Технические детали

Программа, которая загружает из сети Интернет и устанавливает различное программное обеспечение без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 129288 байт. Программа упакована при помощи UPX. Распакованный размер – около 404 КБ. Написана на C++.

Деструктивная активность

После запуска троянец проверяет наличие привилегий администратора у текущего пользователя и если они отсутствуют, то выдает сообщение:

Выполняет следующие действия:

• При запуске отображается следующее окно:

• Во время своей работы программа создает следующие уникальные идентификаторы:

{FF4E366C-EB6E-4387-968D-B97175E24D5A}Global/WST2010_Feature_rnd
Global/WST2010_{58343C24-CB4B-4a57-9B4D-E3DD88463B62}_INITIALIZE

Где rnd - произвольная числовая последовательность.

• Создает ключи в системном реестре:

[HKCU/Environment]
"WS_TARGET_DIR"="%Program Files%//WhiteSmoke Translator"

[HKLM/Software/WhiteSmokeTranslator]
"InstallOption"=dword:0000000e
"DistID"=dword:0000138a

• Во временном каталоге текущего пользователя создает каталог:

%Temp%/~nsu.tmp/

В который, программа помещает следующие файлы:

%Temp%/~nsu.tmp/wsget.exe
Файл имеет размер 61952 байта.

%Temp%/~nsu.tmp/boost.ico Файл имеет размер 13942 байта.

• Также троянец создает файлы (где - имя пользователя текущей учетной записи):

%Documents and Settings%/All Users/Start Menu/Programs/Startup/WhiteSmoke Translator.lnk
%Documents and Settings%/user/Desktop/WhiteSmoke(continue installation).lnk
%Documents and Settings%/user/Desktop/Improve Your PC.lnk
Файл имеет размер 1102 байта.

Запуск этого файла приводит к открытию в браузере по умолчанию следующего URL адреса:

http://www.re***ster.com/L10n/geo-ws-597-di.php

На момент создания описания ссылка не работала.

• Запускает на выполнение файл:

%Temp%/~nsu.tmp/wsget.exe

Которому в качестве параметра передает строку:

"%Program Files%/WhiteSmoke Translator"

Запущенный файл выполняет загрузку и запуск файлов со следующих URL адресов:

http://get.w***moke.com/TranslatorTools/whitesmoke-silent.exe

Файл имеет размер 251200 байт.

http://get.w***moke.com/TranslatorTools/

WhiteSmokeTranslator_rev1.exe

Файл имеет размер 5076816 байт.

Файлы сохраняются под следующими именами соответственно:

%Temp%/~nsu.tmp/whitesmoke-silent.exe
%Temp%/~nsu.tmp/WhiteSmokeTranslator_rev1.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

%Temp%/~nsu.tmp/wsget.exe
%Temp%/~nsu.tmp/boost.ico
%Documents and Settings%/All Users/Start Menu/Programs/Startup/WhiteSmoke Translator.lnk
%Documents and Settings%/user/Desktop/WhiteSmoke (continue installation).lnk
%Documents and Settings%/user/Desktop/Improve Your PC.lnk
%Temp%/~nsu.tmp/whitesmoke-silent.exe
%Temp%/~nsu.tmp/WhiteSmokeTranslator_rev1.exe

3. Удалить ключи системного реестра:

[HKCU/Environment]
"WS_TARGET_DIR"="%Program Files%//WhiteSmoke Translator"

[HKLM/Software/WhiteSmokeTranslator]
"InstallOption"=dword:0000000e
"DistID"=dword:0000138a

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив