Технические детали
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 82200 байт. Написана на C++.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- загружает из сети Интернет файл по следующей ссылке:
http://up***er.com/install.aspx?b=querybrowser
Загруженный файл сохраняется в каталоге хранения временных файлов текущего пользователя как
%Temp%/stbrnd.tmp/setup.exe
где rnd – случайное двухзначное шестнадцатеричное число.
На момент создания описания загружался файл размером 727792 байта; MD5: 9FCFAF2BC4BD8D54BCFCD0CC3A888842, SHA1: 0DEA5D4C0D6DDB213440BD7AAEEDAAB8C8F64B8E.
- Запускает загруженный файл с параметрами:
-i 9f77f024b36d47be96af687beb8abf3e -p QrybrsrFlvtube /S
- Ожидает завершения запущенного процесса "setup.exe", после чего удаляет файл:
%Temp%/stbrnd.tmp/setup.exe
а также каталог:
%Temp%/stbrnd.tmp
- Информирует злоумышленника об удачной загрузке и установке файла, обращаясь по ссылке:
http://up***er.com/?product=0&tji18=2152&vn=0&qipc43=43&rea=29&rfz94=45&b=querybrowser&vhid11=582&cid=9f77f024b36d47
be96af687beb8abf3e&opfs4=7708&ptag=QrybrsrFlvtube&pe3=21&av=Ao19cDF0lroKQZGcGWv64KQowTOUJpXf8zxYqCi0&fpuz6=53&as=
- Посредством запуска системного командного интерпретатора "CMD.EXE" с параметрами:
/c del полный путь к оригинальному файлу троянца
удаляет свой оригинальный файл после завершения его работы.
После этого троянец завершает свою работу.
Загруженный троянцем файл является инсталлятором программы "QueryBrowser". Сайт программы:
http://www.querybrowser.com
Окно инсталлятора выглядит следующим образом:
Программа устанавливается в каталог "%Program Files%", где создаются файлы:
%Program Files%/QueryBrowser/querybrowser.exe
(61712 байт; MD5: 592DEFC591FAF81D539785D840 76D215, SHA1: 6F0609047A4A78E3236C0812CAFE5D 62AB62A011)
%Program Files%/QueryBrowser/querybrowser.dll
(577536 байт; MD5: 779BD59FF43537BB1C1FF78B49669AD8, SHA1: 138D9EE7F782A99AA07F0611F2E39035FDC13D7E)
Также в процессе установки создаются ключи системного реестра:
[HKLM/Software/QueryBrowser]
"Primary" = "24602"
"DllPath" = "%Program Files%/QueryBrowser/querybrowser.dll"
"Version" = "65548"
"Cid" = "61fd6abec14040a08fd49ee54b25508a"
"Partner" = "QrybrsrFlvtube"
"Src" = "querybrowser"
"Initial" = "1"
"ShowToolbarButton" = "0"
"ShowBarSign" = "0"
Установленная программа позволяет отслеживать строки, вводимые в адресной строке браузера, и, таким образом, вести учет интернет-ресурсов, посещаемых пользователем.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процессы с именами "querybrowser.exe".
- Удалить файлы:
%Program Files%/QueryBrowser/querybrowser.exe
%Program Files%/QueryBrowser/querybrowser.dll
- Удалить ключи системного реестра:
[HKLM/Software/QueryBrowser]
"Primary" = "24602"
"DllPath" = "%Program Files%/QueryBrowser/querybrowser.dll"
"Version" = "65548"
"Cid" = "61fd6abec14040a08fd49ee54b25508a"
"Partner" = "QrybrsrFlvtube"
"Src" = "querybrowser"
"Initial" = "1"
"ShowToolbarButton" = "0"
"ShowBarSign" = "0"
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
