psexec.exe компании Sysinternals.
Примечание:
Для предотвращения распространения в сети, необходимо в первую очередь пролечить сервера, которые имеют административные привелегии. Также нужно позаботится о стокости паролей на локальных компьютерах.
Программа скачивает различный код с серверов, на которые она настроена. Соответственно, этот код может меняться. В ходе анализа вредоносного кода при создании описания программа соединялась со следующими адресами:
panel.***boora.cn
147.202.39.***
174.36.82.***
195.12.38.***
195.189.247.***
195.225.236.***
205.234.231.***
209.51.159.***
209.85.120.***
61.153.3.***
64.18.143.***
66.128.55.***
66.199.237.***
66.199.237.***
66.225.237.***
66.7.197.***
75.102.23.***
Программа работает только на английских версиях windows.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить вредоносный процесс.
- Удалить оригинальный файл бекдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл созданный бекдором:
%AppData%/name.exe
- Удалить ключ системного реестра:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"name2" = %AppData%/name.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
