вторник, 1 марта 2011 г.

Описание работы вредоносной программы AdWare.Win32. Agent.qgf

Программа показа рекламы, написана на Visual C++. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 598016 байт.

Инсталляция

Приложение копирует свои исполняемые файлы со следующими именами:
%Program Files%\Wyeke\wyeke.dll
%Program Files%\Wyeke\uninstall.exe
%Program Files%\Wyeke\wyeke.exe
%Documents and Settings%\All Users\Application Data\
Wyeke\wyeke127.exe
Для автозапуска при каждой загрузки ОС создает службу со следующими параметрами: Имя службы:
Wyeke Service
Название:
Wyeke Service
Описание:
Update and control for Wyeke
Файл:
"%Documents and Settings%\All Users\Application 
Data\Wyeke\wyeke127.exe" "wyeke.dll" Service
Устанавливает элемент поиска "Wyeke" в панели инструментов таких браузеров как MS Internet Explorer и Mozilla Firefox.
Для установки кнопки поисковика в MS Internet Explorer – создает в системном реестре следующий ключ:
[HKLM\Software\Microsoft\Internet Explorer\Extensions\
{E62B896C-824D-4C5B-B8E6-7F0A14CCB9FD}]
"Default Visible"="Yes"
"ButtonText"="Go to Wyeke"
"HotIcon"="%WinDir%\Temp\<rnd>.tmp\tbb.ico"
"Icon"="%WinDir%\Temp\<rnd>.tmp\tbb.ico"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Script"="%WinDir%\Temp\<rnd>.tmp\home.js"
где rnd – случайное имя временного каталога. При инсталляции плагина в браузер Mozilla Firefox - создает следующие файлы:
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\chrome\wyeke.jar
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\defaults\preferences\prefs.js
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\install.rdf
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\chrome.manifest

Деструктивная активность

Библиотека "wyeke.dll" содержит в себе зашифрованную библиотеку "nncore.dll", после расшифровки которой – выполняет ее функционал. Библиотека экспортирует следующие функции:
Command()
Init()
Install()
Main()
Opt()
Proc()
Service()
Uninstall()
После активации приложение повышает привилегии для своего процесса. Также пытается запретить любой доступ к информации процесса. Для контроля уникальности своего процесса в системе троянец создает глобальные уникальные идентификаторы с именами"91auo+#>>> Добавляет следующую информацию в системный реестр:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wyeke]
"Primary"=dword:0000a9fd
"DllPath"="%Program Files%\Wyeke\wyeke.dll"
"Version"=dword:0001005f
"Cid"="3fb86536b44a4d68b4e012aae8758386"
"Partner"="WYEKE127"
"Src"="wyeke"
"ShowToolbarButton"=dword:00000000
"ShowBarSign"=dword:00000000
"UpdateTimeH"=dword:01cbbe92
"UpdateTimeL"=dword:e73555ec
"FXInstalled"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders]
"Local AppData"="%Documents and Setting%\%Current 
User%\Local Settings\Application Data"
В параметрах ключа реестра приложение сохраняет свои настройки, такие как:
  • информацию о своих установленных плагинах в браузерах;
  • время обновления;
  • расположение своих системных файлов;
  • номер версии.
Также устанавливает системные перехватчики, при помощи которых перехватывает ввод с клавиатуры в адресной строке браузера. После чего перенаправляет поисковый запрос на свой ресурс:
http://www.w***ke.com
Приложение загружает и устанавливает свою обновленную версию без уведомления пользователя. Загрузка производится со следующего домена:
upgrade.w***ke.com

0 коммент.:

Отправить комментарий