Деструктивная активность После запуска троянец выполняет следующие действия:
извлекает из своего тела файл: %System%\update.reg (6344 байта; детектируется Антивирусом Касперского как "Trojan.Win32.StartPage.acxl")
Запускает редактор системного реестра "regedit.exe" с параметрами: /s %System%\update.reg При этом из извлеченного файла в системный реестр импортируется следующая информация: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\NewStartPanel]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = "1"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}]
"@" = "Internet Explorer"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}
\DefaultIcon]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell]
"@" = ""
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\D]
"@" = "??(&D)"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
D\Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
Open]
"@" = "????"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\
Open\Command]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe
http://www.9***4.com/?100021"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??]
"@" = "??"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\Shell\??\
Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894599}\ShellFolder]
"@" = ""
"Attributes" = "0000000a"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}]
"@" = "Internet Explorer"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\DefaultIcon]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell]
"@" = ""
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\D]
"@" = "??(&D)"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\D\Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\Open]
"@" = "????"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\Open\Command]
"@" = "C:\\Program Files\\Internet Explorer\\iexplore.exe
http://www.9***4.com/?100021"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\??]
"@" = "??"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\Shell\??\Command]
"@" = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKLM\Software\Classes\CLSID\{86AEFBE8-763F-0647-899C-
A93278894599}\ShellFolder]
"@" = ""
"Attributes" = "0000000a"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace]
"@" = ""
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Desktop\NameSpace\{86AEFBE8-763F-0647-899C-A93278894599}]
"@" = "Ineter Iexplorer.exe"
Удаляет файл: %System%\update.reg
Находит в системе окно с именем класса "SysListView32", и имитирует нажатие клавиши F5 в данном окне.
Внедряет в адресное пространство процессов: conime.exe
wscntfy.exe
mspaint.exe
исполняемый код, выполняющий следующие действия (размер дампа кода – 122880 байт; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.BHO.lt"):
создаются файлы: %System%\winldr.atd (0 байт)
%System%\sysdrvd.cio (0 байт)
Для контроля уникальности процесса в системе создается уникальный идентификатор с именем: jj
Удаляется файл: %System%\baidu32.dll
Из внедренного кода извлекается файл: %System%\baidu32.dll (69632 байта; детектируется Антивирусом Касперского как "Trojan.Win32.BHO.aihe")
Путем запуска системной утилиты "regsvr32.exe" извлеченная библиотека инсталлируется в систему. При этом создаются следующие ключи системного реестра: [HKCR\IEHlprObj.IEHlprObj.1]
"(Default)" = "IEHlprObj Class"
[HKCR\IEHlprObj.IEHlprObj.1\CLSID]
"(Default)" = "{CE7C3CF0-4B15-11D1-ABED-709549C10000}"
[HKCR\IEHlprObj.IEHlprObj]
"(Default)" = "IEHlprObj Class"
[HKCR\IEHlprObj.IEHlprObj\CurVer]
"(Default)" = "IEHlprObj.IEHlprObj.1"
[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
"(Default)" = "IEHlprObj Class"
[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
ProgID]
"(Default)" = "IEHlprObj.IEHlprObj.1"
[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
\VersionIndependentProgID]
"(Default)" = "IEHlprObj.IEHlprObj"
[HKCR\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\
InprocServer32]
"(Default)" = "%System%\baidu32.dll"
"ThreadingModel" = "Apartment"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}]
[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0]
"(Default)" = "IEHelper 1.0 Type Library"
[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\FLAGS]
"(Default)" = "0"
[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\0\win32]
"(Default)" = "%System%\baidu32.dll"
[HKCR\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}\1.0\HELPDIR]
"(Default)" = "%System%"
[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}]
"(Default)" = "IIEHlprObj"
[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}\
TypeLib]
"(Default)" = "{CE7C3CE2-4B15-11D1-ABED-709549C10000}"
"Version" = "1.0"
После паузы в 9 минут производится попытка установки соединения с сервером: update.9***4.com Если соединение успешно установлено, троянец переходит в цикл обработки команд. По команде злоумышленника могут выполняться такие действия как загрузка и запуск файлов;
организация DoS-атак;
рассылка спама.
www.g***00.com
www.cp***yj.com
www.9***4.com
0 коммент.:
Отправить комментарий