Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 6218752 байта. Написана на Delphi.
Деструктивная активность
После запуска троянец загружает из сети Интернет файлы по следующим ссылкам:
http://fast***ds.name/index_1.php?user_id=1&sub_id=29&zapros=sample.exe
http://supe***load.net/sync/js/?site_id=2
http://supe***load.net/sync/in/?referer=&data_type=jsonp&site_id=2&user_id=1&sub_id=29
http://supe***load.net/js/jquery.js
http://supe***load.net/js/jquery.blockUI.js
http://supe***load.net/js/payform/payform.js
http://fast***ds.name/styles.css
http://fast***ds.name/lib/prototype.js
http://fast***ds.name/lib/jsProgressBarHandler.js
http://fast***ds.name/lib/jsProgressBarHandler.css
http://fast***ds.name/log.jpg
http://cou***dro.ru/hit;fast-loads?t45.6;r;s800*600*24;uhttp%3A//fast***ds.name/index_1.php%
3Fuser_id%3D1%26sub_id%3D29%26zapros%3Dsample.exe;0.14227134019626192
http://cou***dro.ru/hit;fast-loads?q;t45.6;r;s800*600*24;uhttp%3A//fast***ds.name/index_1.php
%3Fuser_id%3D1%26sub_id%3D29%26zapros%3Dsample.exe;0.14227134019626192
http://supe***load.net/js/payform/gray_a.css
http://supe***load.net/sync/pay/?ajax=1&go=show_modal&crypt=kmtlba6ba2ltpm1ja1NkVW6ba2
JjbqZsYmtUZVVtmmtlZm6la2JsVWVUbK4%3D&is_first=1&data_type=jsonp&site_id=2&user_id=1&sub_id=29&extra=&34&callback=
jsonp1278387041843&_=1278387048968
http://fast***ds.name/images/percentImage.png
http://fast***ds.name/images/percentImage_back1.png
http://fast***ds.name/images/vn.gif
http://supe***load.net/sync/pay/?ajax=1&go=init&crypt=kmtlba6ba2ltpm1ja1Nk
VW6ba2JjbqZsYmtUZVVtmmtlZm6la2JsVWVUbK4%3D&is_first=1&data_type=jsonp&site_id=2&us
Загруженные файлы сохраняются в каталоге "%Temporary Internet Files%" текущего пользователя. Загруженные файлы вредоносного кода не содержат и используются в процессе отображения показанных ниже окон.
После этого троянец отображает окно следующего содержания:
Нажатие кнопки "Разархивировать" приводит к отображению следующего окна:
При переходе по ссылке "Поддержка" открывается сайт:
http://fast***ds.name/support.php
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|