Технические детали
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 176640 байт. Упакована UPX. Распакованный размер – около 245 КБ. Написана на C++.
Инсталляция
После запуска вредонос копирует свое тело в каталог Автозагрузка текущего пользователя, обеспечивая себе возможность автоматически запускаться при каждом следующем старте системы. Копия создается со случайным именем:
%USERPROFILE%/Start Menu/Programs/Startup/rnd.exe
где rnd – случайная последовательность цифр и латинских букв, к примеру: "v6o3pl8nhq".
Затем вредонос запускает экземпляр системного процесса "EXPLORER.EXE" и внедряет в его адресное пространство исполняемый код, реализующий весь деструктивный функционал.
Деструктивная активность
Подгруженный в процесс "EXPLORER.EXE" код в свою очередь запускает экземпляр системного процесса "SVCHOST.EXE" и внедряет в его адресное пространство код, реализующий функционал бэкдора, и выполняющий следующие действия:
- удаляет оригинальный файл вредоноса;
- скрывает ранее созданную копию в каталоге Автозагрузка;
- устанавливает соединение с серверами злоумышленника для получения команд.
В зависимости от полученных команд, бэкдор может выполнять следующие действия:
- обновлять свой оригинальный файл, загружая обновление с сервера злоумышленника;
- загружать на зараженный компьютер другие файлы;
- отслеживать сетевой трафик системы с целью похищения конфиденциальных данных пользователя;
- собирать информацию о зараженной системе;
- отслеживать клавиатурный ввод пользователя;
- отсылать собранную информацию на сервер злоумышленника.
В ходе своей работы бэкдор подключается к следующим серверам:
me***i38.com
a***gh.in
На момент создания описания вредонос загружал обновление своего исполняемого файла.
Был загружен файл размером 106496 байт;
MD5: 27DDD62D3F3C7DFA3498C9A077F3D93A,
SHA1: D9E958FED91C1A78A82C26F8B1728CA532BEECD1;
детектируется Антивирусом Касперского как "Trojan.Win32.Diple.vvd".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
- Удалить файл:
%USERPROFILE%/Start Menu/Programs/Startup/rnd.exe
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|