Технические детали
Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы. Является приложением Windows (PE-EXE файл). Имеет размер 67584 байта. Программа упакована неизвестным упаковщиком. Распакованный размер – около 40 КБ Написана на C++.
Инсталляция
Перемещает свой оригинальный файл в каталог "Application Data" текущего пользователя Windows со следующим именем:
%AppData%/{идентификатор}/.exe
Где идентификатор - цифро-буквенная последовательность, например, "C6D3BC0E-F70C-A35F-FCF3-ED7E6D83CCA7" или "641CA5E6-9E2F-9EDF-B417-33FEDEA5C0FC", которую троянец получает преобразуя значение следующего параметра ключа системного реестра:
[HKLMSYSTEM/Setup]
"Pid"
Для автоматического запуска при каждом следующем старте системы добавляет информацию в ключ системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce]
"AD Network" = "путь к оригинальному телу троянца параметр"
Где параметр - шестнадцатеричное число, троянец выполняет различные действия в зависимости от значения данного параметра.
Деструктивная активность
Троянец проверяет наличие следующего файла:
%WinDir%/tmp/bot.log
При наличии использует его в качестве лог-файла своей работы. Создает файл во временном каталоге текущего пользователя Windows, не являющегося вредоносным:
%Temp%/{217F200B-97B8-468d-AC3B-8577E112EEC1}.tlb
Данный файл имеет размер 3432 байта и используется троянцем для дальнейшей работы. Проверяет наличие файла:
%AppData%{идентификатор}/.cfg
данный файл является файлом-конфигурации и содержит сценарий языка JavaScript, который троянец запускает на исполнение. В файле-конфигурации содержатся URL по которым троянец может загружать свою обновленную версию, обновленную версию файла-конфигурации или файлы с командами. Получая команду, троянец может открывать различные ресурсы в браузере пользователя или загружать файлы с последующим запуском их на исполнение. Загружаемые файлы сохраняются во временном каталоге текущего пользователя Windows c расширением ".tmp":
%Temp%/имя файла.tmp
В зависимости от параметра с которым был запущен, троянец может выполнять следующие действия:
Выполнять инсталляцию, описанную выше.
Удалять свое тело, созданные троянцем ключи реестра и файл конфигурации.
Создавать следующие записи в ключе системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall/{идентификатор}]
"DisplayIcon" = "путь к оригинальному телу троянца"
"NoModify" = "1"
"NoRepair" = "1"
"DisplayName" = "AD Network"
"Publisher" = "uCoz"
"URLInfoAbout" = "http://www.ucoz.ru/"
"UninstallString" = "путь к оригинальному телу троянца"
Таким образом троянца можно будет деинсталлировать, используя стандартное меню Windows "Установка и удаление программ".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс троянца:
.exe
- Удалить файлы:
%WinDir%/tmp/bot.log
%AppData%/{идентификатор}/.exe
%AppData%/{идентификатор}/.cfg
- Удалить ключи системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce]
"AD Network" = "путь к оригинальному телу троянца параметр"
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
