Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 49152 байта. Написана на Visual Basic.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"GoogleUpdate"="путь_к_оригинальному_телу_троянца"

Деструктивная активность

После запуска троянец выполняет следующие действия:

• Каждые 50 мс троянец осуществляет поиск и скрытие окна с именем:

avenger - Bloco de notas

• Каждые 50 секунд троянец выполняет загрузку файла со следующего URL:

http://dh***iku.com/images/atual.txt
http://dh***iku.com/images/atual.gif

На момент создания описания ссылки не работали.

В случае успешной загрузки файлов, сохраняет из в своем рабочем каталоге под именами:

%WorkDir%/atual.txt
%WorkDir%/atual.exe

После чего запускает файл "atual.exe" на выполнение.

• Каждые 500 мс троянец производит перезапись файла:

%System%/drivers/etc/hosts

Следующим содержимым:

visanet.com.br 199.***.166# SpyBo t search and Destroy
199.***.166 www.visanet.com.br
199.***.166 www.bancoreal.com.br
199.***.166 real.com.br
199.***.166 www.real.com.br
199.***.166 www.itau.com.br
199.***.166 itau.com.br
199.***.166 www.itaupersonnalite.com.br
199.***.166 itaupersonnalite.com.br
199.***.166 www.itauprivatebank.com.br
199.***.166 itauprivatebank.com.br
199.***.166 www.bb.com.br
199.***.166 bb.com.br
199.***.166 www.bb.gov.br
199.***.166 bb.gov.br
199.***.166 bradesco.com.br
199.***.166 www.bradesco.com.br
199.***.166 www.bradescoprime.com.br
199.***.166 bradescoprime.com.br
199.***.166 bradescojuridico.com.br
199.***.166 www.checktudo.com.br
199.***.166 checktudo.com.br
199.***.166 www.infoseg.gov.br
199.***.166 infoseg.gov.br
199.***.166 www.bradescojuridico.com.br
199.***.166 santander.com.br
199.***.166 www.santander.com.br
199.***.166 banespa.com.br
199.***.166 www.nossacaixa.com.br
199.***.166 nossacaixa.com.br
199.***.166 www.unibanco.com.br
199.***.166 unibanco.com.br
199.***.166 www.banespa.com.br
199.***.166 www.itauprivatebank.com.br
199.***.166 itauprivatebank.com.br
199.***.166 cetelem.com.br
199.***.166 www.cetelem.com.br
199.***.166 citibank.com.br
199.***.166 www.citibank.com.br
199.***.166 www.cartaobndes.gov.br
199.***.166 cartaobndes.gov.br

что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

%WorkDir%/atual.txt
%WorkDir%/atual.exe

4. Восстановить оригинальное содержимое файла:

%System%/drivers/etc/hosts

которое по умолчанию имеет следующий вид:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке.IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом `#`.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

5. Удалить параметр в ключе системного реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"GoogleUpdate"="путь_к_оригинальному_телу_троянца"

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив