Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их на исполнение. Является приложением Windows (PE–EXE файл). Имеет размер 301056 байт. Написана на C++.
Инсталляция
После запуска троянец проверяет наличие в системном реестре следующей ветви:
[HKLM/System/CurrentControlSet/Services/windows_0]
Если ветвь существует, то выполняются действия из раздела "Деструктивная активность".
В противном случае, троянец выполняет следующие действия:
- копирует свое тело в файл:
%System%/<имя оригинального файла троянца>.exe
- Создает и запускает в системе службу с именем "windows_0" (отображается в пользовательских приложениях как "Windows Accounts Driver"), бинарным файлом которой является созданная копия оригинального файла троянца.
- Изменяет значение ключа системного реестра:
[HKLM/System/CurrentControlSet/Services/windows_0]
"Description" = "Network Connections Management"
- Внедряет в адресное пространство процесса
explorer.exe
исполняемый код, загружающий из сети Интернет файл по следующей ссылке:
http://www.***fish.com/khhm.exe
(На момент создания описания ссылка не работала)
Загруженный файл сохраняется в системе как
%System%/SVCH0ST.EXE
После успешной загрузки файл запускается на выполнение.
- Для удаления своего оригинального файла после завершения его работы троянец запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c del <полный путь к оригинальному файлу троянца> > nul
После этого троянец завершает свою работу.
Деструктивная активность
В троянце реализован функционал бэкдора. После запуска троянец выполняет следующие действия:
- подключается к удаленному хосту:
xy***322.org
- Получает версию операционной системы, а также информацию о текущем использовании системой виртуальной и физической памяти.
- Отсылает полученные данные на вышеуказанный хост.
- Далее троянец переходит в цикл обработки команд, получаемых от злоумышленника. Реализована обработка следующих команд:
FLOOD:
– организация DoS-атаки на указанный злоумышленником сервер. На этот сервер в трех параллельно выполняющихся потоках отправляются множественные GET-запросы со следующими параметрами:
GET / HTTP/1.1
Accept: */*
Referer:www.google.com
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)
Host: <переданный злоумышленником адрес>:<переданный злоумышленником порт>
Proxy-Connection: Keep-Alive
Pragma: no-cache
Атака продолжается до тех пор, пока не будет получена команда
STOPATTACK
DOWNLOAD:
– загрузка файла по переданной злоумышленником ссылке. Загруженный файл сохраняется в системе как
%System%/temp_rnd.exe
где rnd – случайное десятичное число.
После успешной загрузки файл запускается на выполнение.
REMOVE
– завершение работы троянца, удаление из системы службы "windows_0".
После успешного выполнения очередной команды троянец посылает злоумышленнику сообщение:
OK
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Используя Консоль управления MMC (Microsoft Management Console) (вкладка "Службы и приложенияСлужбы"), остановить работу службы "windows_0".
- Удалить ветвь системного реестра:
[HKLM/System/CurrentControlSet/Services/windows_0]
- Перезагрузить компьютер.
- Удалить файлы:
%System%/<имя оригинального файла бэкдора>.exe
%System%/SVCH0ST.EXE
%System%/temp_.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
