Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 166400 байт. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в каталог Windows со случайным именем "rnd.dll":

%WinDir%/rnd.dll

Где rnd - случайный набор латинских букв, например "wmdyte".

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на копию своего исполняемого файла в ключ автозапуска системного реестра:

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd2" = "rundll32.exe "%Windir%/rnd1",Startup"

Деструктивная активность

Троянец завершает процесс:

MRT.exe

Троянец регистрирует себя как Browser Helper Object. Для этого создает соответствующие ключи системного реестра:

[HKCR/CLSID/{rnd2}/InprocServer32]
"(Default)" = "%WinDir%/rnd.dll" "ThreadingModel" = "Apartment"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{rnd2}]

Где rnd2 – идентификатор со случайным именем, например, "1007565B-5822-482B-8BA7-282EC2E61464".

Регистрирует себя как расширение для Mozilla Firefox, добавив значение в ключ системного реестра:

[HKCU/Software/Mozilla/Firefox/Extensions/sample@example.net]

Таким образом при использовании браузеров Mozilla Firefox и Internet Explorer, троянец проверяет адреса посещаемые пользователем.

Если адрес содержит в себе одну из следующих строк:

gateway.com
webmail.aol.com
aol
slirsredirect
r.looksmart.com
askredir.com
ads.ask.com
aclk
google
zeal.
wisenut.
wikipedia.
what2find.
wesearchall
websearch.
web.ask.co.uk
vivisimo.
vachercher.lycos.fr
usseek.
url.searchuk.com
ukindex.co.uk
thefreedictionary.
sqwire.
search_str=
slotch.
sirsearch.
shoprogers.
sex.com
find=
sensis.com
seeq.
searchscout.
searchmiracle.
searchstri=
searchfeed.
searchengine.
search.lycos
search.aol
scoutcrawl.
revquest.
reference.
perfectnav.
pverture.
nytimes.
netzero.
netster.
netscape.
phrase=
neon.org
navisearch.
mywebsearch.
searchfor=
myway.
searchtext=
mygeek.
qry=
mirago.
mamma.
lycos.
looksmart.
london-pages.co.uk
kanoodle.
jayde.
instafinder.
inquire.
infoseek.
hotbot.com
grip.com
goguides.
goclick.
gigablast.com
genieknows.
galaxysearch.
mt=findwhat.
findsearch.
excite.
exactsearch.
emetasearch.
earthlink.
qkw=
dogpile.
search=
dmoz.
ditto.com
destinationadult.
daum.net
keywords=
crawlbar.
coolwebsearch.
comcast.
term=
clearsearch.
bbc.
asiaco.
aol.
altavista.com
altavista.
searchterm=
allyoursearch.
alltheweb.com
alexa.
terms=
about.
qu=
7search.
66.220.17.157
keyword=
64.225.154.135
250000.co.uk
.wanadoo.
.teoma.
.search123.
.oingo.
.msn.
.live.
.gohip.
.epilot.com
satitle=
.ebay.
/web?
ask.
query=
/search
.aol.com
.ah-ha.
search.yahoo.
search
.google.
.bing.com/search?

тогда троянец может перенаправлять пользователя на потенциально опасные ресурсы или вставлять в страницу скрипт, перехватывающий поисковые запросы для отправки на сервер злоумышленника.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить параметр ключа системного реестра:

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"" = "rundll32.exe "%Windir%/",Startup"

3. Удалить ключ системного реестра:

[HKCU/Software/Mozilla/Firefox/Extensions/sample@example.net]

4. Очистить каталог Temporary Internet Files.
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив