Trojan-Dropper.Win32.Grizl.cw

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 15520 байт. Упакована UPX. Распакованный размер – около 37 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• Создает уникальный идентификатор с именем:

  12A8-B0CF

• выгружает из системной памяти следующие процессы:

  ElementClient.exe
  safeboxTray.exe
  360Tray.exe
  360safe.exe
  

• извлекает из своего тела файл, который сохраняется в системе как

  %System%\ar<rnd>dll.dll

  (895488 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.Lmir.jox")
  где <rnd> – случайная восьмизначная последовательность символов.
  Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).
• Регистрирует извлеченную библиотеку в системном реестре путем создания следующих ключей:
  [HKCR\Clsid\{5A041F13-A111-12A8-B0CF-F99818AA68A5}
  \InprocServer32] "Default" = "%System%\ar<rnd>dll.dll"
  "ThreadingModel" = "Apartment"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\
  Explorer\ShellExecuteHooks]
  "{5A041F13-A111-12A8-B0CF-F99818AA68A5}
  " = "ar<rnd>dll.dll"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\
  Explorer\Browser Helper Objects\{5A041F13-A111-12A8-B0CF-F99818AA68A5}]
  "Default" = "ar<rnd>dll.dll"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\
  ShellServiceObjectDelayLoad] "81889281" = "{5A041F13-A111-12A8-B0CF-F99818AA68A5}"
  
  
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
  Windows] "AppInit_DLLs" = "...,ar<rnd>dll.dll"
  Таким образом, извлеченная троянцем библиотека будет подгружаться в адресное пространство всех запускаемых в системе процессов.
• Копирует свое тело в следующий файл:

  %System%\ar<rnd>exe.gho

• Удаляет файл:

  %System%\verclsid.exe

  Далее троянец создает в каталоге "%Temp%" файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.
  

  Рекомендации по удалению

  Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить ключи системного реестра (как работать с реестром?):
     [HKCR\Clsid\{5A041F13-A111-12A8-B0CF-F99818AA68A5}
     \InprocServer32] "Default" = "%System%\ar<rnd>dll.dll"
     "ThreadingModel" = "Apartment"
     
     [HKLM\Software\Microsoft\Windows\CurrentVersion\
     Explorer\ShellExecuteHooks]
     "{5A041F13-A111-12A8-B0CF-F99818AA68A5}
     " = "ar<rnd>dll.dll"
     
     [HKLM\Software\Microsoft\Windows\CurrentVersion\
     Explorer\Browser Helper Objects\{5A041F13-A111-12A8-B0CF-F99818AA68A5}]
     "Default" = "ar<rnd>dll.dll"
     
     [HKLM\Software\Microsoft\Windows\CurrentVersion\
     ShellServiceObjectDelayLoad]
     "81889281" = "{5A041F13-A111-12A8-B0CF-F99818AA68A5}"
  2. Удалить подстроку "ar<rnd>dll.dll" из значения ключа системного реестра (как работать с реестром?):
     [HKLM\Software\Microsoft\Windows NT\
     CurrentVersion\Windows] "AppInit_DLLs"
  3. Перезагрузить компьютер.
  4. Удалить файлы:

     %System%\ar<rnd>dll.dll
     %System%\ar<rnd>exe.gho

  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).