Технические детали

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows .Net (PE EXE-файл). Имеет размер 3889352 байта.

Деструктивная активность

После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя следующие файлы:

%Temp%/KasKeygenRevised.exe
MD5: 5625FEE8B2A40614C60329EDC715121B
SHA1: A2745AA6ADDB38B2B41C52D6273E68514E533035

Данный файл имеет размер 479232 байта и детектируется Антивирусом Касперского как Trojan.Win32.VB.aaen.

%Temp%/1234.exe
MD5: 21AF98290B99AE6810940A22B1741A9B
SHA1: 06D78674771590A620C01E7E1102A239A1E06576

Данный файл имеет размер 2196545 байт и детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.dvyg.

Затем троянец запускает извлеченные файлы на выполнение и завершает свою работу.

Файл "KasKeygenRevised.exe", который детектируется как Trojan.Win32.VB.aaen выполняет имитацию генерации ключей для продуктов Лаборатории Касперского, таких как: Kaspersky Anti-Virus 2010, Kaspersky Internet Security 2010, Kaspersky Simple Scan 2010. Основные окна программы имеют следующий вид:

Файл "1234.exe", который детектируется как Trojan-Dropper.Win32.Agent.dvyg выполняет следующие деструктивные действия:

После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя следующие файлы:

%Temp%/instant.exe
MD5: 1061DD99AC8AD010104CF04389CD0A21
SHA1: FB2C35AA9FFBE0A18CA7B2954E76C47BFB3B5CF8

Данный файл имеет размер 1116397 байт и детектируется Антивирусом Касперского как Trojan.MSIL.Agent.aor.

%Temp%/server.exe
MD5: 02833F8FC9F6C06B4EEB71473E9E26E6
SHA1: 7768C1C168C558CA1F4DAEFD82A16ED5166CA246

Данный файл имеет размер 289792 байта и детектируется Антивирусом Касперского как Trojan.Win32.Llac.gfu.

Затем троянец запускает извлеченные файлы на выполнение и завершает свою работу.

Файл "instant.exe", который детектируется как Trojan.MSIL.Agent.aor выполняет следующие деструктивные действия:

Троянец реализует функционал, предотвращающий проявление его деструктивной активности при запуске в следующих виртуальных средах:

VMWare
VirtualPC
VirtualBox
Sandboxie

Троянская программа предназначена для похищения регистрационной информации пользователей следующих программных продуктов:

