Технические детали

Вредоносная программа, предназначенная для похищения конфиденциальных данных пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 645120 байт. Написана на Delphi.

Деструктивная активность

Библиотека является компонентом комплекса вредоносных программ, предназначенных для сбора информации о зараженной системе, похищения конфиденциальной информации пользователя, а также удаленного управления системой.

Вредоносная библиотека регистрируется в системе при помощи утилиты "regsvr32.exe" либо же посредством вызова экспортируемой функции "DllRegisterServer". При этом в системном реестре создаются следующие ключи:

[HKCR/TypeLib/{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}/1.0]
"(Default)" = "ActiveFormProj1 Library"

[RegSetValue HKCR/TypeLib/{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}/1.0/FLAGS]
"(Default)" = "2"

[HKCR/TypeLib/{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}/1.0/0/win32]
"(Default)" = "полный путь к файлу вредоноса"

[HKCR/TypeLib/{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}/1.0/HELPDIR]
"(Default)" = "%WorkDir%"

[HKCR/Interface/{1CFE69DB-8D42-4AF2-9C5A-18557F203BFD}]
"(Default)" = "IActiveFormX"

[HKCR/Interface/{1CFE69DB-8D42-4AF2-9C5A-18557F203BFD}/ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR/Interface/{1CFE69DB-8D42-4AF2-9C5A-18557F203BFD}/ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR/Interface/{1CFE69DB-8D42-4AF2-9C5A-18557F203BFD}/TypeLib]
"(Default)" = "{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}"
"Version" = "1.0"

[HKCR/Interface/{3561906D-5402-4EAD-AE91-4E2F7D010C62}]
"(Default)" = "IActiveFormXEvents"

[HKCR/Interface/{3561906D-5402-4EAD-AE91-4E2F7D010C62}/ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR/Interface/{3561906D-5402-4EAD-AE91-4E2F7D010C62}/ProxyStubClsid32]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR/Interface/{3561906D-5402-4EAD-AE91-4E2F7D010C62}/TypeLib]
"(Default)" = "{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}"
"Version" = "1.0"

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}]
"(Default)" = "ActiveFormX Control"

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/InprocServer32]
"(Default)" = "полный путь к файлу вредоноса"
"ThreadingModel" = "Apartment"

[HKCR/ActiveFormProj1.ActiveFormX]
"(Default)" = "ActiveFormX Control"

[HKCR/ActiveFormProj1.ActiveFormX/Clsid]
"(Default)" = "{FDB999F7-4444-7C77-AE5B-B777AEE23888}"

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/ProgID]
"(Default)" = "ActiveFormProj1.ActiveFormX"

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/Version]
"(Default)" = "1.0"

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/TypeLib]
"(Default)" = "{B78CAD83-FD06-4B24-A3EF-9765A09A02BD}"

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/MiscStatus]
"(Default)" = "0"

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/MiscStatus/1]
"(Default)" = "205201"

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/ToolboxBitmap32]
"(Default)" = "полный путь к файлу вредоноса,1"

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/Control]
"(Default)" = "Data: "

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/Verb]
"(Default)" = "Data: "

[HKCR/CLSID/{FDB999F7-4444-7C77-AE5B-B777AEE23888}/Verb/0]
"(Default)" = "Properties,0,2"

Соответственно, экспортируемая библиотекой функция "DllUnregisterServer" удаляет приведенные выше ключи.

Вредоносная библиотека содержит в своей секции ресурсов файл,

Вредонос упакован неизвестным пакером, в распакованном виде имеет размер 158208 байт и детектируется Антивирусом Касперского как "Trojan-Dropper.Win32.Agent.bpxo". Вредонос использует различные антиотладочные приемы. Так работа вредоноса завершается при выполнении хотя бы одного из следующих условий:

• при обнаружении в своем адресном пространстве библиотек:

dbghelp.dll
sbiedll.dll

• При наличии в системе процесса:

VBoxService.exe

Таким образом, троянец препятствует запуску своего тела на виртуальной машине компании Oracle Corporation;

• Ключ системного реестра:

[HKLM/Software/Microsoft/Windows/CurrentVersion]
"ProductId"

принимает одно из следующих значений:

76487-337-8429955-22614
76487-644-3177037-23510
55274-640-2673064-23950

Вредонос реализует функционал, позволяющий отслеживать активность пользователя, а также собирать различную информацию в зараженной системе, отправляя полученные данные на сервер злоумышленника. Также с сервера злоумышленника могут быть получены команды, исполняемые вредоносом. Весь деструктивный функционал внедряется в адресное пространство системного процесса:

explorer.exe

Также в ходе своей работы вредонос удаляет ключ системного реестра:

[HKCU/Software/Cerberus]
"StartPersist"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Отменить регистрацию вредоносной библиотеки, запустив системную утилиту "regsvr32.exe" с параметрами:

/u "полный путь к файлу вредоноса"

2. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив