Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 30720 байт. Упакована UPX. Распакованный размер – около 51 КБ. Написана на C++.
Инсталляция
После запуска троянец находит в системе процесс "SVCH0SAT.EXE" и завершает его. Также удаляется файл:
%System%/SVCH0SAT.EXE
После этого тело троянца копируется в файл:
%System%/SVCH0SAT.EXE
Затем созданная копия запускается на выполнение.
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"SVCH0SAT" = "%System%/SVCH0SAT.EXE"
Для удаления своего оригинального файла после завершения его работы троянец запускает системный командный интерпретатор "CMD.EXE" с параметрами:
/c del "полный путь к оригинальному файлу троянца"
После этого троянец завершает свою работу.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
SVCH0SAT
- Находит в системе и пытается удалить файл:
%System%/imetlbb.dll
Если файл найден, а удалить его не удается, то троянец завершает свою работу.
- Извлекает из своего тела файлы, которые сохраняются в системе как
%System%/imetlbb.dll
(20480 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bnqf")
%WinDir%/imetlws.exe
(18919 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.PcClient.ecqh")
- Запускает на выполнение извлеченный файл "imetlws.exe".
- Находит в системе окно с именем класса "TianLongBaBu WndClass" и завершает процесс, соответствующий данному окну.
- Запускает параллельно выполняющийся поток, осуществляющий в цикле каждые 2 секунды поиск в системе окна с именем класса "TianLongBaBu WndClass", и внедрение в адресное пространство создавшего данное окно процесса исполняемого кода извлеченной ранее библиотеки "imetlbb.dll". Данная библиотека реализует функционал кражи паролей и другой конфиденциальной информации пользователей игры "TianLongBaBu".
- В другом параллельно выполняющемся потоке троянец отправляет данные, собранные при помощи описанной библиотеки, в HTTP-запросе на сервер злоумышленника:
http://113.***.161:3366/i.asp
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "SVCH0SAT.EXE".
- Удалить ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"SVCH0SAT" = "%System%/SVCH0SAT.EXE"
- Завершить процесс игры "TianLongBaBu".
- Удалить файлы:
%System%/imetlbb.dll
%WinDir%/imetlws.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|