Trojan-Downloader.Win32.FraudLoad.wxpy
Технические детали
Троянская
программа, загружающая файлы из сети Интернет без ведома пользователя и
запускающая их. Является приложением Windows (PE-EXE файл). Имеет
размер 19456 байт. Упакована неизвестным упаковщиком. Распакованный
размер – около 51 КБ. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в следующие файлы:
%System%\smss32.exe
%System%\winlogon32.exe
Для автоматического запуска созданных копий при каждом следующем старте системы троянец создает ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"smss32.exe" = "%System%\smss32.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\winlogon32.exe"
Таким образом, копия троянца будет запускаться процессом "winlogon.exe" даже при загрузке системы в "безопасном режиме".
После этого троянец запускает одну из созданных копий и завершает свою работу.
Деструктивная активность
После запуска троянец выполняет следующие действия:
- создает ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetActiveDesktop" = "1"
"NoActiveDesktopChanges" = "1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
ActiveDesktop]
"NoChangingWallpaper" = "1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoSetActiveDesktop" = "1"
"NoActiveDesktopChanges" = "1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
ActiveDesktop]
"NoChangingWallpaper" = "1"
Это приводит к запрету запуска Диспетчера задач Windows, а также к изменению настроек Active Desktop.
- Извлекает из своего тела файл, который сохраняется в системе как
%System%\warning.html (2931 байт)
Файл представляет собой HTML-страницу следующего вида:
- Устанавливает извлеченный файл в качестве фонового изображения
Рабочего стола. Для этого изменяются следующие значения ключей
системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
"TileWallpaper" = "0"
"WallpaperStyle" = "2"
"Wallpaper" = "%System%\warning.html"
"HKCU\Control Panel\Desktop]
"TileWallpaper" = "0"
"WallpaperStyle" = "2"
- Загружает из сети Интернет файлы по следующим ссылкам:
http://dow***40.com/cgi-bin/download.pl?code= (На момент создания
описания загружался файл размером 1328640 байт; детектируется
Антивирусом Касперского как "Trojan.Win32.FraudPack.akqu")
http://dow***40.com/dfghfghgfj.dll (На момент создания
описания загружался файл размером 34304 байта; детектируется
Антивирусом Касперского как "Trojan.Win32.FraudPack.akps")
Загруженные файлы сохраняются в системе соответственно как
%System%\IS15.exe
%System%\helper32.dll
- Отображает в области уведомлений сообщение следующего вида:
Клик по сообщению приводит к запуску загруженного файла "%System%\IS15.exe". - Блокирует запуск процессов. При этом попытка запуска в системе
нового процесса приводит к запуску файла "%System%\IS15.exe". Выдается
сообщение:
- При попытке перезагрузки компьютера в "безопасном режиме" выдается сообщение:
При этом троянец продолжает блокировать запуск процессов.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо воспользоваться
Антивирусом Касперского: произвести полную проверку компьютера
Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
| 
