Описание работы вируса Trojan-Dropper.Win32. Agent.dvyh

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows .Net (PE EXE-файл). Имеет размер 3889352 байта.

Деструктивная активность

После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя следующие файлы:

%Temp%\KasKeygenRevised.exe

MD5: 5625FEE8B2A40614C60329EDC715121B
SHA1: A2745AA6ADDB38B2B41C52D6273E68514E533035 Данный файл имеет размер 479232 байта и детектируется Антивирусом Касперского как Trojan.Win32.VB.aaen.

%Temp%\1234.exe

MD5: 21AF98290B99AE6810940A22B1741A9B
SHA1: 06D78674771590A620C01E7E1102A239A1E06576 Данный файл имеет размер 2196545 байт и детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.dvyg. Затем троянец запускает извлеченные файлы на выполнение и завершает свою работу.
Файл "KasKeygenRevised.exe", который детектируется как Trojan.Win32.VB.aaen выполняет имитацию генерации ключей для продуктов Лаборатории Касперского, таких как: Kaspersky Anti-Virus 2010, Kaspersky Internet Security 2010, Kaspersky Simple Scan 2010. Основные окна программы имеют следующий вид:

Файл "1234.exe", который детектируется как Trojan-Dropper.Win32.Agent.dvyg выполняет следующие деструктивніе действия: После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя следующие файлы:

%Temp%\instant.exe

MD5: 1061DD99AC8AD010104CF04389CD0A21
SHA1: FB2C35AA9FFBE0A18CA7B2954E76C47BFB3B5CF8 Данный файл имеет размер 1116397 байт и детектируется Антивирусом Касперского как Trojan.MSIL.Agent.aor.

%Temp%\server.exe

MD5: 02833F8FC9F6C06B4EEB71473E9E26E6
SHA1: 7768C1C168C558CA1F4DAEFD82A16ED5166CA246 Данный файл имеет размер 289792 байта и детектируется Антивирусом Касперского как Trojan.Win32.Llac.gfu.
Затем троянец запускает извлеченные файлы на выполнение и завершает свою работу.
Файл "instant.exe", который детектируется как Trojan.MSIL.Agent.aor выполняет следующие деструктивные действия:
Троянец реализует функционал, предотвращающий проявление его деструктивной активности при запуске в следующих виртуальных средах:

VMWare
VirtualPC
VirtualBox
Sandboxie

Троянская программа предназначена для похищения регистрационной информации пользователей следующих программных продуктов:

