Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 19456 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 51 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в следующие файлы:

%System%/smss32.exe
%System%/winlogon32.exe

Для автоматического запуска созданных копий при каждом следующем старте системы троянец создает ключи системного реестра:

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"smss32.exe" = "%System%/smss32.exe"

[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit" = "%System%/winlogon32.exe"

Таким образом, копия троянца будет запускаться процессом "winlogon.exe" даже при загрузке системы в "безопасном режиме".

После этого троянец запускает одну из созданных копий и завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• создает ключи системного реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableTaskMgr" = "1"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"NoSetActiveDesktop" = "1"
"NoActiveDesktopChanges" = "1"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/
ActiveDesktop] "NoChangingWallpaper" = "1"

[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer]
"NoSetActiveDesktop" = "1"
"NoActiveDesktopChanges" = "1"

[HKLM/Software/Microsoft/Windows/CurrentVersion/policies/
ActiveDesktop] "NoChangingWallpaper" = "1"

Это приводит к запрету запуска Диспетчера задач Windows, а также к изменению настроек Active Desktop.

• Извлекает из своего тела файл, который сохраняется в системе как

%System%/warning.html (2931 байт)

Файл представляет собой HTML-страницу следующего вида:


• Устанавливает извлеченный файл в качестве фонового изображения Рабочего стола. Для этого изменяются следующие значения ключей системного реестра:

[HKCU/Software/Microsoft/Internet Explorer/Desktop/General]
"TileWallpaper" = "0"
"WallpaperStyle" = "2"
"Wallpaper" = "%System%/warning.html"

"HKCU/Control Panel/Desktop]
"TileWallpaper" = "0"
"WallpaperStyle" = "2

"
• Загружает из сети Интернет файлы по следующим ссылкам:

http://dow***40.com/cgi-bin/download.pl?code=

(На момент создания описания загружался файл размером 1328640 байт; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.akqu")

http://dow***40.com/dfghfghgfj.dll

(На момент создания описания загружался файл размером 34304 байта; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.akps")

Загруженные файлы сохраняются в системе соответственно как

%System%/IS15.exe
%System%/helper32.dll

• Отображает в области уведомлений сообщение следующего вида:


Клик по сообщению приводит к запуску загруженного файла "%System%/IS15.exe".

• Блокирует запуск процессов. При этом попытка запуска в системе нового процесса приводит к запуску файла:

"%System%/IS15.exe"

Выдается сообщение:


• При попытке перезагрузки компьютера в "безопасном режиме" выдается сообщение:


При этом троянец продолжает блокировать запуск процессов.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского:
произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив