Trojan-Downloader.Win32.FraudLoad.wxpf - 27 Января 2010 - Вирусам и мошенничеству нет!

Меню сайта

Категории новостей

Новости от Касперского [158]

Новости [290]

Новости железа [224]

Закон о защите персональных данных [1]

Гороскопы

Мини-чат

Наш опрос

Статистика

Онлайн всего: 9

Гостей: 9

Пользователей: 0

Главная » » Trojan-Downloader.Win32.FraudLoad.wxpf

10:53

Trojan-Downloader.Win32.FraudLoad.wxpf

Технические детали

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 58880 байт. Написана на C++.

Инсталляция

После запуска троянец проверяет наличие в системном реестре следующих ключей:

[HKCU\Software\AntivirusXP]
"Key"



[HKCU\Software\RealAV]
"Key"



[HKLM\Software\AntivirusXP]
"Key"



[HKCU\Software\AVR]
"KEY"



[HKLM\Software\AVR]
"KEY"

Если ключи существуют, то троянец завершает свою работу.

В противном случае, троянец выполняет следующие действия:

удаляет файл:
```
%System%\winupdate.exe
```
Копирует свое тело в следующий файл:
```
%System%\winupdate.exe
```
Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winupdate.exe" = "%System%\winupdate.exe"
Запускает на выполнение созданную копию. После этого троянец завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

удаляет файл:
```
%System%\critical_warning.html
```
Извлекает из своего тела файл, который сохраняется в системе как
```
%System%\critical_warning.html
```
Файл имеет размер 831 байт, и представляет собой HTML-страницу следующего вида:
Создает ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"
Это приводит к запрету запуска Диспетчера задач Windows, а также к изменению настроек Active Desktop.

Устанавливает ранее извлеченный файл "%System%\critical_warning.html" в качестве фонового изображения Рабочего стола. Для этого изменяются следующие значения ключей системного реестра:

[HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
"TileWallpaper" = "0"
"WallpaperStyle" = "2"
"Wallpaper" = "%System%\critical_warning.html"
"WallpaperFileTime" = "00 98 50 FC 35 A4 C6 01"
"WallpaperLocalFileTime" = "00 D0 9D 21 4F A4 C6 01"



[HKCU\Control Panel\Desktop]
"TileWallpaper" = "0"
"WallpaperStyle" = "2"

Загружает из сети Интернет файлы по следующим ссылкам:
```
http://do****vr6.com/dfghfghgfj.dll
http://do****vr6.com/cgi-bin/download.pl?code=
```
Загруженные файлы сохраняются в системе как
```
%System%\winhelper.dll
```
(На момент создания описания загружался файл размером 22528 байт; детектируется Антивирусом Касперского как "Trojan-Ransom.Win32.Agent.jc")
```
%System%\AVR09.exe
```
(На момент создания описания загружался файл размером 1172480 байт; детектируется Антивирусом Касперского как "Trojan.Win32.FraudPack.acik")
Запускает системную утилиту "regsvr32.exe" со следующими параметрами:
```
/s %System%\winhelper.dll
```
Это приводит к запуску исполняемого кода загруженной ранее библиотеки "%System%\winhelper.dll".
Для идентификации своего присутствия в системе создает ключ системного реестра:
[HKCU\Software] "8636065b-fef0-4255-b14f-54639f7900a4" = "8636065b-fef0-4255-b14f-54639f7900a4"

Открывает в браузере, установленном по умолчанию, ссылку:

http://ad******er-2009.com/buy/?code=

В отдельном потоке в бесконечном цикле выгружает из системной памяти следующие процессы:

AcroRd32.exe 
rstrui.exe 
CloneCD.exe 
cmd.exe 
digitaleditions.exe 
freecell.exe 
FullTiltPoker.exe 
GOM.exe 
hrtzzm.exe 
Icq.exe 
Illustrator.exe 
miranda32.exe 
moviemk.exe 
mplay32.exe 
mplayer2.exe 
mshearts.exe 
msimn.exe 
msmsgs.exe 
mspaint.exe 
MSWorks.exe 
Nero.exe 
NeroExpressPortable.exe 
nfs.exe 
OIS.exe 
OUTLOOK.exe 
Photoshop.exe 
pinball.exe 
PokerStars.exe 
POWERPNT.exe 
realplay.exe 
RecordingManager.exe 
RegCloneCD.exe 
regedit.exe 
RwcRun.exe 
RWipeRun.exe 
shvlzm.exe 
skypePM.exe 
RealPlayer.exe 
POWERPOI.exe 
word.exe 
EXCEL.exe 
MsnMsgr.Exe 
chrome.exe 
GoogleEarth.exe 
wupdmgr.exe 
Skype.exe 
sndvol32.exe 
sol.exe 
setup_wm.exe 
spider.exe 
taskmgr.exe 
thebat.exe 
msconfig.exe 
uTorrent.exe 
vmware.exe 
winmine.exe 
WinRAR.exe 
WINWORD.exe 
control.exe 
notepad.exe 
calc.exe 
wmplayer.exe

В отдельном потоке в бесконечном цикле через каждые 12 минут запускает загруженный ранее файл:
```
%System%\AVR09.exe
```
В отдельном потоке в бесконечном цикле через каждые 20 минут загружает из сети Интернет файлы по следующей ссылке:
```
http://te****wn.com/cgi-bin/get.pl?l=
```
(На момент создания описания ссылка не работала)

Загруженные файлы сохраняются в системе под случайными именами:
```
%System%\<rnd>.exe
```
где <rnd> – случайное десятичное число.

После успешной загрузки файлы запускаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winupdate.exe" = "%System%\winupdate.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetActiveDesktop" = "1" "NoActiveDesktopChanges" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallpaper" = "1"

[HKCU\Software] "8636065b-fef0-4255-b14f-54639f7900a4" = "8636065b-fef0-4255-b14f-54639f7900a4"
При помощи Диспетчера задач завершить следующие процессы:
```
winupdate.exe
AVR09.exe
```
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Восстановить исходные значения ключей системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Internet Explorer\Desktop\General] "TileWallpaper" = "0" "WallpaperStyle" = "2" "Wallpaper" = "%System%\critical_warning.html" "WallpaperFileTime" = "00 98 50 FC 35 A4 C6 01" "WallpaperLocalFileTime" = "00 D0 9D 21 4F A4 C6 01"

[HKCU\Control Panel\Desktop] "TileWallpaper" = "0" "WallpaperStyle" = "2"
Отменить регистрацию загруженной троянцем библиотеки "%System%\winhelper.dll". Для этого следует запустить системную утилиту "regsvr32.exe" со следующими параметрами:
```
/u %System%\winhelper.dll
```

Удалить файлы:

%System%\winupdate.exe
%System%\critical_warning.html
%System%\winhelper.dll
%System%\AVR09.exe 
%System%\.exe

Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
```
%Temporary Internet Files%
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).