Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 15520 байт. Упакована UPX. Распакованный размер – около 37 КБ. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- Создает уникальный идентификатор с именем:
12A8-B0CF
- выгружает из системной памяти следующие процессы:
ElementClient.exe
safeboxTray.exe
360Tray.exe
360safe.exe
- извлекает из своего тела файл, который сохраняется в системе как
%System%/arrnddll.dll
(895488 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.Lmir.jox")
где rnd – случайная восьмизначная последовательность символов.
Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).
- Регистрирует извлеченную библиотеку в системном реестре путем создания следующих ключей:
[HKCR/Clsid/{5A041F13-A111-12A8-B0CF-F99818AA68A5}/InprocServer32]
"Default" = "%System%/arrnddll.dll"
"ThreadingModel" = "Apartment"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{5A041F13-A111-12A8-B0CF-F99818AA68A5}" = "arrnddll.dll"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{5A041F13-A111-12A8-B0CF-F99818AA68A5}]
"Default" = "arrnddll.dll"
[HKLM/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
"81889281" = "{5A041F13-A111-12A8-B0CF-F99818AA68A5}"
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows]
"AppInit_DLLs" = "...,arrnddll.dll"
Таким образом, извлеченная троянцем библиотека будет подгружаться в адресное пространство всех запускаемых в системе процессов.
- Копирует свое тело в следующий файл:
%System%/arrndexe.gho
- Удаляет файл:
%System%/verclsid.exe
Далее троянец создает в каталоге "%Temp%" файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить ключи системного реестра:
[HKCR/Clsid/{5A041F13-A111-12A8-B0CF-F99818AA68A5}/InprocServer32]
"Default" = "%System%/arrnddll.dll"
"ThreadingModel" = "Apartment"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{5A041F13-A111-12A8-B0CF-F99818AA68A5}" = "arrnddll.dll"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{5A041F13-A111-12A8-B0CF-F99818AA68A5}]
"Default" = "arrnddll.dll"
[HKLM/Software/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
"81889281" = "{5A041F13-A111-12A8-B0CF-F99818AA68A5}"
- Удалить подстроку "arrnddll.dll" из значения ключа системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows] "AppInit_DLLs"
- Перезагрузить компьютер.
- Удалить файлы:
%System%/arrnddll.dll
%System%/arrndexe.gho
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|