Splinter Cell Pandora Tomorrow   
Splinter Cell Chaos Theory  
Call of Duty   
Call of Duty United Offensive   
Call of Duty 2   
Call of Duty 4   
COD4 Steam Version   
Call of Duty WAW   
Dawn of War   
Dawn of War - Dark Crusade   
Medieval II Total War   
Adobe Goolive   
Nero 7   
ACDSystems PicAView   
Act of War   
Adobe Photoshop 7   
Advanced PDF Password Recovery   
Advanced PDF Password Recovery Pro   
Advanced ZIP Password Recovery   
Anno 1701   
Ashamopp WinOptimizer Platinum   
AV Voice Changer   
Battlefield(1942)   
Battlefield 1942 Secret Weapons of WWII   
Battlefield 1942 The Road to Rome   
Battlefield 2   
Battlefield(2142)   
Battlefield Vietnam   
Black and White   
Black and White 2   
Boulder Dash Rocks   
Burnout Paradise   
Camtasia Studio 4 
Chrome   
Codec Tweak Tool   
Command and Conquer Generals   
Command and Conquer Generals Zero Hour   
Red Alert 2   
Red Alert   
Command and Conquer Tiberian Sun   
Command and Conquer 3   
Company of Heroes   
Counter-Strike   
Crysis   
PowerDVD   
PowerBar   
CyberLink PowerProducer   
Day of Defeat   
The Battle for Middle-earth II   
The Sims 2   
The Sims 2 University   
The Sims 2 Nightlife   
The Sims 2 Open For Business   
The Sims 2 Pets   
The Sims 2 Seasons   
The Sims 2 Glamour Life Stuff   
The Sims 2 Celebration Stuff   
The Sims 2 H M Fashion Stuff   
The Sims 2 Family Fun Stuff   
DVD Audio Extractor
Empire Earth II   
F.E.A.R   
F-Secure   
FARCRY   
FARCRY 2   
FIFA 2002   
FIFA 2003   
FIFA 2004   
FIFA 2005   
FIFA 07   
FIFA 08   
Freedom Force   
Frontlines Fuel of War Beta   
Frontlines  Fuel of War   
GetRight   
Global Operations   
Gunman   
Half-Life   
Hellgate London   
Hidden & Dangerous 2   
IGI 2 Retail   
InCD Serial   
IG2   
iPod Converter (Registration Code)   
iPod Converter (User Name)   
James Bond 007 Nightfire   
Status Legends of Might and Magic   
Macromedia Flash 7   
Macromedia Fireworks 7   
Macromedia Dreamweaver 7   
Madden NFL 07   
Matrix Screensave   
Medal of Honor  Airborne   
Medal of Honor  Allied Assault   
Medal of Honor  Allied Assault  Breakthrough   
Medal of Honor  Heroes 2   
mIRC   
Nascar Racing 2002   
Nascar Racing 2003   
NHL 2002   
NBA LIVE 2003   
NBA LIVE 2004   
NBA LIVE 07   
NBA Live 08   
Need for Speed Carbon   
Need For Speed Hot Pursuit 2   
Need for Speed Most Wanted   
Need for Speed ProStreet   
Need For Speed Underground   
Need For Speed Underground 2   
Nero - Burning Rom   
Nero 7   
Nero 8   
NHL 2002   
NHL 2003   
NHL 2004   
NHL 2005   
NOX   
Numega SmartCheck   
OnlineTVPlayer 
O&O Defrag 8.0 
Partition Magic 8.0   
Passware Encryption Analyzer 
Passware Windows Key 
PowerDvD   
PowerStrip   
Pro Evolution Soccer 2008   
Rainbow Six III RavenShield   
Shogun Total War Warlord Edition   
Sid(Meier) 's Pirates!   
Sid(Meier) 's Pirates!   
Sim City 4 Deluxe   
Sim City 4   
Sniffer Pro 4.5   
Soldiers Of Anarchy   
Soldiers Of Anarchy   
Stalker - Shadow of Chernobyl   
Star Wars Battlefront II (v1.0)   
Star Wars Battlefront II (v1.1)   
Steganos Internet Anonym VPN   
Splinter Cell Pandora Tomorrow   
Surpreme Commander   
S.W.A.T 2   
S.W.A.T 3   
S.W.A.T 4   
TechSmith SnagIt 
Texas Calculatem 4 
The Battle for Middle-earth   
The Orange Box   
The Orange Box   
TMPGEnc DVD Author   
TuneUp 2007 
TuneUp 2008 
TuneUp 2009 
Winamp 
The Sims 3   
Spore   
Mirrors Edge   
GTA IV   
FIFA 2009   
Pro Evolution Soccer 2009   
FIFA 2008   
Nero 9   
Mirc 
Orange Box   

В данном случае под регистрационной информацией подразумеваются значения параметров с именами:

Name
Serial
Registration Code
User Name
Username
Company
License
Owner
Key
Serial Key

Собранные данные записываются в файл:

%Temp%\TMP.dat

и отправляются на почтовый ящик злоумышленника на сервере "@gmail.com". Для определения IP-адреса зараженного компьютера троянец обращается к сервису:

www.whatismyip.com

В ходе своей работы троянец извлекает из своего тела следующие файлы:

%WorkDir%\System.Data.SQLite.DLL (886272 байта)
%Temp%\melt.tmp (6 байт)

Файл "System.Data.SQLite.DLL" является сборкой библиотеки ADO.NET провайдера для работы с SQLite. В файл "melt.tmp" записывается строка:

melt

Троянец модифицирует файл:

%System%\drivers\etc\hosts

записывая в него следующие сроки:

##Do not touch this file, changing it will cause 
SERIOUS damage to your computer
127.0.0.1 www.rsbot.org/vb/
127.0.0.1 rsbot.org/vb/
127.0.0.1 85.25.184.47
127.0.0.1 www.rsbot.com
127.0.0.1 www.rsbot.com
127.0.0.1 www.rsbot.org
127.0.0.1 www.rsbot.org
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.rsbots.net
127.0.0.1 rsbots.net
127.0.0.1 www.RSbots.net
127.0.0.1 www.AutoFighter.org
127.0.0.1 www.RSBotting.com
127.0.0.1 www.RSTrainers.com
127.0.0.1 www.CodeSpace.net
127.0.0.1 www.RsAutoCheats.com
127.0.0.1 www.XxBots.net
127.0.0.1 www.AutoFarmer.org
127.0.0.1 www.kMiner.org 

Таким образом, доступ к указанным ресурсам блокируется. Файл "server.exe", который детектируется как Trojan.Win32.Llac.gfu выполняет следующие деструктивные действия:

Инсталляция:

После запуска троянец создает копию своего файла в системном каталоге Windows c именем

%System%\install\server.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies" = "%System%\install\server.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"HKLM" = "%System%\install\server.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies" = "%System%\install\server.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"HKCU" = "%System%\install\server.exe"

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{VOC6T861-UAYF-N871-Y74N-64IK6MMG1C83}]
"StubPath" =  "%System%\install\server.exe Restart"

Деструктивная активность:

При выполнении какого-либо из следующих условий троянец завершает свое выполнение:

1. При обнаружении в своем адресном пространстве следующих библиотек:

   dbghelp.dll
   sbiedll.dll

2. При запуске троянца на виртуальной машине компании Vmware;
3. При наличии процесса:

   VBoxService.exe

   таким образом троянец препятствует запуску своего тела на виртуальной машине компании Oracle Corporation;
4. Имя пользователя компьютера было:

   CurrentUser

5. Значение параметра ключа системного реестра

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"ProductId" = 

было одним из следующих:

76487-337-8429955-22614
76487-644-3177037-23510
55274-640-2673064-23950

Помимо этого троянец использует различные антиотладочные приемы. Во время выполнения создает уникальные идентификаторы с именами:

_x_X_UPDATE_X_x_
_x_X_PASSWORDLIST_X_x_
_x_X_BLOCKMOUSE_X_x_
0BP3RCBQG7BM1V
0BP3RCBQG7BM1V_PERSIST

Создает файл во временном каталоге текущего пользователя Windows:

%Temp%\XX—XX--XX.txt — 227744 байта

Данный файл содержит в зашифрованном виде файл конфигурации для работы троянца, а также исполняемый файл, который внедряет в адресное пространство процесса:

explorer.exe

Троянец запускает процесс браузера, используемого на компьютере пользователя по умолчанию. Данные о браузере получает из ключа реестра:

[HKCR\http\shell\open\command]

В процесс браузера также внедряет вредоносный код. Внедряемый в адресное пространство процессов файл предназначен для восстановления вредоносного файла троянца, а также для выполнения команд, получаемых с сервера злоумышленника:

dc-hac***o-ip.info:3737

Злоумышленник может получать следующую информацию с компьютера пользователя:

• Список файлов на компьютере пользователя;
• Список открытых окон;
• Список запущенных процессов;
• Список запущенных служб;
• Данные об оборудовании компьютера пользователя;
• Данные о реестре компьютера пользователя;
• Данные об установленных программах;
• Список открытых портов;
• Имеет функцию просмотра рабочего стола компьютера пользователя;
• Изображение с веб-камеры;
• Звук с микрофона компьютера пользователя;
• Выполнять функцию кейлогера для получения нажимаемых клавиш клавиатуры и мыши;
• Сохраненные пароли браузеров; Помимо этого может отправлять команды для выполнения следующих действий:
• Запуск Socks Proxy и HTTP Proxy серверов;
• Открытие различных страниц в браузере пользователя;
• Загрузка на компьютер пользователя различных файлов и запуск их на исполнение;
• Получение доступа к командной строке;
• Выполнение поиска файлов на компьютере пользователя;
• Получение доступа к буферу обмена;
• Получение доступа к чату при использовании программы Windows Live Messenger;
• Изменение адреса сервера злоумышленника;
• Обновление настроек;
• Перезапуск вредоносного файла;
• Завершение своего выполнения и удаления своих файлов.

Данный вредоносный файл был создан с помощью программы "CyberGate RAT v1.04.8" — утилиты для удаленного администрирования. Сайт разработчиков:

http://website.cybe***-rat.org