Splinter Cell Pandora Tomorrow
Splinter Cell Chaos Theory
Call of Duty
Call of Duty United Offensive
Call of Duty 2
Call of Duty 4
COD4 Steam Version
Call of Duty WAW
Dawn of War
Dawn of War - Dark Crusade
Medieval II Total War
Adobe Goolive
Nero 7
ACDSystems PicAView
Act of War
Adobe Photoshop 7
Advanced PDF Password Recovery
Advanced PDF Password Recovery Pro
Advanced ZIP Password Recovery
Anno 1701
Ashamopp WinOptimizer Platinum
AV Voice Changer
Battlefield(1942)
Battlefield 1942 Secret Weapons of WWII
Battlefield 1942 The Road to Rome
Battlefield 2
Battlefield(2142)
Battlefield Vietnam
Black and White
Black and White 2
Boulder Dash Rocks
Burnout Paradise
Camtasia Studio 4
Chrome
Codec Tweak Tool
Command and Conquer Generals
Command and Conquer Generals Zero Hour
Red Alert 2
Red Alert
Command and Conquer Tiberian Sun
Command and Conquer 3
Company of Heroes
Counter-Strike
Crysis
PowerDVD
PowerBar
CyberLink PowerProducer
Day of Defeat
The Battle for Middle-earth II
The Sims 2
The Sims 2 University
The Sims 2 Nightlife
The Sims 2 Open For Business
The Sims 2 Pets
The Sims 2 Seasons
The Sims 2 Glamour Life Stuff
The Sims 2 Celebration Stuff
The Sims 2 H M Fashion Stuff
The Sims 2 Family Fun Stuff
DVD Audio Extractor
Empire Earth II
F.E.A.R
F-Secure
FARCRY
FARCRY 2
FIFA 2002
FIFA 2003
FIFA 2004
FIFA 2005
FIFA 07
FIFA 08
Freedom Force
Frontlines Fuel of War Beta
Frontlines Fuel of War
GetRight
Global Operations
Gunman
Half-Life
Hellgate London
Hidden & Dangerous 2
IGI 2 Retail
InCD Serial
IG2
iPod Converter (Registration Code)
iPod Converter (User Name)
James Bond 007 Nightfire
Status Legends of Might and Magic
Macromedia Flash 7
Macromedia Fireworks 7
Macromedia Dreamweaver 7
Madden NFL 07
Matrix Screensave
Medal of Honor Airborne
Medal of Honor Allied Assault
Medal of Honor Allied Assault Breakthrough
Medal of Honor Heroes 2
mIRC
Nascar Racing 2002
Nascar Racing 2003
NHL 2002
NBA LIVE 2003
NBA LIVE 2004
NBA LIVE 07
NBA Live 08
Need for Speed Carbon
Need For Speed Hot Pursuit 2
Need for Speed Most Wanted
Need for Speed ProStreet
Need For Speed Underground
Need For Speed Underground 2
Nero - Burning Rom
Nero 7
Nero 8
NHL 2002
NHL 2003
NHL 2004
NHL 2005
NOX
Numega SmartCheck
OnlineTVPlayer
O&O Defrag 8.0
Partition Magic 8.0
Passware Encryption Analyzer
Passware Windows Key
PowerDvD
PowerStrip
Pro Evolution Soccer 2008
Rainbow Six III RavenShield
Shogun Total War Warlord Edition
Sid(Meier) `s Pirates!
Sid(Meier) `s Pirates!
Sim City 4 Deluxe
Sim City 4
Sniffer Pro 4.5
Soldiers Of Anarchy
Soldiers Of Anarchy
Stalker - Shadow of Chernobyl
Star Wars Battlefront II (v1.0)
Star Wars Battlefront II (v1.1)
Steganos Internet Anonym VPN
Splinter Cell Pandora Tomorrow
Surpreme Commander
S.W.A.T 2
S.W.A.T 3
S.W.A.T 4
TechSmith SnagIt
Texas Calculatem 4
The Battle for Middle-earth
The Orange Box
The Orange Box
TMPGEnc DVD Author
TuneUp 2007
TuneUp 2008
TuneUp 2009
Winamp
The Sims 3
Spore
Mirrors Edge
GTA IV
FIFA 2009
Pro Evolution Soccer 2009
FIFA 2008
Nero 9
Mirc
Orange Box

В данном случае под регистрационной информацией подразумеваются значения параметров с именами:

Name
Serial
Registration Code
User Name
Username
Company
License
Owner
Key
Serial Key

Собранные данные записываются в файл:

%Temp%/TMP.dat

и отправляются на почтовый ящик злоумышленника на сервере "@gmail.com".

Для определения IP-адреса зараженного компьютера троянец обращается к сервису:

www.whatismyip.com

В ходе своей работы троянец извлекает из своего тела следующие файлы:

%WorkDir%/System.Data.SQLite.DLL (886272 байта)
%Temp%/melt.tmp (6 байт)

Файл "System.Data.SQLite.DLL" является сборкой библиотеки ADO.NET провайдера для работы с SQLite. В файл "melt.tmp" записывается строка:

melt

Троянец модифицирует файл:

%System%/drivers/etc/hosts

записывая в него следующие сроки:

##Do not touch this file, changing it will cause SERIOUS damage to your computer
127.0.0.1 www.rsbot.org/vb/
127.0.0.1 rsbot.org/vb/
127.0.0.1 85.25.184.47
127.0.0.1 www.rsbot.com
127.0.0.1 www.rsbot.com
127.0.0.1 www.rsbot.org
127.0.0.1 www.rsbot.org
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.rsbots.net
127.0.0.1 rsbots.net
127.0.0.1 www.RSbots.net
127.0.0.1 www.AutoFighter.org
127.0.0.1 www.RSBotting.com
127.0.0.1 www.RSTrainers.com
127.0.0.1 www.CodeSpace.net
127.0.0.1 www.RsAutoCheats.com
127.0.0.1 www.XxBots.net
127.0.0.1 www.AutoFarmer.org
127.0.0.1 www.kMiner.org

Таким образом, доступ к указанным ресурсам блокируется. Файл "server.exe", который детектируется как Trojan.Win32.Llac.gfu выполняет следующие деструктивные действия:

Инсталляция:

После запуска троянец создает копию своего файла в системном каталоге Windows c именем

%System%/install/server.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
"Policies" = "%System%/install/server.exe"

