Trojan-Clicker.HTML.Klone.bj
Технические детали
Червь,
создающий свои копии на локальных дисках и доступных для записи сетевых
ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер
345554 байта. Упакован UPX. Распакованный размер – около 598 КБ.
Инсталляция
После запуска червь копирует свое тело в следующий файл:
%System%\csrcs.exe
Файл создается с атрибутом "скрытый" (hidden).
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
Далее червь запускает на выполнение созданную копию, после чего создает
во временном каталоге текущего пользователя файл командного
интерпретатора, запускает его и завершает свою работу — данный файл
удаляет оригинальный файл червя и самоуничтожается.
Распространение
Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:
<rnd>.exe
где <rnd> – случайная последовательность из 6-ти латинских букв (например: "viwtxq").
Вместе со своим исполняемым файлом червь помещает файл:
<имя зараженного диска>:\autorun.inf
следующего содержания:
;cGdMMqnkwttzNIALDowTztNoBqtQEuniiqoglYhKlyToEbbKPtp
gYTIDaaxsBGIElZhnIKudUxplU
;DrhCVYaHSaNhcvGNnnIzmGZpMUSRxgRieEKkUULMxmHodvUfTLCaMP
;pDHzUzfzuBciKSEFUxzIu
LTDWrvKDyhCDRXUjirIcUnxpTGKxJAoOLfV
;ZkziFjHWYVCpyTFcPkPxL
[AutoRun]
open=.exe
;GIgSCdEgplBPqoCRNUiFqmOIRbMRTvnVmStURVezvlneryPekW
Icon=%system%\shell32.dll,7
;45F27A231FB7BAE1D86A012E0B30BEAC8E8C0F9CB727D2C7BFC81571
UseAutoPlay=1
;S
;fAHykPeRaDxXxvABsqWJq
;teagRmuITqAPbKLDBQjnbdsOlZflOnQEQXrKvmm
GEwdobEIeFUStcjs
JzuQJHsOxayNhhbcZOBkwVc
;ZOoolAGemTPFntoJ
;cSwMVSDRKyqlgoVBIbqxfNaIan
;bLCDVyljonoxcdXnOtBdXDIyaCLvzBwPsQCMs
;qEYCpFFjrvCjZPMSXAFxLFFLDYowxsHBSpMPQnBciWihvMvIIEQNZzcSck
MdApExvVaGqkksRNWOdj
;FVzMNuifyLBlwQgGckSjTjZxnxjPKfoSamaMnfetilzUGQxAHIIrsouJoQDTKc
ZMmPPeCOpw
action=Open Drive
action= @.exe
;BO
;ESftglAotbIA
shell\open\Command=.exe
shell\open\Default=1
shell\explore\Command=.exe
;YviWLxaofSDjwfbqqlVYMrXvdG
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный диск при помощи программы "Проводник".
Созданным файлам присваивается атрибут "скрытый" (hidden).
Кроме того, в черве реализован механизм распространения по сети. Для
этого червь сканирует удаленные хосты на наличие открытого 445-го
TCP-порта.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- для идентификации своего присутствия в системе создает файл "c:\khs", а также ключи системного реестра:
[HKLM\Software\Microsoft\DRM\amty]
"ilop" = "1"
"rem1" = "1"
"exp1"
"dreg"
- Для отключения отображения в системе скрытых файлов троянец изменяет значения следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"
- Выгружает из системной памяти процесс "TeaTime.exe".
- Загружает из сети Интернет файлы со следующих серверов:
su******six.com
ki*****dk2.com
Загруженные файлы сохраняются в каталоге
%Temporary Internet Files%
После успешной загрузки файлы запускаются на выполнение. На момент создания описания файлы не загружались.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- При помощи ( "Диспетчера задач") завершить процесс "csrcs.exe".
- Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
[HKLM\Software\Microsoft\DRM\amty]
"ilop" = "1"
"rem1" = "1"
"exp1"
"dreg"
- Изменить значение ключа системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
на
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
(как работать с реестром?).
- Восстановить исходные значения ключей системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\
Folder\Hidden\SHOWALL]
"CheckedValue" = "1"
- Удалить файлы:
%System%\csrcs.exe
.exe
<имя зараженного диска>:\autorun.inf
c:\khs
- Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
| 
