Вредоносная программа, выполняющая различные деструктивные действия на компьютере. Установочный файл является приложением Windows (-PE–EXE файл)-, может иметь произвольный размер.
Вредоносная программа, выполняющая различные деструктивные действия на компьютере. Установочный файл является приложением Windows (PE-EXE файл), может иметь произвольный размер.
Инсталляция
Для автоматического запуска при каждом следующем старте системы вредоносная программа перезаписывает загрузочную область жесткого диска (MBR). Для этого зловред обращается к устройству \\.PhysicalDriveX через функцию CreateFile.
После этого буткит записывает свои данные в неразмеченную область жесткого диска, находящуюся за последним разделом. Сюда записываются оригинальный MBR, идентификационные данные Wistler'a, по которым можно будет определить факт заражения системы, и четыре PE-EXE файла, выполняющие основной вредоносный функционал данной вредоносной программы.
name="doc3">
Деструктивная активность
При загрузке компьютера, после инициализации BIOS, управление передается на зараженную MBR вредоносной программы, которая в свою очередь вызывает программный код, записанный установщиком в неразмеченную область жесткого диска.
После этого буткит с помощью перехвата прерывания int 13h отслеживает вызов следующих системных функций:
BtLoadBootDriversТаким образом отслеживаются этапы загрузки операционной системы Windows.
IoInitSystem
После вызова IoInitSystem буткит вновь перехватывает управление и загружает в систему специальный драйвер, предназначенный для скрытого запуска в системе исполняемого PE-EXE файла, который и выполняет основной вредоносный функционал.
Таким образом, основное назначение Trojan-Clicker.Win32.Wistler.a - запуск в скрытном режиме определенных исполняемых файлов, обладающих различным функционалом.
В результате исследования образцов данной вредоносной программы выяснилось, что запускаемые Trojan-Clicker.Win32.Wistler.a файлы имеют два различных основных функционала - Trojan-Clicker и Trojan-DDOS
Trojan-Clicker
Предназначен для несанкционированного пользователем обращения к интернет-страницам с целью увеличение счетчиков посещаемости. В теле программы содержится список адресов, с которыми соединяется зловред.
Trojan-DDOS
Предназначен для организации DDOS атак.
При запуске создает от имени пользователя "system" новый процесс svchost.exe, в адресное пространство которого записывает свой основной вредоносный код.
После этого, от имени процесса "svchost.exe" программа периодически обращается к управляющему серверу:
http://77.91.225.187/t.php?getCmd&id=_Где и имя и уникальный идентификатор компьютера соответственно.
&rng=&v=4
С данного адреса вредоносная программа может получать следующие основные команды:
ddos(может иметь дополнительные параметры, например "-icmp", "-udp", "-http", "-syn") - проведение Denial of Service атаки на определенный сервер.
dae- загрузка и запуск других вредоносных программ.
nat- установка на компьютере службы Network Address Translation для анонимного доступа злоумышленника к различным сетевым ресурсам с использования зараженного компьютера.
update- загрузка и установка новой версии вредоносной программы.
