Trojan-Clicker.HTML.Klone.bj - 17 Декабря 2009 - Вирусам и мошенничеству нет!

Меню сайта

Категории новостей

Новости от Касперского [158]

Новости [290]

Новости железа [224]

Закон о защите персональных данных [1]

Гороскопы

Мини-чат

Наш опрос

Статистика

Онлайн всего: 2

Гостей: 2

Пользователей: 0

Главная » » Trojan-Clicker.HTML.Klone.bj

15:15

Trojan-Clicker.HTML.Klone.bj

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 345554 байта. Упакован UPX. Распакованный размер – около 598 КБ.

Инсталляция

После запуска червь копирует свое тело в следующий файл:

%System%\csrcs.exe

Файл создается с атрибутом "скрытый" (hidden).

Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключи системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run] "csrcs" = "%System%\csrcs.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe csrcs.exe"

Далее червь запускает на выполнение созданную копию, после чего создает во временном каталоге текущего пользователя файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл червя и самоуничтожается.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:

<rnd>.exe

где <rnd> – случайная последовательность из 6-ти латинских букв (например: "viwtxq").

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного диска>:\autorun.inf

следующего содержания:

;cGdMMqnkwttzNIALDowTztNoBqtQEuniiqoglYhKlyToEbbKPtp
gYTIDaaxsBGIElZhnIKudUxplU
;DrhCVYaHSaNhcvGNnnIzmGZpMUSRxgRieEKkUULMxmHodvUfTLCaMP
;pDHzUzfzuBciKSEFUxzIu
LTDWrvKDyhCDRXUjirIcUnxpTGKxJAoOLfV
;ZkziFjHWYVCpyTFcPkPxL
[AutoRun]
open=.exe
;GIgSCdEgplBPqoCRNUiFqmOIRbMRTvnVmStURVezvlneryPekW
Icon=%system%\shell32.dll,7
;45F27A231FB7BAE1D86A012E0B30BEAC8E8C0F9CB727D2C7BFC81571
UseAutoPlay=1
;S
;fAHykPeRaDxXxvABsqWJq
;teagRmuITqAPbKLDBQjnbdsOlZflOnQEQXrKvmm
GEwdobEIeFUStcjs
JzuQJHsOxayNhhbcZOBkwVc
;ZOoolAGemTPFntoJ
;cSwMVSDRKyqlgoVBIbqxfNaIan
;bLCDVyljonoxcdXnOtBdXDIyaCLvzBwPsQCMs
;qEYCpFFjrvCjZPMSXAFxLFFLDYowxsHBSpMPQnBciWihvMvIIEQNZzcSck
MdApExvVaGqkksRNWOdj
;FVzMNuifyLBlwQgGckSjTjZxnxjPKfoSamaMnfetilzUGQxAHIIrsouJoQDTKc
ZMmPPeCOpw
action=Open Drive
action= @.exe
;BO
;ESftglAotbIA
shell\open\Command=.exe
shell\open\Default=1
shell\explore\Command=.exe
;YviWLxaofSDjwfbqqlVYMrXvdG

Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный диск при помощи программы "Проводник".

Созданным файлам присваивается атрибут "скрытый" (hidden).

Кроме того, в черве реализован механизм распространения по сети. Для этого червь сканирует удаленные хосты на наличие открытого 445-го TCP-порта.

Деструктивная активность

После запуска троянец выполняет следующие действия:

для идентификации своего присутствия в системе создает файл "c:\khs", а также ключи системного реестра:
```
[HKLM\Software\Microsoft\DRM\amty]
"ilop" = "1"
"rem1" = "1"
"exp1"
"dreg"
```

Для отключения отображения в системе скрытых файлов троянец изменяет значения следующих ключей системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"



[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"

Выгружает из системной памяти процесс "TeaTime.exe".
Загружает из сети Интернет файлы со следующих серверов:
```
su******six.com
ki*****dk2.com
```
Загруженные файлы сохраняются в каталоге
```
%Temporary Internet Files%
```
После успешной загрузки файлы запускаются на выполнение. На момент создания описания файлы не загружались.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи ( "Диспетчера задач") завершить процесс "csrcs.exe".
Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run] "csrcs" = "%System%\csrcs.exe"

[HKLM\Software\Microsoft\DRM\amty] "ilop" = "1" "rem1" = "1" "exp1" "dreg"

Изменить значение ключа системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"

на

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"

(как работать с реестром?).

Восстановить исходные значения ключей системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced] "Hidden" = "2" "SuperHidden" = "0" "ShowSuperHidden" = "0"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\
Folder\Hidden\SHOWALL] "CheckedValue" = "1"

Удалить файлы:

%System%\csrcs.exe
.exe
<имя зараженного диска>:\autorun.inf
c:\khs

Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
```
%Temporary Internet Files%
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).