Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 65536 байт. Написана на Visual Basic.
Инсталляция
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"GoogleUpdate"="/имя вредоноса"
Деструктивная активность
После запуска троянец создает и запускает на выполнение файл:
c:/sysb.bat
С помощью этого файла троянец:
разрешает удаленный доступ к зараженному компьютеру, для чего создает ключ системного реестра:
[HKLM/System/CurrentControlSet/Control/Terminal Server]
"fDenyTSConnections"= 1
"AllowTSConnections"= 1
активирует "Удаленного помощника", для чего создает ключ системного реестра:
[HKLM/System/CurrentControlSet/Control/Terminal Server]
"fAllowToGetHelp"= 1
Останавливает службы с именами:
central de seguranca
wscsvc
SharedAccess
Затем модифицирует файл:
c:/windows/system32/drivers/etc/hosts
В который записывает следующие данные:
199.238.144.115 visanet.com.br
199.238.144.115 www.visanet.com.br
199.238.144.115 www.openbank.es
199.238.144.115 openbank.es
199.238.144.115 www.lacaixa.es
199.238.144.115 lacaixa.es
199.238.144.115 www.bancoreal.com.br
199.238.144.115 www.real.com.br
199.238.144.115 www.real.com.br
199.238.144.115 www.itau.com.br
199.238.144.115 itau.com.br
199.238.144.115 www.itaupersonnalite.com.br
199.238.144.115 itaupersonnalite.com.br
199.238.144.115 www.itauprivatebank.com.br
199.238.144.115 itauprivatebank.com.br
199.238.144.115 www.bb.com.br
199.238.144.115 bb.com.br
199.238.144.115 www.bb.gov.br
199.238.144.115 bb.gov.br
199.238.144.115 bradesco.com.br
199.238.144.115 www.bradesco.com.br
199.238.144.115 www.bradescoprime.com.br
199.238.144.115 bradescoprime.com.br
199.238.144.115 bradescojuridico.com.br
199.238.144.115 www.checktudo.com.br
199.238.144.115 checktudo.com.br
199.238.144.115 www.infoseg.gov.br
199.238.144.115 infoseg.gov.br
199.238.144.115 www.real.com.br
199.238.144.115 real.com.br
199.238.144.115 www.bradescojuridico.com.br
199.238.144.115 santander.com.br
199.238.144.115 www.santander.com.br
199.238.144.115 banespa.com.br
199.238.144.115 www.nossacaixa.com.br
199.238.144.115 nossacaixa.com.br
199.238.144.115 www.unibanco.com.br
199.238.144.115 unibanco.com.br
199.238.144.115 www.banespa.com.br
199.238.144.115 banespa.com.br
199.238.144.115 www.itauprivatebank.com.br
199.238.144.115 itauprivatebank.com.br
199.238.144.115 caixacatalunya.es
199.238.144.115 www.caixacatalunya.es
199.238.144.115 banesto.es
199.238.144.115 www.banesto.es
199.238.144.115 www.cajamadrid.es
199.238.144.115 cajamadrid.es
199.238.144.115 www.bbva.es
199.238.144.115 bbva.es
199.238.144.115 serasa.com.br
199.238.144.115 www.serasa.com.br
199.238.144.115 www.cam.es
199.238.144.115 cam.es
199.238.144.115 portal.lacaixa.es
199.238.144.115 www.banespa.com.br
198.65.62.140 www.caixa.com.br
198.65.62.140 caixa.com.br
198.65.62.140 www.caixaeconomicafederal.com.br
198.65.62.140 caixaeconomicafederal.com.br
198.65.62.140 www.cef.com.br
198.65.62.140 cef.com.br
198.65.62.140 www.caixa.gov.br
198.65.62.140 caixa.gov.br
198.65.62.140 www.caixaeconomica.com.br
198.65.62.140 caixaeconomica.com.br
198.65.62.140 www.caixaeconomica.gov.br
198.65.62.140 caixaeconomica.gov.br
198.65.62.140 www.cef.gov.br
198.65.62.140 www.caixaeconomicafederal.gov.br
198.65.62.140 caixaeconomicafederal.gov.br
199.238.144.115 cetelem.com.br
199.238.144.115 www.cetelem.com.br
199.238.144.115 citibank.com.br
199.238.144.115 www.citibank.com.br
199.238.144.115 www.pagamentodigital.com.br
199.238.144.115 pagamentodigital.com.br
199.238.144.115 www.cartaobndes.gov.br
199.238.144.115 cartaobndes.gov.br
199.238.144.115 americanas.com.br
199.238.144.115 www.americanas.com.br
199.238.144.115 americanas.com
199.238.144.115 www.americanas.com
Далее троянец загружает файлы со следующих URL адресов:
http://www.cyprianosom.com.br/images/atual.txt
http://www.ecep.com.br/img/atual.gif
На момент создания описания ссылки не работали.
Загруженные файлы троянец сохраняет под следующими именами:
WorkDir/atual.txt
WorkDir/atual.exe
После этого троянец запускает на выполнение файл "atual.exe".
Также троянец скрывает окно с заголовком:
avenger - Bloco de notas
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи "Диспетчера задач" завершить вредоносный процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"GoogleUpdate"="WorkDir/имя вредоноса"
- Удалить параметр системного реестра:
[HKLM/System/CurrentControlSet/Control/Terminal Server]
"fDenyTSConnections"= 1
"AllowTSConnections"= 1
[HKLM/System/CurrentControlSet/Control/Terminal Server]
"fAllowToGetHelp"= 1
- Восстановить оригинальное содержимое файла:
c:/windows/system32/drivers/etc/hosts
которое по умолчанию имеет следующий вид:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом `#`.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
- Удалить файлы:
WorkDir/atual.txt
WorkDir/atual.exe
c:/sysb.bat
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
