Технические детали
Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 26243 байта. Упакована PE_Patch, UPack. Распакованный размер – около 95 КБ. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%System%/f28907d.drv
(5504 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.tvot")
%System%/rnd.dll
(15883 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.Magania.ammk")
%System%/rnd.cfg (212 байт)
где rnd – случайное восьмизначное шестнадцатеричное число.
Файлы "rnd.dll" и "rnd.cfg" создаются с атрибутами "скрытый" (hidden) и "системный" (system).
- Создает и запускает в системе службу с именем "f28907d", исполняемым файлом которой является извлеченный ранее файл "f28907d.drv".
- Последовательно с интервалом в 1 секунду вызывает из извлеченной библиотеки "rnd.dll" функции с именами:
Start
Stop
- Троянец содержит в своем теле хеш имени процесса, полученный при помощи алгоритма хеширования MD5, который сравнивает с хешами имен всех запущенных в системе процессов. Если хеши совпали, троянец внедряет код библиотеки "rnd.dll" в адресное пространство найденного процесса.
- Удаляет файл:
%System%/VErCLSiD.exe
- Для автоматического запуска извлеченной ранее библиотеки создаются следующие ключи системного реестра:
[HKCR/CLSID/{201476D0-2B18-462E-AB9F-3E2B0CC8732B}/InprocServer32]
"(Default)" = "rnd.dll"
"ThreadingModel" = "Apartment"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{201476D0-2B18-462E-AB9F-3E2B0CC8732B}"=""
- Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c del полный путь к оригинальному файлу троянца
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить ключи системного реестра:
[HKCR/CLSID/{201476D0-2B18-462E-AB9F-3E2B0CC8732B}/InprocServer32]
"(Default)" = "rnd.dll"
"ThreadingModel" = "Apartment"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
"{201476D0-2B18-462E-AB9F-3E2B0CC8732B}"=""
- Удалить ветвь системного реестра:
[HKLM/System/CurrentControlSet/Services/f28907d]
- Перезагрузить компьютер.
- Удалить файлы:
%System%/f28907d.drv
%System%/rnd.dll
%System%/rnd.cfg
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|