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"HKLM" = "%System%/install/server.exe"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
"Policies" = "%System%/install/server.exe"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"HKCU" = "%System%/install/server.exe"

[HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components/{VOC6T861-UAYF-N871-Y74N-64IK6MMG1C83}]
"StubPath" = "%System%/install/server.exe Restart"

Деструктивная активность:

При выполнении какого-либо из следующих условий троянец завершает свое выполнение:

1. При обнаружении в своем адресном пространстве следующих библиотек:

dbghelp.dll
sbiedll.dll

2. При запуске троянца на виртуальной машине компании Vmware;
3. При наличии процесса:

VBoxService.exe

таким образом троянец препятствует запуску своего тела на виртуальной машине компании Oracle Corporation;

4. Имя пользователя компьютера было:

CurrentUser

5. Значение параметра ключа системного реестра

[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion]
"ProductId" =

было одним из следующих:

76487-337-8429955-22614
76487-644-3177037-23510
55274-640-2673064-23950

Помимо этого троянец использует различные антиотладочные приемы. Во время выполнения создает уникальные идентификаторы с именами:

_x_X_UPDATE_X_x_
_x_X_PASSWORDLIST_X_x_
_x_X_BLOCKMOUSE_X_x_
0BP3RCBQG7BM1V
0BP3RCBQG7BM1V_PERSIST

Создает файл во временном каталоге текущего пользователя Windows:

%Temp%/XX—XX--XX.txt — 227744 байта

Данный файл содержит в зашифрованном виде файл конфигурации для работы троянца, а также исполняемый файл, который внедряет в адресное пространство процесса:

explorer.exe

Троянец запускает процесс браузера, используемого на компьютере пользователя по умолчанию. Данные о браузере получает из ключа реестра:

[HKCR/http/shell/open/command]

В процесс браузера также внедряет вредоносный код.

Внедряемый в адресное пространство процессов файл предназначен для восстановления вредоносного файла троянца, а также для выполнения команд, получаемых с сервера злоумышленника:

dc-hac***o-ip.info:3737

Злоумышленник может получать следующую информацию с компьютера пользователя:

• Список файлов на компьютере пользователя;
• Список открытых окон;
• Список запущенных процессов;
• Список запущенных служб;
• Данные об оборудовании компьютера пользователя;
• Данные о реестре компьютера пользователя;
• Данные об установленных программах;
• Список открытых портов;
• Имеет функцию просмотра рабочего стола компьютера пользователя;
• Изображение с веб-камеры;
• Звук с микрофона компьютера пользователя;
• Выполнять функцию кейлогера для получения нажимаемых клавиш клавиатуры и мыши;
• Сохраненные пароли браузеров; Помимо этого может отправлять команды для выполнения следующих действий:
• Запуск Socks Proxy и HTTP Proxy серверов;
• Открытие различных страниц в браузере пользователя;
• Загрузка на компьютер пользователя различных файлов и запуск их на исполнение;
• Получение доступа к командной строке;
• Выполнение поиска файлов на компьютере пользователя;
• Получение доступа к буферу обмена;
• Получение доступа к чату при использовании программы Windows Live Messenger;
• Изменение адреса сервера злоумышленника;
• Обновление настроек;
• Перезапуск вредоносного файла;
• Завершение своего выполнения и удаления своих файлов.

Данный вредоносный файл был создан с помощью программы "CyberGate RAT v1.04.8" — утилиты для удаленного администрирования. Сайт разработчиков:

http://website.cybe***-rat.org

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процессы:

explorer.exe
iexplore.exe (или процесса браузера, используемого на компьютере по умолчанию)

2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

%Temp%/1234.exe
%Temp%/KasKeygenRevised.exe
%Temp%/instant.exe
%Temp%/server.exe
%WorkDir%/System.Data.SQLite.DLL
%Temp%/melt.tmp
%Temp%/TMP.dat
%System%/install/server.exe
%Temp%/XX—XX--XX.txt

4. Удалить параметры ключей (системного реестра):

[HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
"Policies" = "%System%/install/server.exe"

[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"HKLM" = "%System%installserver.exe"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]
"Policies" = "%System%/install/server.exe"

[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"HKCU" = "%System%/install/server.exe"

[HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components/{VOC6T861-UAYF-N871-Y74N-64IK6MMG1C83}]
"StubPath" = "%System%installserver.exe Restart"

5. Очистить каталог Temporary Internet Files.
6. Восстановить оригинальное содержимое файла:

%System%/drivers/etc/hosts

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив