Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 49152 байта. Написана на Visual Basic.
Инсталляция
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"GoogleUpdate"="путь_к_оригинальному_телу_троянца"
Деструктивная активность
После запуска троянец выполняет следующие действия:
Каждые 50 мс троянец осуществляет поиск и скрытие окна с именем: avenger - Bloco de notas
Каждые 50 секунд троянец выполняет загрузку файла со следующего URL:
http://dh***ku.com/images/atual.txt
http://dh***ku.com/images/atual.gif
На момент создания описания ссылки не работали.
В случае успешной загрузки файлов, сохраняет из в своем рабочем каталоге под именами:
%WorkDir%/atual.txt
%WorkDir%/atual.exe
После чего запускает файл "atual.exe" на выполнение.
Каждые 500 мс троянец производит перезапись файла:
%System%/drivers/etc/hosts
Следующим содержимым:
visa***om.br
199.***.166# SpyBo t search and Destroy
199.***.166 www.visanet.com.br
199.***.166 www.bancoreal.com.br
199.***.166 real.com.br
199.***.166 www.real.com.br
199.***.166 www.itau.com.br
199.***.166 itau.com.br
199.***.166 www.itaupersonnalite.com.br
199.***.166 itaupersonnalite.com.br
199.***.166 www.itauprivatebank.com.br
199.***.166 itauprivatebank.com.br
199.***.166 www.bb.com.br
199.***.166 bb.com.br
199.***.166 www.bb.gov.br
199.***.166 bb.gov.br
199.***.166 bradesco.com.br
199.***.166 www.bradesco.com.br
199.***.166 www.bradescoprime.com.br
199.***.166 bradescoprime.com.br
199.***.166 bradescojuridico.com.br
199.***.166 www.checktudo.com.br
199.***.166 checktudo.com.br
199.***.166 www.infoseg.gov.br
199.***.166 infoseg.gov.br
199.***.166 www.bradescojuridico.com.br
199.***.166 santander.com.br
199.***.166 www.santander.com.br
199.***.166 banespa.com.br
199.***.166 www.nossacaixa.com.br
199.***.166 nossacaixa.com.br
199.***.166 www.unibanco.com.br
199.***.166 unibanco.com.br
199.***.166 www.banespa.com.br
199.***.166 www.itauprivatebank.com.br
199.***.166 itauprivatebank.com.br
199.***.166 cetelem.com.br
199.***.166 www.cetelem.com.br
199.***.166 citibank.com.br
199.***.166 www.citibank.com.br
199.***.166 www.cartaobndes.gov.br
199.***.166 cartaobndes.gov.br
что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%WorkDir%/atual.txt
%WorkDir%/atual.exe
- Восстановить оригинальное содержимое файла:
%System%/drivers/etc/hosts
которое по умолчанию имеет следующий вид:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке.
# IP-адрес должен находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом `#`.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
- Удалить параметр в ключе системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"GoogleUpdate"="путь_к_оригинальному_телу_троянца"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|