Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 59904 байта. Написана на C++.
Деструктивная активность
После запуска троянец читает значение параметра "DigitalProductId" ключа системного реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion]
Затем вредонос определяет путь к каталогу диспетчера печати (Print Processor Directory) и затем извлекает в него из своего тела динамическую библиотеку с именем:
%System%/spool/prtprocs/w32x86/SMWinPrn.dat
Данный файл имеет размер 16896 байт и детектируется антивирусом Касперского как Trojan.Win32.Patched.fr.
Затем вредонос проверяет запущена ли служба печати "Spooler". Если служба не активна – троянец запускает ее на выполнение.
Далее троянец использует механизмы службы диспетчера печати для обхода поведенческой защиты. Троянец осуществляет вызов API функцию AddPrintProcessor() для запуска на выполнение извлеченной вредоносной библиотеки "SMWinPrn.dat" в контексте доверенного процесса печати "spoolsv.exe". После этого троянец удаляет библиотеку. Также троянец создает следующие ключи в системном реестре:
[HKLM/Software/Settings]
CryptoHash = hex
ErrorControl = hex
CoreSettings = hex
HashSeed = hex
DriveSettings = hex
где hex – набор значений в шестнадцатеричной системе счисления.
[HKLM/System/CurrentControlSet/Enum/Root/LEGACY_SFC/0000/Control]
*NewlyCreated* = 0x00000000
ActiveService = "sfc"
[HKLM/System/CurrentControlSet/Enum/Root/LEGACY_SFC/0000]
Service = "sfc"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "sfc"
[HKLM/System/CurrentControlSet/Enum/Root/LEGACY_SFC]
NextInstance = 0x00000001
[HKLM/System/CurrentControlSet/Services/sfc/Enum]
0 = "Root/LEGACY_SFC/0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKLM/System/CurrentControlSet/Services/sfc]
Type = 0x00000001
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Остановить службу печати " Spooler".
- При помощи Диспетчера задач завершить процесс "spoolsv.exe".
- При наличии удалить файл:
%System%/spool/prtprocs/w32x86/SMWinPrn.dat
- Удалить ключ системного реестра:
[HKLM/Software/Settings]
- Удалить параметры в ключах реестра:
[HKLM/System/CurrentControlSet/Enum/Root/LEGACY_SFC/0000/Control]
*NewlyCreated* = 0x00000000
ActiveService = "sfc"
[HKLM/System/CurrentControlSet/Enum/Root/LEGACY_SFC/0000]
Service = "sfc"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "sfc"
[HKLM/System/CurrentControlSet/Enum/Root/LEGACY_SFC]
NextInstance = 0x00000001
[HKLM/System/CurrentControlSet/Services/sfc/Enum]
0 = "Root/LEGACY_SFC/0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKLM/System/CurrentControlSet/Services/sfc]
Type = 0x00000001
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|