Trojan-Clicker.Win32.Wistler.a

Вредоносная программа, выполняющая различные деструктивные действия на компьютере. Установочный файл является приложением Windows (-PE–EXE файл)-, может иметь произвольный размер.

Вредоносная программа, выполняющая различные деструктивные действия на компьютере. Установочный файл является приложением Windows (PE-EXE файл), может иметь произвольный размер.

Инсталляция

Для автоматического запуска при каждом следующем старте системы вредоносная программа перезаписывает загрузочную область жесткого диска (MBR). Для этого зловред обращается к устройству \\.PhysicalDriveX через функцию CreateFile.

После этого буткит записывает свои данные в неразмеченную область жесткого диска, находящуюся за последним разделом. Сюда записываются оригинальный MBR, идентификационные данные Wistler'a, по которым можно будет определить факт заражения системы, и четыре PE-EXE файла, выполняющие основной вредоносный функционал данной вредоносной программы.


name="doc3">

Деструктивная активность

При загрузке компьютера, после инициализации BIOS, управление передается на зараженную MBR вредоносной программы, которая в свою очередь вызывает программный код, записанный установщиком в неразмеченную область жесткого диска.

После этого буткит с помощью перехвата прерывания int 13h отслеживает вызов следующих системных функций:

BtLoadBootDrivers
IoInitSystem
Таким образом отслеживаются этапы загрузки операционной системы Windows.

После вызова IoInitSystem буткит вновь перехватывает управление и загружает в систему специальный драйвер, предназначенный для скрытого запуска в системе исполняемого PE-EXE файла, который и выполняет основной вредоносный функционал.

Таким образом, основное назначение Trojan-Clicker.Win32.Wistler.a - запуск в скрытном режиме определенных исполняемых файлов, обладающих различным функционалом.

В результате исследования образцов данной вредоносной программы выяснилось, что запускаемые Trojan-Clicker.Win32.Wistler.a файлы имеют два различных основных функционала - Trojan-Clicker и Trojan-DDOS

Trojan-Clicker

Предназначен для несанкционированного пользователем обращения к интернет-страницам с целью увеличение счетчиков посещаемости. В теле программы содержится список адресов, с которыми соединяется зловред.


Trojan-DDOS

Предназначен для организации DDOS атак.

При запуске создает от имени пользователя "system" новый процесс svchost.exe, в адресное пространство которого записывает свой основной вредоносный код.

После этого, от имени процесса "svchost.exe" программа периодически обращается к управляющему серверу:

http://77.91.225.187/t.php?getCmd&id=_
&rng=&v=4
Где и имя и уникальный идентификатор компьютера соответственно.

С данного адреса вредоносная программа может получать следующие основные команды:

ddos
(может иметь дополнительные параметры, например "-icmp", "-udp", "-http", "-syn") - проведение Denial of Service атаки на определенный сервер.
dae
- загрузка и запуск других вредоносных программ.
nat
- установка на компьютере службы Network Address Translation для анонимного доступа злоумышленника к различным сетевым ресурсам с использования зараженного компьютера.
update
- загрузка и установка новой версии вредоносной программы.
 


Кто Онлайн

Сейчас 14 гостей и ни одного зарегистрированного пользователя на сайте