Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется от 274432 до 749568 байт. Написана на C++.
Инсталляция
После запуска троянец создает ключ системного реестра:
[HKCU/Software/Lite Axis Bashmulti]
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Beepcast"="%Application Data%/downloadsectbows/info real aim.exe"
Деструктивная активность
После запуска троянец запускает процесс браузера Internet Explorer и внедряет в него свой код. В ходе работы троянец многократно создает и удаляет каталоги:
%Program Files%/rnd
Где rnd - случайная последовательность маленьких латинских букв. Например, nauqmoolksimyht, udxpbzfgxgvqozj, kbuqjibbkhehwlm. Кроме того, создает и удаляет пустые ярлыки в избранном браузера Internet Explorer со следующими названиями:
Online Gaming
Computers
Computers/Games
Internet
Internet/Education
Shopping Gifts
Travel
Cool Stuff
Cool Stuff/Fun Stuff
Cool Stuff/Home
Cool Stuff/Online Pharmacy
Adult Items
Adult Entertainment
Adult Entertainment/Dating
Dating
Online Pharmacy
Shopping Gifts
Home
Вместе с этим троянец производит обращение в интернет на сервера с IP-адресами, соответствующими маске:
66.220.17.*
В момент обращения троянец переписывает файл:
%System%/drivers/etc/hosts
При этом мониторинг сетевой активности показывает обращение на адреса:
***301.nb.host192-168-1-2.com
***804.nb.host127-0-0-1.com
***510.nb.host127-0-0-1.com
***23.nb.host127-0-0-1.com
***host127-0-0-1.com
После обращения файл "hosts" восстанавливается. С указанных серверов скачиваются файлы, которые переносятся в специально созданные каталоги из каталога временных файлов интернет:
%Application Data%/Bind army eggs joy/Wait gpl.exe — 749568 байт, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%/Bind army eggs joy/Wait gpl.dat — 40332 байта
%Application Data%/downloadsectbows/info real aim.exe — 507904 байта, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%/downloadsectbows/mqlvrptr.exe — 749568 байт, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%/downloadsectbows/mealcitytonsmpeg.exe — 274432 байта, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b
%Application Data%/downloadsectbows/software frag curb.exe — 282624 байта, детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.aul
%Application Data%/downloadsectbows/0 — 1060 байт
Кроме того, во временном каталоге текущего пользователя сохраняется файл "sta1.exe":
%Temp%/sta1.exe
Данный файл имеет размер 507904 байта и детектируется Антивирусом Касперского как Trojan.Win32.Swizzor.b. Файл идентичен ранее упомянутому файлу:
%Application Data%/downloadsectbows/info real aim.exe
Некоторые образцы, кроме уже перечисленного, удаляют следующие ключи реестра:
HKLM/Software/yoproiwkoawgpdq
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/shsllst
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/abtu
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/eggs joy math type
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Beepcast
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Beepcast
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/internat.exe
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/AutoLoaderAproposClient
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/AutoUpdater
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/msbb
HKCU/Software/Microsoft/Windows/CurrentVersion/Uninstall/onlineeachburn
HKLM/Software/Microsoft/Internet Explorer/Main/Search Page
HKCU/Software/Microsoft/Internet Explorer/Main/Search Page
HKLM/Software/Microsoft/Internet Explorer/Main/Search Bar
HKCU/Software/Microsoft/Internet Explorer/Main/Use Custom Search URL
HKLM/Software/Microsoft/Internet Explorer/Main/Use Custom Search URL
HKCU/Software/Microsoft/Internet Explorer/Main/Search Bar
HKLM/Software/Microsoft/Internet Explorer/Toolbar/{9B35A850-66AB-4c6d-8A66-136ECADCD904}
Так же троянец удаляет исключения для следующих доменных имен:
www.saoe.com
www.tefs.com
www.tdmy.com
www.tdak.com
www.tdko.com
www.scrk.com
www.sckr.com
www.sbvr.com
www.sbnl.com
www.sbnt.com
www.sbjr.com
www.tfil.com
www.wflu.com
www.wfix.com
www.thko.com
www.tjar.com
www.tjaw.com
www.tjdo.com
www.tjem.com
www.tjgo.com
www.sfux.com
www.aavc.com
www.acjp.com
www.ecpm.com
www.ecmh.com
www.wabu.com
www.wabq.com
www.find-quick.com
www.lop.com
www.maximumexperience.com
www.trinityacquisitions.com
www.crap2.com
www.wethere.com
www.wrn.net
www.lop2.com
www.mysearchnow.com
www.allaboutsearching.com
www.amazingautossearch.com
www.asearchforyou.org
www.contexualsearch.com
www.errorfreesearch.com
www.intelesearch.com
www.isearchhere.com
www.iwantosearch.com
www.netsearchsoft.com
www.omegasearch.com
www.opensearch.org
www.prosearching.com
www.searchbee.net
www.searchexe.com
www.searchhotsex.com
www.ifsearch.com
www.mastersearcher.com
www.searchweb2.com
www.search200.com
www.look-today.com
www.patchou.com
www.msgplus.net
www.adintelligence.net
www.revenue.net
www.zone-media.com
www.cc214142.com
www.startnow.com
www.dns-look-up.com
www.cidhelp.com
www.saoe.com
www.tefs.com
www.tdmy.com
www.tdak.com
www.tdko.com
www.scrk.com
www.sckr.com
www.sbvr.com
www.sbnl.com
www.sbnt.com
www.sbjr.com
www.tfil.com
www.wflu.com
www.wfix.com
www.thko.com
www.tjar.com
www.tjaw.com
www.tjdo.com
www.tjem.com
www.tjgo.com
www.sfux.com
www.aavc.com
www.acjp.com
www.ecpm.com
www.ecmh.com
www.wabu.com
www.wabq.com
www.find-quick.com
www.lop.com
www.maximumexperience.com
www.trinityacquisitions.com
www.crap2.com
www.wethere.com
www.wrn.net
www.lop2.com
www.mysearchnow.com
www.allaboutsearching.com
www.amazingautossearch.com
www.asearchforyou.org
www.contexualsearch.com
www.errorfreesearch.com
www.intelesearch.com
www.isearchhere.com
www.iwantosearch.com
www.netsearchsoft.com
www.omegasearch.com
www.opensearch.org
www.prosearching.com
www.searchbee.net
www.searchexe.com
www.searchhotsex.com
www.ifsearch.com
www.mastersearcher.com
www.searchweb2.com
www.search200.com
www.look-today.com
www.patchou.com
www.msgplus.net
www.adintelligence.net
www.revenue.net
www.zone-media.com
www.cc214142.com
www.startnow.com
www.dns-look-up.com
www.cidhelp.com
Зараженный процесс Internet Explorer остается в памяти и повторяет описанную вредоносную активность через случайные промежутки времени. За это время файлына серверах, которые закачивает троянец, могут меняться.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключи системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Beepcast"="%Application Data%/downloadsectbows/info real aim.exe"
[HKCUSoftware/Lite Axis Bashmulti]
- Удалить файлы и каталоги, созданные троянцем:
%Application Data%/Bind army eggs joy/Wait gpl.exe
%Application Data%/Bind army eggs joy/Wait gpl.dat
%Application Data%/Bind army eggs joy/
%Application Data%/downloadsectbows/info real aim.exe
%Application Data%/downloadsectbows/mqlvrptr.exe
%Application Data%/downloadsectbows/mealcitytonsmpeg.exe
%Application Data%/downloadsectbows/software frag curb.exe
%Application Data%/downloadsectbows/0
%Application Data%/downloadsectbows/
%Temp%/sta1.exe
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы.
- При необходимости восстановить удаленные ключи реестра и исключения для доменных имен.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
