Технические детали
Программа-шпион, предназначенная для сбора информации о зараженной системе. Является приложением Windows (PE-EXE файл). Имеет размер 181248 байт. Упакована UPX. Распакованный размер – около 199 КБ. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
%System%/sdra64.exe
Для автоматического запуска созданной копии при каждом следующем старте системы троянец изменяет значение ключа системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"userinit" = "%System%/userinit.exe,%System%/sdra64.exe,"
Таким образом, копия троянца будет запускаться даже при загрузке компьютера в "безопасном режиме".
После этого троянец завершает свою работу.
Деструктивная активность
Троянец представляет собой программу-шпион, предназначенную для похищения конфиденциальных данных пользователя.
После запуска троянец внедряет в адресное пространство процесса "SVCHOST.EXE" исполняемый код, реализующий следующий функционал. Устанавливается соединение с хостом:
91.***.80
Далее с вышеуказанного хоста загружается файл, который сохраняется в системе как %System%/lowsec/user.ds.lll
(На момент создания описания файл не загружался)
Загруженный файл содержит список сайтов, исходящий трафик к которым будет отслеживаться троянцем. Предположительно, данный список содержит сайты организаций, предоставляющих услуги онлайн банкинга.
Собранная троянцем информация отправляется на вышеупомянутый хост. Кроме того, троянец ведет лог своей работы, сохраняя его в файл:
%System%/lowsec/user.ds
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского и произвести полную проверку компьютера с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
