Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 20480 байт. Написана на C++.

Инсталляция

[HKLM/System/CurrentControlSet/Services/tagg]

Если ветвь существует, то троянец выполняет действия, описанные в разделе "Деструктивная активность".

В противном случае троянец копирует свое тело в файл:

%System%/tagg.exe

После этого троянец создает и запускает в системе службу с именем "tagg" (отображается в пользовательских приложениях под тем же именем), бинарным файлом которой является ранее созданная копия троянца.

Для удаления своего оригинального файла после завершения его работы троянец запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

/c del <полный путь к оригинальному файлу троянца> nul

После этого троянец завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

/c taskkill /f /im 360tray.exe
/c taskkill /f /im rfwmain.exe
/c taskkill /f /im rfwsrv.exe
/c taskkill /f /im rfwstub.exe
/c taskkill /f /im rfwproxy.exe

Это приводит к завершению процессов:

360tray.exe
rfwmain.exe
rfwsrv.exe
rfwstub.exe
rfwproxy.exe

• Соединяется с сервером:

*****haoye.3322.org

• Получает значения следующих ключей системного реестра:

[HKLMHardwareDescriptionSystemCentralProcessor]
"ProcessorNameString"
"~MHz"

Полученная информация отправляется на вышеупомянутый сервер.

• Создает файл:

c:/bot.txt

Файл создается с атрибутом "скрытый" и используется для записи временных данных и лога работы троянца.

• Далее троянец переходит в цикл ожидания команд злоумышленника. Реализована обработка следующих команд:

FUCK

– завершение троянского процесса, удаление из системы службы "tagg".

DOWN

– загрузка файла по переданной троянцу ссылке. Загруженный файл сохраняется во временном каталоге пользователя как

%Temp%/rndlid.exe

где rnd – случайная последовательность символов.

После успешной загрузки файл запускается на выполнение.

DATCK

– загрузка файлов по переданной троянцу ссылке. Загрузка выполняется циклически до тех пор, пока не будет получена команда "stop datck".

Загруженные файлы сохраняются как

%Temp%/dd.exe

UDP, SYN, TCP, ICMP, TCPC, BYCC, ZDCc, TERT, ISC

– проведение DoS-атак.

BEIZHU

– запись переданных троянцу данных в файл

c:/bot.txt

GBZJ

– выключение компьютера.

CQZJ

– перезагрузка компьютера.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Используя Консоль управления MMC (Microsoft Management Console) (вкладка "Службы и приложения/Службы"), остановить работу службы "tagg".
2. Удалить файлы:

%System%/tagg.exe
c:/bot.txt

3. Удалить загруженные троянцем файлы:

%Temp%/lid.exe
%Temp%/dd.exe

4. Удалить ветвь системного реестра:

[HKLM/System/CurrentControlSet/Services/tagg]

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив