Технические детали

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 78720 байт. Написана на C++.

Деструктивная активность

После запуска троянец, для контроля уникальности своего процесса в системе, создает уникальный идентификатор с именем "op1mutx9". Пытается выполнить чтение значения параметра "minr", который находится в секции "[fje32a1s]" в файле:

%WinDir%/System.ini

Если такой секции в файле не существует – записывает в файл "System.ini" следующие строки:

[fje32a1s]
minr=1

Проверяет наличие параметра "session" в ключе системного реестра:

[HKCU/Software/bntrp]

Если такой ключ существует – вредонос завершает свое выполнение. Затем вредонос извлекает из своего тела в каталог хранения временных файлов текущего пользователя файл с именем:

%Temp%/rnd.exe

где rnd – случайная цифробуквенная последовательность, например, "23eff57". Данный файл имеет размер 71680 байт и детектируется антивирусом Касперского как Trojan.Win32.Vilsel.aogm. После этого троянец запускает извлеченный файл на выполнение. Запущенный троянец, для контроля уникальности своего процесса в системе, создает уникальные идентификаторы с именами "uxJLpe1m" и "Ap1mutx7". Также добавляет в файл "System.ini" строки:

[fje32as]
minr=1

Затем троянец выполняет функционал вредоноса, который детектируется антивирусом Касперского как Virus.Win32.Sality.ag. Пытается выполнить загрузку вредоносного ПО, которое располагается по ссылкам:

http://pe***awel.fm.interia.pl/logos.gif
http://chi***tara.com/logof.gif
http://sue***lie.com/images/logos.gif
http://de***int-eg.com/images/logosa.gif
http://www.cey***ogullari.com/logof.gif
http://www.blue***atives.com/logos.gif
http://724hi***tgrup.com/images/logosa.gif
http://yavuztuncil.ya.fu***ic.de/images/logos.gif
http://ceva***a.com/images/logos.gif
http://173.***.14/logo.gif
http://89.***.154/testo5/
http://kukutrus***7.info/home.gif
http://kukutrus***8.info/home.gif
http://kukutrus***7.info/home.gif

и запустить загруженные файлы на выполнение.

Далее троянец добавляет свой исполняемый файл в список разрешенных для доступа в сеть приложений в файрвол Windows, сохраняя следующий параметр в ключе реестра:

[HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
"путь к оригинальному файлу вредоноса"="путь к оригинальному файлу вредоноса:*:Enabled:ipsec"

В завершении вредонос выполняет обращение к ресурсу, который располагается по следующей ссылке:

http://ks***e.com/sm.php?sobakavolos2=rnd2

где rnd2 – десятичное число.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить ключ системного реестра:

[HKCU/Software/bntrp]

3. Удалить параметр в ключе реестра:

[HKLM/System/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
"путь к оригинальному файлу вредоноса"="путь к оригинальному файлу вредоноса:*:Enabled:ipsec"

4. Очистить каталог хранения файлов текущего пользователя:

%Temp%

5. Восстановить оригинальные значения в файле:

%WinDir%/System.ini

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив