Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (-PE-EXE файл)-.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE-EXE файл). Имеет размер 43856 байт. Упакована при помощи UPX. Распакованный размер - около 77 KБ. Написан на C++.
Инсталляция
Копирует свое тело в системный каталог Windows или во временный каталог текущего пользователя, если в системный каталог скопировать не удалось:
%System%\msГде.exe
%Temp%\ms.exe
Для автоматического запуска троянец создает в системе службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:
[HKLM\System\CurrentControlSet\Services\Network Adapter Events]
name="doc3">
Деструктивная активность
Троянец выполняет следующие деструктивные действия:
- Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
msrdp#v2.1.27
- Останавливает и удаляет следующие службы:
Norton Antivirus Service
Panda Antivirus
Detector de OfficeScanNT
McAfee Framework Service
sharedaccess
OutpostFirewall
lnsfw1
sfilter
SmcService
UmxPol
UmxLU
UmxAgent
UmxCfg
kmxagent
kmxbig
kmxcfg
kmxfile
kmxfw
kmxids
kmxndis
kmxsbx
ZoneAlarm
vsmon
vsdatant
IswSvc
ISWKL
klif
klpf
klpid
kl1
WinDefend
MpsSvc
BFE
F-Secure Filter
F-Secure Gatekeeper
F-Secure HIPS
F-Secure Recognizer
fsbts
FSFW
F-Secure Gatekeeper Handler Starter
FSDFWD
FSMA
FSORSPClient - Создает пользователя с именем:
TermUser
И добавляет пользователя в группы:Администраторы
Пользователи удаленного рабочего стола - Отключает отображение имени пользователя в диалоговом окне входа в систему. Для этого создает запись в системном реестре:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\SpecialAccounts\UserList]
"TermUser"= "0" - Проверяет наличие подключения к сети Интернет, путем обращения к следующим URL адресам:
www.microsoft.com
www.yahoo.com
www.msn.com - Для получения команд, троянец отправляет запрос вида:
POST /query222.php HTTP/1.1 Content-Type: application/x-www-form-
где
urlencoded Host:Content-Length: <длинна поля данных в байтах>
Cache-Control: no-cache
q=i&id=<серийный номер тома>-
<версия ОС>&o=< детальная информация об ОС>&v=2.1.27&c=
<информация о локализации>&l=<язык>&t=16&lip=зараженного компьютера> &ts=OK&u=<имя пользователя> - один из следующих адресов: znc***-went.info
По команде троянец может загружать обновления, загружать и выполнять инсталляцию компонентов предназначенных для предоставления доступа к зараженному компьютеру по RDP (удаленный рабочий стол) протоколу. Загружаемые файлы сохраняются во временно каталоге текущего пользователя:
ocr***-tcipty.com
ocrd***-tc.info
hvk***-emvbim.com
esh***-bjsyfjoqt.info
esht***-bjsyf.com
xlamz***-lrychj.info
xlamz***-lr.com
map***-jragnrw.info
map***-jra.com
ftiuh***-tzgk.info
cqfre***-qwdhmor.com
cqfre***-qwd.info
vjyk***-ajpwafh.com
vjyk***-ajp.info
kynzm***h-yelpu.com
kynzm***-y.info
drgs***-irxei.com
aodp***-foubfkmp.info
aodp***-foub.com
thw***-qyhnuydf.info
znc***-went.info%Temp%\tem
где.tmp - произвольная последовательность из цифр и букв латинского алфавита. Если загруженный файл является архивом, содержащим компоненты для установки, то троянец создает каталог и помещает туда извлеченные файлы: %Temp%\b
где\ - произвольная последовательность из цифр и букв латинского алфавита. А затем выполняет команду: %System%\cmd.exe /C %Temp%\b
После чего через час выполняет перезагрузку зараженного компьютера.\install.cmd - Троянец сохраняет свои настройки в зашифрованном виде в ключе реестра:
[HKLM\Software\Microsoft\TermServMonitor]